generic host process for win32

[johny_mza]

hola miren tengo un problema que me sale lo siguiente generic host process for win32 cada vez que quiero ejecutar algun programa me sale ese error, ejecute el hijackthis y me salen todas estas cosas pero no se bien de que lo que son si alguien me puede ayudar please quisera sacar ese problema y todas las cosas que no tengan nada que ver con mi pc por favor



Logfile of HijackThis v1.99.1

Scan saved at 11:22:58, on 07/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5700.0007)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\MMediaCodec\isamonitor.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\rnamfler\naomf.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\svchost.exe

C:\Archivos de programa\MMediaCodec\isamini.exe

c:\archivos de programa\rnamfler\radprcmp.exe

C:\WINDOWS\svchost.exe

C:\Archivos de programa\rnamfler\naofsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\masinter.PC4\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://latam.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {d869742a-e5d2-4624-96c7-aae26170665e} - C:\Archivos de programa\MMediaCodec\isaddon.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [wrna3ls] C:\Archivos de programa\rnamfler\naomf.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://jonymza2o02.spaces.live.com//PhotoUpload/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B95B1F02-F0E9-4CE1-9D93-AEF07C474656}: NameServer = 200.51.211.7,200.63.71.135

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: RdnaoFlSvc - Unknown owner - C:\Archivos de programa\rnamfler\naofsvc.exe

[msc hotline sat]

Mientras analizamos el log, lance un windowsuodate, pues es tipico de no tener parcheado el sistema con los ultimos parches de microsoft...



proseguimos con el analisis:

[msc hotline sat]

Mientras analizamos el log, lance un windowsupdate, pues es tipico de no tener parcheado el sistema con los ultimos parches de microsoft...



proseguimos con el analisis:



Ufff ! hay de todo. Primero debe hacerse una limpieza con ELITRIIP Y ELISTARA:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y tras reiniciar, junto con el contenido del infosat.txt envienos el siguiente fichero:



C:\Archivos de programa\rnamfler\naomf.exe



anexado a un mail dirigido a zonavirus@satinfo.es ,indicando como referencia el nick que usas en el foro.



Tras ello ya estará a punto de postear el lof del HJT actualizado



saludos



ms, 7-11-2006

[johny_mza]

Logfile of HijackThis v1.99.1

Scan saved at 19:04:50, on 08/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5700.0007)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\rnamfler\naofsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\rnamfler\naomf.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\system32\wuauclt.exe

c:\archivos de programa\rnamfler\radprcmp.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\NOTEPAD.EXE

C:\WINDOWS\svchost.exe

C:\Documents and Settings\masinter.PC4\Mis documentos\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [wrna3ls] C:\Archivos de programa\rnamfler\naomf.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://jonymza2o02.spaces.live.com//PhotoUpload/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B95B1F02-F0E9-4CE1-9D93-AEF07C474656}: NameServer = 200.51.211.7,200.63.71.135

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: RdnaoFlSvc - Unknown owner - C:\Archivos de programa\rnamfler\naofsvc.exe

[msc hotline sat]

Deciamos:



"Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso"

[johny_mza]

Wed Nov 08 18:57:23 2006

EliTriIP v2.74 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliTriIP v2.74

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Renombrado a .VIR



Wed Nov 08 18:57:46 2006

EliStartPage v12.67 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SvcHost.exe.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v12.67

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\MMEDIACODEC\ISAMINI.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.67

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\MMEDIACODEC\ISADDON.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v12.67

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\MMEDIACODEC\ISAMONITOR.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\TCLOCK_INSTALL.EXE.Muestra EliStartPage v12.67

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\TCLOCK\TCLOCK_INSTALL.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\TCLOCK\TCLOCK.EXE --> Eliminado TClock

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.67

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\MMEDIACODEC\ISADDON.DLL --> Acceso Denegado.

Eliminada Class, "{D869742A-E5D2-4624-96C7-AAE26170665E}" -> C:\Archivos de programa\MMediaCodec\isaddon.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Nov 08 19:00:01 2006

EliStartPage v12.67 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Archivos de programa\MMediaCodec\ISAMINI.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.67

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\MMEDIACODEC\ISADDON.DLL --> Eliminado

C:\Archivos de programa\MMediaCodec\ISAMONITOR.EXE.VIR --> Eliminado.

Eliminada Class, "{D869742A-E5D2-4624-96C7-AAE26170665E}" -> C:\Archivos de programa\MMediaCodec\isaddon.dll

Eliminada Carpeta "%Archivos de Programa%\TClock"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Pues envianos las muestras que se te piden, pero recuerda:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ç



ficheros a enviar:


[quote]


Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliTriIP v2.74



Por favor, envienos una muestra del fichero

C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v12.67



Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.67



Por favor, envienos una muestra del fichero

C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v12.67



Por favor, envienos una muestra del fichero

C:\Muestras\TCLOCK_INSTALL.EXE.Muestra EliStartPage v12.67


[/quote]

saludos



ms, 14-11-2006