AYUDA CON SMIFRAUD-C.KEYLOGGER (SOLUCIONADO)

aeeh2856 · Mensaje por **aeeh2856** » 24 Dic 2006, 11:01

Hola a todos, necesito ayuda, con este spiware, troyano, o lo que sea, me lo detecta el spybot-search, y le doy a reparar, pero vuelve a aparecer en el siguente analisis, he probado, varias cosas como ELISTARA.31122006, en modo seguro y teniendo desactivado restauracion del sistema, tambien tengo instalado, el adware-se que por cierto no me lo detecta. Tambien me detecta el smifraud, sin lo de keyloger, en dos entradas diferente el spybot.

Leyendo en este foro y alguno más he oido hablar del hijack this, y os adjunto el listado del bloc de notas

Logfile of HijackThis v1.99.1

Scan saved at 9:54:35, on 24/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\scvhost.exe

C:\WINDOWS\scvhost.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\scvhost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe

O4 - HKLM\..\Run: [DVD43] C:\ARCHIV~1\DVDIDL~1\DVDIdlePro.exe /hidden

O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\scvhost.exe

O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [L07EXLRD_6351265] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2007 DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F48193B7-0BEE-407E-B170-FDFFD5EBB4E9}: NameServer = 62.151.8.100,62.151.2.8

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Bueno, gracias por vuestra ayuda, y si debiera haber escrito esto en algún otro sitio, o ponerlo de otra manera, disculparme, decirme como lo tengo que hacer y con sumo gusto lo hare, un saludo a todos. Y FELIZ NAVIDAD

Mensaje por **msc hotline sat** » 24 Dic 2006, 11:23

Mientras analizamos el log del HJT, posteenos el contenido de C:\infosat.txt, creado por el ELISTARA, gracias

saludos

ms, 24-12-2006

Mensaje por **msc hotline sat** » 24 Dic 2006, 11:28

Lo que salta a la vista es este malware:

C:\WINDOWS\scvhost.exe

fijarse que dice scvhost.exe en lugar de SVCHOST.EXE y ademas es lanzado desde la carpeta de windows, no desde la de sistema, como siempre lo es el otro...

Prueba el ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 24-12-2006

aeeh2856 · Mensaje por **aeeh2856** » 24 Dic 2006, 11:52

Hola de nuevo, te pongo el infosat, creado por el elistar, este ultimo programa que me has indicado, si ha detectado algo,

Sun Dec 24 10:33:14 2006

EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

Sun Dec 24 10:41:04 2006

EliTriIP v2.93 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SCVHOST.EXE --> Renombrado a .VIR

C:\WINDOWS\scvhost.exe.VIR --> Eliminado

Entrada Eliminada [HKLM\...\Run] "WINDOWS UPDATE"="C:\WINDOWS\scvhost.exe"

Entrada Eliminada [HKLM\...\RunOnce] "WINDOWS UPDATE"="C:\WINDOWS\scvhost.exe"

Entrada Eliminada [HKLM\...\RunServices] "WINDOWS UPDATE"="C:\WINDOWS\scvhost.exe"

ALERTA. WindowsUpdate Incompleto.

Sun Dec 24 10:47:43 2006

EliTriIP v2.93 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Lo de alerta, WindowsUpdate Incompleto, tiene importancia.

De nuevo un saludo

Mensaje por **msc hotline sat** » 24 Dic 2006, 12:13

Tenias un Backdoor de IRC (IRCBOT) que ha sido eliminado.

Y lo de la alerta es porque usas I.E.7 y encuentra a faltar el MS06-072 que no se instala en esta version son 4 correciones para el I.E.6. que proximamente dejaremos de controlar en el I.E.7, lo cual ya hemos dicho varias veces ultimamente en este foro

Dinos si ya con esto se acabaron los problemas, gracias

saludos

ms, 24-12-2006

aeeh2856 · Mensaje por **aeeh2856** » 24 Dic 2006, 12:20

Le he vuelto a pasar el spybost, y ya no me detecta nada, supongo que el problema esta solucionado, pero veis algo raro, el info. Es que cuando le doy a reiniciar, tarda al menos cuatro minutos, en windows se esta cerrado, y cuando le he iniciado en modo seguro, se ha quedado parado mas de 5 minutos, un par de veces, le he reiniciado pensando que se habia bloqueado.

Y lo de ALERTA. WindowsUpdate Incompleto, eso es importante, lo tengo que solucionar.

Bueno de nuevo muchas gracias por vuestra atencion, (que gusto que alguien este el dia de nochebuena al pie del cañon)un saludo

Mensaje por **msc hotline sat** » 24 Dic 2006, 12:40

Sobre la alerta del windowsupdate incompleto, ya te hemos contestado en el post anterior, que solo es opara el I.E-6 y ya usas el 7.

Lo de que tarda mucho en apagar, es por alguna aplicacion que está dañada y le cuesta cerrar. Sería cuestion de reinstalarla, y parta saber cual es cuestion de hacer pruebas, primero arranvanbdo en modo seguro y no cargar nada, y al cerrar ver si tarda tanto, para saber si es de algo del sistema operativo, y si es asi, REPARAR windows, y si no, arrancar en modo normal y cerrar aplicaciones con el administrador de tareas y, al apagar, ver si era la que molestaba y reinstalarla. Bastante tedioso pero...

Aparte lanza una comprobacion de errores y luego desfragmenta:

MIPC -> BOTON DERECHO SOBRE UNIDAD C -> PROPIEDADES -> HERRAMIENTAS -> compriobar & DESFRAGMENTAR

saludos

ms, 24-12-2006

aeeh2856 · Mensaje por **aeeh2856** » 25 Dic 2006, 13:22

MIL GRACIAS, A TODOS LOS COMPONENTES DE ESTE FORO, MI PROBLEMA SE HA SOLUCIONADO, ES INCREIBLE VUESTRO CONOCIMIENTO Y LA RAPIDEZ EN ATENDER UN PROBLEMAS,

FELIZZZZZZZZZZ NAVIDADDDDDD

Mensaje por **msc hotline sat** » 28 Dic 2006, 19:48

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 28-12-2006