Creo que tengo a este Smitfreud-C

maese · Mensaje por **maese** » 22 Feb 2007, 20:59

Al grano:

Despues de pasar todos estos (Adware SE 6.2, Spybot search & destroy 1.4, web root spy sweeper 4.5, Ewido antispyware, spyware doctor 4.0 y creo que alguno mas), me encuentran varias infeciones y dicen que las limpian excepto al tal Smitfreud-c.

Los sintomas son que parece como si siempre estuviese pensando el ordenador, y que un icono en la barra de tareas con el mensaje costante de que "you are infected" y que me descargue noseque del windows update.

Pase los anteriores programas en modo normal y a prueva de fallos, con el restaurar sistema desactivado, y el problema continua.

---------

Logfile of HijackThis v1.99.1

Scan saved at 20:03:41, on 22/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\wmiprsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\system32\tcpipmon.exe

C:\WINDOWS\system32\tcpipmon.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe

C:\Documents and Settings\Maesevil\Mis documentos\yz_dck0083\YzDock.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Maesevil\Escritorio\HijackThis.exe

C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Archivos de programa\Free Download Manager\iefdmcks.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [NVTray] C:\Archivos de programa\NVTray\NVTray.exe

O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

O4 - Startup: Acceso directo a YzDock.lnk = C:\Documents and Settings\Maesevil\Mis documentos\yz_dck0083\YzDock.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Archivos de programa\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dllink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CB47A6E-7B06-4D62-AAED-425C0D22E493}: NameServer = 192.168.1.1,62.14.4.64

O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E7B76B-C788-4F29-976C-8787416FAA29}: NameServer = 194.179.1.100,194.179.1.1,87.216.1.65,80.58.0.97,62.151.2.65

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: System - {7B3B9343-A004-47E4-B099-35D3F7A8AA8B} - dgflib.dll (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Microsoft Validation Service - Unknown owner - C:\WINDOWS\wmiprsv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe

O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

-----------

Por favor ayuda :roll:

Gracias de antemano y pido disculpas si deberia haber posteado en otra seccion, pero soy nuevo en estos lares.

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 21:06

Descargate estas 2 ELISTARA y ELINOTIF.DLL las guardas ambas en el escritorio y las ejecutas en modo seguro...

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Te creara un log de esta manera: C:\infoSat.txt copia contenido y pegalo aqui...

Manda muestras de estas:

C:\Documents and Settings\Maesevil\Mis documentos\yz_dck0083\~~[b]~~YzDock.exe[/b]

C:\WINDOWS\system32\~~[b]~~ntos.exe [/b]

C:\Archivos de programa\Rainlendar2\~~[b]~~Rainlendar2.exe [/b]

C:\WINDOWS\system32\~~[b]~~tcpipmon.exe [/b]

Elimina SPYDOCTOR por cuestiones de lentitud...

Como enviar ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

maese · Mensaje por **maese** » 22 Feb 2007, 21:37

Thu Feb 22 20:25:49 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\RPCC]

Acceso Denegado al fichero

C:\WINDOWS\SYSTEM32\RPCC.DLL

Por favor, envienos una muestra del fichero

que podra copiar arrancando en Consola de Recuperación.

C:\WINDOWS\SYSTEM32\RPCC.DLL --> Acceso Denegado.

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 22 20:26:41 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\EIBKQLK.EXE --> Eliminado, ProcKill.DJ

C:\JIYYWTXQ.EXE --> Eliminado, ProcKill.DJ

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\OpenOffice.org 2.1\program\CANVASFACTORY.UNO.DLL --> Eliminado, SaveNow

C:\Archivos de programa\Spybot - Search & Destroy\BLINDMAN.EXE --> Eliminado, PWS-Lineage

C:\Archivos de programa\Webroot\Spy Sweeper\SSI.DLL --> Eliminado, KeyLogger.FL

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\LY26JK6M\EYRAB[1].HTM --> Eliminado, ProcKill.DJ

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\VZCYTCVQ\YLZQAOJ[1].HTM --> Eliminado, ProcKill.DJ

Thu Feb 22 20:29:26 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.19 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Malware.RPCC

Elininada KEY "Winlogon\Notify\rpcc"

C:\WINDOWS\system32\rpcc.dll -> Eliminado.

Desinstalado EliNotif.dll

Thu Feb 22 20:34:27 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Feb 22 20:34:32 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8FSQ912L\YLZQAOJ[1].HTM --> Eliminado, ProcKill.DJ

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\ID8CDKRD\EYRAB[1].HTM --> Eliminado, ProcKill.DJ

C:\WINDOWS\system32\CRYPTS.DLL --> Eliminado, DownLoader.Crypts

Instalada Utilidad "ELINOTIF.DLL"

pase el elistara en modo seguro, y al iniciar en modo normal despues, se volvio a activar solo, este es el segundo log, el primero elimino 8 cosas.

El icono de la barra de tareas ha desaparecido, pero el cursor me sigue apareciendo con el reloj al lado, como si estuviera trabajando el ordenador en algo.

:?:

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 21:42

Bien pues envie las muestras que le indique haya arriba para su analisis y asi continuar con la limpieza...

[quote]C:\Documents and Settings\Maesevil\Mis documentos\yz_dck0083\YzDock.exe

C:\WINDOWS\system32\ntos.exe

C:\Archivos de programa\Rainlendar2\Rainlendar2.exe

C:\WINDOWS\system32\tcpipmon.exe [/quote]

Envio de Muestras:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Desinstala SPYDOCTOR y en su caso instalate SPYDOCTOR puedes lanzarlo (pero antes actualizalo y lanzalo en Modo Seguro).

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 21:43

Perdon !! SPYBOT en vez de SPYDOCTOR instalate SPYBOT...

SPYBOT:

http://www.zonavirus.com/descargas/spybot-sd.asp

Una disculpa.

maese · Mensaje por **maese** » 22 Feb 2007, 21:58

El archivo ntos.exe no consigo moverlo porque dice que esta siendo usado y tampoco puedo pulsa con el boton derecho sobre el para meterlo a .rar

Los archivos YzDock y railendar los tengo desde hace mucho tiempo y no creo que tenga nada que ver, en cambio tcpip nunca lo habia visto, tiene el mismo icono que me salia en la barra de tareas y cuando termino el proceso vuelve a aparecer otro.

Por cierto muchisimas gracias por tus rapidas respuestas :D

maese · Mensaje por **maese** » 22 Feb 2007, 21:59

Perdon, pero se me olvido decir que ya te mande los archivos excepto el ntos que no puedo.

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 22:02

Metete en Modo seguro y trata de adjuntarlo al archivo .rar, si conocias los ficheros me lo hubieras hecho saber antes pero no hay de que preocuparse.

Trata en modo seguro. Gracias.

maese · Mensaje por **maese** » 22 Feb 2007, 22:23

en modo seguro tampoco puedo, segun he leido por la web ntos.exe es un troyano tambien :( .

Por cierto, nunca consigo cargar windows a la primera ahora, siempre se me reinicia solo justo antes de terminar la carga.

maese · Mensaje por **maese** » 23 Feb 2007, 15:52

Buenas de nuevo, ayer por mi cuenta intenté tomarme la justicia por mi mano, y con la información que fui encontrando eliminé el archivo ntos.exe con ayuda del programa fileassasin, seguí ejecutando elistat en modo seguro pasé regseeker y eliminé un par de lineas con highjack this, (si alguien lee esto que no lo haga, porque la puede cagar como hice yo) por una parte conseguí que el ordenador no esté continuamente "pensando" pero sigo con el archivo tcpipmon.exe que vuelve a crearse siempre y temo que en cualquier momento van a volver los problemas.

Ademas como ya mencioné nunca consigo arrancar windows a la primera y siempre se reinicia :oops:

Perdon por intentar arreglar esto por mi cuenta mientras os pido ayuda, pero esque necesitaba usar el pc.

Si descubris alguna solucion me salvareis del formateo, gracias por adelantado y saludos Nuker