Revisar log Hijackthis POR VIRUS ILHADAFANTASIA.LAND.RU

Patri/*- · Mensaje por **Patri/*-** » 26 Sep 2006, 22:16

Teniendo en cuenta la notificación recibida con respecto a la revisión del HIJACKTHIS.LOG, y realizados los pasos sugeridos a continuación remito los informes de InfoSat.txt y el log hijackthis.log, asimismo les informo que aunque realice los pasos recomendados el problema continua, tambien el archivo que borra corresponde a uno que se requiere para abrir el correo de outlook el archivo es AVGXCH32.DLL

INFORME:

InfoSat.txt

Tue Sep 26 14:11:29 2006

EliStartPage v12.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Grisoft\AVG Free\AVGXCH32.DLL.VIR.VIR --> Eliminado, Puper (BHO)

Hijackthis.log

Logfile of HijackThis v1.99.1

Scan saved at 02:40:05 p.m., on 26/09/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\SYSTEM32\DNTUS26.EXE

C:\WINNT\SYSTEM32\DWRCS.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\SYSTEM32\DWRCST.exe

C:\WINNT\system32\pctspk.exe

C:\WINNT\system32\PV92Tray.exe

C:\Archivos de programa\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe

C:\Archivos de programa\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Santa Cruz Networks\vSkype\vSkype.exe

C:\WINNT\vsnpstd.exe

C:\ARCHIV~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe

C:\WINNT\rqqsnd.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Santa Cruz Networks\vSkype\vskypebuttonclient.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 65.243.121.132:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = LosProtectores

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_6_2_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Barra de heramientas - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\COMPAN~1\Installs\cpn0\ycomp5_6_2_0.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [CXMon] "C:\Archivos de programa\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [MW1HelperStartUp] C:\ARCHIV~1\MAGICW~1\MW1HEL~1.EXE /partner MW1

O4 - HKLM\..\Run: [BO1HelperStartUp] C:\ARCHIV~1\BUTTER~1\BO1HEL~1.EXE /partner BO1

O4 - HKLM\..\Run: [vSkype] C:\Archivos de programa\Santa Cruz Networks\vSkype\vSkype.exe

O4 - HKLM\..\Run: [PC-CAM 350 STI App Registration] RunDLL32.exe P1060pin.dll,RunDLL32EP 513

O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe

O4 - HKLM\..\Run: [rqqsnd] C:\WINNT\rqqsnd.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe" -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Spark] C:\Archivos de programa\Spark\Spark.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesar.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesar.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = campusa2.edu.co

O17 - HKLM\System\CCS\Services\Tcpip\..\{824EE633-9C95-4D1D-A2DA-55CE81AC54D5}: NameServer = 65.243.121.134,65.243.121.2,192.168.2.7

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = campusa2.edu.co

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = campusa2.edu.co

O18 - Protocol: vskype - (no CLSID) - (no file)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINNT\SYSTEM32\DNTUS26.EXE

O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

Agradezco su atención,

Patricia

Mensaje por **msc hotline sat** » 27 Sep 2006, 12:05

La actual versikn 12.41 del ELISTARA ya no elimina el driver indicado del AVAST

Pruebalo y envianos muestra de estos ficheros:

O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe

O4 - HKLM\..\Run: [rqqsnd] C:\WINNT\rqqsnd.exe

Aparte de los que pudiera pedir el nuevo ELISTARA

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SALUDOS

MS, 27-9-2006

Patri/*- · Mensaje por **Patri/*-** » 28 Sep 2006, 21:17

Nuevamente realice los pasos sugeridos para eliminar el virus ILHADAFANTASIA.LAND.RU, pero el problema aun persiste. A continuación relaciono el resultado de los procesos sugeridos y realizados:

Se corrio el proceso en el ELISTARA VERSION 12.41

INFORME:

Wed Sep 27 09:40:12 2006

EliStartPage v12.41 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Sep 28 13:27:56 2006

EliStartPage v12.41 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Con respecto a la muestra de los archivos C:\WINNT\vsnpstd.exe y C:\WINNT\rqqsnd.exe, le agradeceria como hago para remitirla o que datos se requiere ya que no es posible adjuntar el archivo por que es un punto exe.

Agradezco su gentil colaboracion

Cordial saludo, Patricia

Mensaje por **maura63** » 28 Sep 2006, 21:42

Comprimelos con el winzip ó winrar y como password pones VIRUS.

Asi podras enviarlos.

Saludos

maura63

Patri/*- · Mensaje por **Patri/*-** » 28 Sep 2006, 21:58

Ya intente remitir los archivos con extensiones zip y rar y no estan permitidas, por favor les agradezco su orientación para poder remitir las muestras de los archivos solicitados.

Cordial saludo, Patricia

novatillo · Mensaje por **novatillo** » 28 Sep 2006, 22:22

Lo que debes hacer una vez comprimido en rar es ponerle contraseña para que el antivirus te permita el envio y como contraseña lo que te indicaba MAURA63 "virus"

Saludos.

Mensaje por **msc hotline sat** » 29 Sep 2006, 06:20

De los dos ficheros solicitados como muestras para analizar, el primero puede ser un driver de camara de video por USB, pero el segundo tiene muchas posibilidades de ser el gusano que buscamos

O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe

O4 - HKLM\..\Run: [rqqsnd] C:\WINNT\rqqsnd.exe

el rqqsnd.exe se encuentra en los Temas de este foro que se relacionan con este virus

Por cierto, que al buscarlos he visto que este Tema empezaba en:

https://foros.zonavirus.com/aqui-vp68421.html#68421

que se ha cerrado en consecuencia !

No deben abrirse Temas paralelos !!! Quedas avisad@ Patri/*-

saludos

ms, 29-9-2006