problema con Trojan-spy.HTML.smitfraud.c (solucionado)
problema con Trojan-spy.HTML.smitfraud.c (solucionado)
El otro día andando con el ordenador vi de repente en el fondo del escritorio una pantalla azul, con un mensaje de algo parecido a un troyano llamado; trojan-spy.HTML.smitfraud.c; he intentado todo, pero nada. Alguién me podría explicar cómo lo puedo quitar, ya que el fondo de pantalla que antes erá una foto ahora lo tengo algo negro.
Le he pasado diferentes antivirus on line; el spybot-search, he desistalado un secure-guard y nada; me han aconsejado pasarle el hijackthis y me dá esto:
Logfile of HijackThis v1.99.0
Scan saved at 19:23:31, on 13/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe
D:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Documents and Settings\José María\Configuración local\Archivos temporales de Internet\Content.IE5\7ZLXLPHQ\HijackThis[1].exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://www.findin.org/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.findin.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://www.ya.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =http://frgoxu.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://frgoxu.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =http://www.findin.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =http://www.findin.org/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =http://frgoxu.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP =http://frgoxu.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Ya.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1.1\SDHelper.dll
O2 - BHO: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - D:\WINDOWS\pumba2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - D:\WINDOWS\system32\iasada.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - D:\WINDOWS\pumba2.dll
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Zone Labs Client] D:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Instantánea de caché de la página - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Similar Pages - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {38DEC87C-460C-4730-B0F0-9AF87B3488F0} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {38DEC87C-460C-4730-B0F0-9AF87B3488F0} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.ya.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115393012080
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Herramienta de carga de Yahoo! Fotos Class) -http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_4es.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -http://www.crtvg.es/camweb/camera.cab
O16 - DPF: {C9BEF1E9-21F6-486F-80A2-32D61DE86E5E} -http://www.directxtras.com/speaksforitself/download/ms_sapi.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2098AE83-345A-40C4-9979-8C73D24E6988}: NameServer = 212.55.8.132,212.55.8.133
O23 - Service: Servicio del administrador de discos lógicos - Unknown - D:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - D:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - D:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - D:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - D:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - D:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - D:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - D:\WINDOWS\System32\wbem\wmiapsrv.exe
Algún comentario.
Logfile of HijackThis v1.99.0
Scan saved at 19:23:31, on 13/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\SYSTEM32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe
D:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Documents and Settings\José María\Configuración local\Archivos temporales de Internet\Content.IE5\7ZLXLPHQ\HijackThis[1].exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Ya.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1.1\SDHelper.dll
O2 - BHO: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - D:\WINDOWS\pumba2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - D:\WINDOWS\system32\iasada.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - D:\WINDOWS\pumba2.dll
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Zone Labs Client] D:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Instantánea de caché de la página - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://d:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Similar Pages - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://d:\archivos de programa\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {38DEC87C-460C-4730-B0F0-9AF87B3488F0} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {38DEC87C-460C-4730-B0F0-9AF87B3488F0} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Herramienta de carga de Yahoo! Fotos Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -
O16 - DPF: {C9BEF1E9-21F6-486F-80A2-32D61DE86E5E} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{2098AE83-345A-40C4-9979-8C73D24E6988}: NameServer = 212.55.8.132,212.55.8.133
O23 - Service: Servicio del administrador de discos lógicos - Unknown - D:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - D:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - D:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE de red - Unknown - D:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - D:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - D:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - D:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - D:\WINDOWS\System32\wbem\wmiapsrv.exe
Algún comentario.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Antes que nada lance el ELISTARA para restauirar claves de politicas de pantalla que no se ven con el HJT:
http://www.zonavirus.com/descargas/elistara.asp
Tras ello, lanzar el HJT y activar el "Make backups before fixing items" para poder hacer UNFIX si es necesario, usando el HJT desde una carpeta exprofeso
Luego seleccione y elimine con FIX estas entradas, si bien sobre el smitfraud.c no es el HJT el procedimiento adecuado, por no verse muchas claves que modifica:
Tiene entradas que debe eliminar, lance un nuevo HJT, marquelas y oulse FIX:
Si usa algim periferico de EPSON, impresora, scaner, etc, no elimine de entrada las claves que hacen mencion a dicho nombre, no las seleccione de entrada, elimine las demás y si con esto le vale prescinda de ellas, aunque al estar en la carga de los Active-X sean muy sospechosas. Su no tiene nada de EPSON, marqielas y eliminelas de entrada.
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1.1\SDHelper.dll
O2 - BHO: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1.1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - D:\WINDOWS\pumba2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O9 - Extra button: Microsoft AntiSpyware helper - {38DEC87C-460C-4730-B0F0-9AF87B3488F0} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {38DEC87C-460C-4730-B0F0-9AF87B3488F0} - (no file) (HKCU)
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -http://www.crtvg.es/camweb/camera.cab
O16 - DPF: {C9BEF1E9-21F6-486F-80A2-32D61DE86E5E} -http://www.directxtras.com/speaksforitself/download/ms_sapi.cab
Además, esta utilizando el sistema operativo sin parches, y que tiene vulnerabilidades por los exploits ya conocidos que se solucionan con los parches de microsoft. Recuerde actualizar su sistema operativo y aplicaciones como el I.E., lanzando un windowsupdate_
http://www.windowsupdate.com/
Luego tenga presente que esta utilizando un HJT antiguo. Debe descargar y usar la version 1.99.1 :http://www.hijackthis.de/downloads/hijackthis_199.zip
y tras hacer todo lo indicado, reinicie y vea si se ha solucionado el problema, y nos lo indica como respuesta a este Tema
De todas formas, visto que es ya el cuarto caso en el foro, estudiaremos la posibilidad de desarrollar utilidad de eliminacion automatica la semana que viene.
saludos
ms, 13-05-2005
Tras ello, lanzar el HJT y activar el "Make backups before fixing items" para poder hacer UNFIX si es necesario, usando el HJT desde una carpeta exprofeso
Luego seleccione y elimine con FIX estas entradas, si bien sobre el smitfraud.c no es el HJT el procedimiento adecuado, por no verse muchas claves que modifica:
Tiene entradas que debe eliminar, lance un nuevo HJT, marquelas y oulse FIX:
Si usa algim periferico de EPSON, impresora, scaner, etc, no elimine de entrada las claves que hacen mencion a dicho nombre, no las seleccione de entrada, elimine las demás y si con esto le vale prescinda de ellas, aunque al estar en la carga de los Active-X sean muy sospechosas. Su no tiene nada de EPSON, marqielas y eliminelas de entrada.
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1.1\SDHelper.dll
O2 - BHO: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\ARCHIV~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1.1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - D:\WINDOWS\pumba2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O9 - Extra button: Microsoft AntiSpyware helper - {38DEC87C-460C-4730-B0F0-9AF87B3488F0} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {38DEC87C-460C-4730-B0F0-9AF87B3488F0} - (no file) (HKCU)
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) -
O16 - DPF: {C9BEF1E9-21F6-486F-80A2-32D61DE86E5E} -
Además, esta utilizando el sistema operativo sin parches, y que tiene vulnerabilidades por los exploits ya conocidos que se solucionan con los parches de microsoft. Recuerde actualizar su sistema operativo y aplicaciones como el I.E., lanzando un windowsupdate_
Luego tenga presente que esta utilizando un HJT antiguo. Debe descargar y usar la version 1.99.1 :
y tras hacer todo lo indicado, reinicie y vea si se ha solucionado el problema, y nos lo indica como respuesta a este Tema
De todas formas, visto que es ya el cuarto caso en el foro, estudiaremos la posibilidad de desarrollar utilidad de eliminacion automatica la semana que viene.
saludos
ms, 13-05-2005
Última edición por msc hotline sat el 13 May 2005, 22:50, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Ya he descubierto como desistalarloa siguiendo los siguientes pasos y pasando de tantas pajas mentales de antivirus.
1. Imprima estas instrucciones ya que será necesario cerrar todas las ventanas durante la reparación..
2. Vaya al Panel de control de Windows y haga clic en Agregar o quitar programas..
3. Cuando aparezca la lista de programas instalados, haga doble clic en Security iGuard si es que existe y desinstalelo. A continuación salga de Agregar o quitar programas y del Panel de control.
4. Cierre todas las ventanas, incluyendo la del navegador en la que está leyendo esto.
5. En HijackThis, marque las siguientes entradas y pulse en el botón fix checked:
O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O9 - Extra button: Microsoft AntiSpyware helper - {1048ECC0-B4E7-11D9-8A8B-00010271A782} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {1048ECC0-B4E7-11D9-8A8B-00010271A782} - (no file) (HKCU)
6. Salga de HijackThis
7. Reinicie en ordenador en modo seguro
8. Elimine los siguiente archivos y carpetas:
c:\wp.exe
c:\bsw.exe
c:\bsw.bmp
c:\wp.bmp
c:\windows\system32\wldr.dll
C:\Archivos de programa\Security iGuard\ (<-- carpeta)
9. Reinicie en modo normal.
10. Descargue el siguiente archivo haciendo clic con el botón derecho eligiendo Guardar como y guardelo en su escritorio.
Smitfraud Fix Reg File - [www.bleepingcomputer.com ]
11. Haga doble clic en el archivo smitfraud.reg. Cuando le pregunte si desea combinar el archivo en el registro de windows pulse Aceptar.
12. Reinicie y ahora podrá cambiar las propiedades del escritorio. Si tiene problemas con la configuración, haga clic en la pestaña Temas y seleccione el tema predeterminado de Windows XP.
Ahora su ordenador debería estar limpio de la infección Smitfraud / Wp.exe / WindowsFY. Sin embargo, es probable que la infección se instalase con otro programa maligno. Si necesita ayuda para eliminarlo ponga un nuevo informe de HijackThis en los foros.
A continuación pasa CWShredder y About Buster
que está en la página web alerta.antivirus.red.es/foros/read.php?15,33307,33307#msg-33307
1. Imprima estas instrucciones ya que será necesario cerrar todas las ventanas durante la reparación..
2. Vaya al Panel de control de Windows y haga clic en Agregar o quitar programas..
3. Cuando aparezca la lista de programas instalados, haga doble clic en Security iGuard si es que existe y desinstalelo. A continuación salga de Agregar o quitar programas y del Panel de control.
4. Cierre todas las ventanas, incluyendo la del navegador en la que está leyendo esto.
5. En HijackThis, marque las siguientes entradas y pulse en el botón fix checked:
O4 - HKCU\..\Run: [WindowsFY] C:\WP.EXE
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O9 - Extra button: Microsoft AntiSpyware helper - {1048ECC0-B4E7-11D9-8A8B-00010271A782} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {1048ECC0-B4E7-11D9-8A8B-00010271A782} - (no file) (HKCU)
6. Salga de HijackThis
7. Reinicie en ordenador en modo seguro
8. Elimine los siguiente archivos y carpetas:
c:\wp.exe
c:\bsw.exe
c:\bsw.bmp
c:\wp.bmp
c:\windows\system32\wldr.dll
C:\Archivos de programa\Security iGuard\ (<-- carpeta)
9. Reinicie en modo normal.
10. Descargue el siguiente archivo haciendo clic con el botón derecho eligiendo Guardar como y guardelo en su escritorio.
Smitfraud Fix Reg File - [
11. Haga doble clic en el archivo smitfraud.reg. Cuando le pregunte si desea combinar el archivo en el registro de windows pulse Aceptar.
12. Reinicie y ahora podrá cambiar las propiedades del escritorio. Si tiene problemas con la configuración, haga clic en la pestaña Temas y seleccione el tema predeterminado de Windows XP.
Ahora su ordenador debería estar limpio de la infección Smitfraud / Wp.exe / WindowsFY. Sin embargo, es probable que la infección se instalase con otro programa maligno. Si necesita ayuda para eliminarlo ponga un nuevo informe de HijackThis en los foros.
A continuación pasa CWShredder y About Buster
que está en la página web alerta.antivirus.red.es/foros/read.php?15,33307,33307#msg-33307
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sí, esto está en un foro de Internet, pero Vd no tiene ni los ficheros, como el wp.exe ni las claves. asi que no es su caso.
Puede que existan variantes de la misma familia, por ello no siempre es válido lo que ha ido bien para otro caso parecido pero no igual.
Vd mismo, ya verá como no encuentra lo que Vd indica, pero si con lo que hace le va bien, es su problema y su ordenador.
Comentenos en cualquier caso los resultados, gracias
saludos
ms, 13-05-2005
Puede que existan variantes de la misma familia, por ello no siempre es válido lo que ha ido bien para otro caso parecido pero no igual.
Vd mismo, ya verá como no encuentra lo que Vd indica, pero si con lo que hace le va bien, es su problema y su ordenador.
Comentenos en cualquier caso los resultados, gracias
saludos
ms, 13-05-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
solución al smitfraud.c
Al final ya he logrado deshacerme del famoso virus; siguiendo los pasos que he indicado anteriormente.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues lo celebramos, y solucionado el Tema, lo cerramos
saludos
ms, 15-05-2005
saludos
ms, 15-05-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
NOTA POSTCIERRE:
Al haber potenciado el ELISTARA.EXE desde la v 7.4 de forma que controle, detenga los procesos al respecto, detecte y elimine los ficheros generados por él, y restaure las claves modificadas por el bicho, añadimos esta informacion para su apptovechamiento en el futuro:
[b]información:[/b]
https://foros.zonavirus.com/viewtopic.php?t=6803&highlight=smitfraud
[b]descarga:[/b]
http://www.zonavirus.com/descargas/elistara.asp
saludos
ms, 18-05-2005
Al haber potenciado el ELISTARA.EXE desde la v 7.4 de forma que controle, detenga los procesos al respecto, detecte y elimine los ficheros generados por él, y restaure las claves modificadas por el bicho, añadimos esta informacion para su apptovechamiento en el futuro:
saludos
ms, 18-05-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online