problema en el messenger (SOLUCIONADO)

[supy]

Acepté un link en el messenger, y ahora lo reenvia a todos mis contactos. Os remito el log para que me ayudéis. gracias



Logfile of HijackThis v1.99.1

Scan saved at 12:10:33, on 27/10/2006

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\msdtc.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINNT\system32\internat.exe

C:\lotus\smartctr\suitest.exe

C:\Archivos de programa\winzip\WZQKPICK.EXE

C:\Archivos de programa\Adobe\Acrobat 4.0\Reader\AcroRd32.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrador\Configuración local\Temp\wz372d\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.savewealth.com/support/ie6/search/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.savewealth.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [rqqsnd] C:\WINNT\rqqsnd.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Lotus Organizer EasyClip.lnk = D:\Lotus\organize\EasyClip.exe

O4 - Global Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe

O4 - Global Startup: Lotus SmartCenter.lnk = D:\Lotus\smartctr\smartctr.exe

O4 - Global Startup: Lotus SuiteStart.lnk = C:\lotus\smartctr\suitest.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\winzip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.savewealth.com

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dominio.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{D763C5C1-BC42-43F6-BB69-AE850E2FE03F}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = dominio.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = dominio.local

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

[msc hotline sat]

Prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





en el INFOSAT veras que te pedimos enviar muestra del rqqsnd.exe que lo habrá movido a la carpeta C:\MUESTRAS, envianoslo segun instrucciones:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 3-11-2006



Y lance un windowsupdate !!!:



Platform: Windows 2000 SP3 (WinNT 5.00.2195)



Le falta el SP4 y todos los posteriores, y eso es tener puertas abiertas a muchos virus, a pesar de los antivirus !

[supy]

He seguido vuestras instrucciones y he pasado el elistara, he actualizado el sp4 y actualizaciones en windows update. Pero aunque en windows update me indica que ya está todo actualizado, el elistara me dice que todavía está incompleto. No se que ocurre. Os he enviado por email las muestras que pedis. Gracias

[msc hotline sat]

Necesitamos postee el informe generado pòr el ELISTARA, abra con el bloc de notas el c:\infosat.txt y peguenos su contenido en su proximo post, gracias



ms.

[supy]

Wed Nov 08 13:01:28 2006

EliStartPage v12.65 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Pues no vemos que en el infosat se detectara otros malwares



Entiendo que la del rqqsnd.exe que vimos en el HJT, en tal caso cuando la recibamos la analizaremos. Acabo de preguntar y hasta ahora (casi las 14 horas, que nos vamos a comer !!) no habia llegado



Lo de los parches, al no tener ni el SP4 , que es de hace mas de 3 años, con lo que los parches posteriores no quedaban bien instalados, y es posible que por ello se detecten anomalias.



saludos



ms, 8-11-2006

[AlbertBiko]

Muchachos:



Desde ya les doy mis felicitaciones por el este site.

Y desesperadamente he estado buscando un antivirus para el probleminha del MSN, el hoy famoso, "Da uma olhada...." y aparentemente lo elimine con el EliStarA.

De todas maneras les posteo el log del .txt

A ver que dicen Uds.



Un saludo.



AlbertBiko

BRASIL



------------------------------------------

Thu Nov 09 00:11:53 2006

EliStartPage v12.67 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Avg Antivirus"="C:\WINDOWS\system32\icpldrvx.exe"



Thu Nov 09 00:12:59 2006

EliStartPage v12.67 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\ConvertMovie 3.0\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Kongsoft\MP3 CD Burner\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek-Test\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Soulseek156C\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\User\Mis documentos\KMCB_INST.EXE --> AutoExtraible

C:\RECYCLER\NPROTECT\00175928.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-583907252-1343024091-839522115-500\DC1.EXE --> Eliminado, PWS-Banker

C:\WINDOWS\system32\IGFXHK.DLL --> Eliminado, MediaBack (BHO)

C:\WINDOWS\system32\CTF\UNINSTALL.EXE --> AutoExtraible

[msc hotline sat]

Sí, el de la "olhada" del icpldrvx.exe, es un viejo conocido ya totalmente controlado, como esperamos hacer con el otro indicado por "supy", el rqqsnd.exe, que tan pronto recibamos la muestra lo pasaremos a analizar y añadir su control en el ELISTARA, de lo que esperamos poder informar pronto en este Tema



saludos



ms, 9-11-2006

[AlbertBiko]

Eso es una respuesta rapida!



Gracias!



Y les comento....que ironia del destino haberme "pegado" ese virus en el pais de los brasucas! y en portugues!



Increible.



Abraços!

[msc hotline sat]

Bueno, si el virus es brasileño, es el idioma de su autor...



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 9-11-2006

[msc hotline sat]

Recibida muestra del RQQSND.EXE



Se implementa su control y eliminacion el el ELISTARA de hoy, ya disponible en esta web



---v12.69-(10 de Noviembre del 2006) (Muestras de (3)Puper-Isa, BackDoor-CVT "WIN***32.DLL", (4)Spy-Agent.AK, Braban(worm) "RQQSND.EXE" y PurityScan "MSHTML2.EXE")





saludos



ms, 10-11-2006