Problemas con el RPCMON (SOLUCIONADO)

[kyto_1_90]

Tengo en la maquina insatalado al Rpcmon comiendome memoria hace mucho timepo y nunca pude borrarlo, les queria preguntar si tienen alguna solucion al problema o alguna manera de borrarlo. La maquina q esta infectada con el virus no tiene instalado ningun antivirus, y no tengo banda ancha, por eso no puedo escanearla on-line. Si sabes como borrarlo manuealmente o q antivirus o anti adware debo instalar bpara borrarlo diganme.

Les dejo aqui el log que me lanzo el HJT:



Logfile of HijackThis v1.99.1

Scan saved at 16:42:09, on 28/10/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\Rpcmon.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\sm56hlpr.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Microsoft Javascript Class - {6E28339B-7A2A-47B6-AEB2-46BA53782373} - C:\WINNT\system32\dllcache\javascript.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll (file missing)

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [internat.exe] internat.exe

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CABCFD9C-F2F3-43CF-AB09-6DDD2FC9B167}: NameServer = 192.168.0.1,192.168.0.1

O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: hpdriver - Unknown owner - C:\WINNT\hpdriver.exe (file missing)

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINNT\system32\Rpcmon.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe





Desde ya muchas gracias

Franco

[msc hotline sat]

Estos ficheros son sospechosas, envienos muestra y los analizaremos:



C:\WINNT\system32\Rpcmon.ex







y estas entradas cargan troyanos , eliminelas:



O2 - BHO: Microsoft Javascript Class - {6E28339B-7A2A-47B6-AEB2-46BA53782373} - C:\WINNT\system32\dllcache\javascript.dll (file missing)



O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll (file missing)



O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe



O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab



O23 - Service: hpdriver - Unknown owner - C:\WINNT\hpdriver.exe (file missing)



O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINNT\system32\Rpcmon.exe





Recuerde:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334





saludos



ms, 29-10-2006

[kyto_1_90]

Lamento informarles que no pude enviarles la muestra del rpcmon.exe, ya que zipeada y sin zipear no me deja porque el mail le encuentra el virus.

Diganme como puedo hacerselo llegar.

Muchas gracias

Franco

[msc hotline sat]

Decimos zipeada pero con password VIRUS:


[quote]


Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte




[/quote]

Es tal como enviamos desde hace años las muestras a McAfee, por indicacion de ellos



saludos



ms, 29-10-2006

[kyto_1_90]

HGOla, les queria avisar que ya les envie la muestra del Rpcmon.exe, y que cualquier novedad por favor me avisen.

Yo tya hice los pasos que me dijeron con el HJT, pero el rpcmon sigue en la maquina comiendo mucho porcentaje de la memoria y reiniciandola a cada rato (son los sintomas de los que me doy cuenta, no se si hara alguna otra cosa).

Por favor si encuentran una solucion y me avisan, estare muy agradecido.

Muchas gracias

Franco

[msc hotline sat]

Tan pronto entremos a trabajar en SATINFO lo veremos y hoy diremos algo



saludos



ms, 31-10-2006

311006E

[msc hotline sat]

Recibida la muestra, se detecta en ella un IRCBOT que pasamos a controlar en la version de hoy del ELITRIIP



saludos



ms, 31-10-2006

311006ET

[msc hotline sat]

Ya disponible en esta web nueva version del ELITRIIP al respecto:



https://foros.zonavirus.com/aqui-vp72288.html#72288



saludos



ms, 31-10-2006

[kyto_1_90]

Hola, les dejo el mensaje mas que nada para agredecerles, la verdad son la mejor pagina que existe, sigan asi; siempre me salvan, muchisimas gracias.

Les dejo el log que me tiro ahora el HTS, para ver si me quedo algo adentro de la maquina.



Logfile of HijackThis v1.99.1

Scan saved at 22:07:02, on 31/10/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\sm56hlpr.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINNT\System32\MsiExec.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Symantec AntiVirus\VPTray.exe

C:\WINNT\system32\ntvdm.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{CABCFD9C-F2F3-43CF-AB09-6DDD2FC9B167}: NameServer = 192.168.0.1,192.168.0.1

O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe







Desde ya, miles de gracias.

Franco

[msc hotline sat]

LOG LIMPIO !



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 9-11-2006