hola a tod@s
He detectado que estando mi ordenador encendido este proceso y otros de nombre similar (solo cambian en que al principio y al final llevan unos numeros) estan continuamenmte ejecutandose y se llevan buena parte de los recursos de mi pc. aveces el firewal bloquea alguno de ellos y tras eliminarlo aparecen otra vez con distinto ombre. ¿que puede ser?
saludos
exhmrgas.exe es un virus?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: exhmrgas.exe es un virus?
Pues sí, parece que hay una nueva variante no muy controlada todavía, por lo que necesitamos nos envies uno de estos ficheros para analizar.
Tambien envianos si lo encuentras el C:\WINDOWS\system\smvss.exe , que parece estar relacionado.
ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253
Por si fuera el caso, prueba el ELITRIIP, con el que ya controlamos una variante que usa el mismo nombre de fichero para su gusano:
ELITRIIP
---v4.42---(22 de Febrero del 2008) (Muestras BackDoor.CMQ "SMVSS.EXE")
ms, 24-2-2008
NOTA: Esn este post en frances se indica algo sobre el mismo:
Tambien envianos si lo encuentras el C:\WINDOWS\system\smvss.exe , que parece estar relacionado.
ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253
Por si fuera el caso, prueba el ELITRIIP, con el que ya controlamos una variante que usa el mismo nombre de fichero para su gusano:
ELITRIIP
---v4.42---(22 de Febrero del 2008) (Muestras BackDoor.CMQ "SMVSS.EXE")
saludospara DESCARGAR el ELITRIIP, msc escribió:
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de
C:\infosat.txt para ver el resultado del proceso
ms, 24-2-2008
NOTA: Esn este post en frances se indica algo sobre el mismo:
ms.pparemment, depuis moins de 48h circule un nouveau virus. (Edit: 96h plutôt...)
Il n'est pas encore identifiable, ni identifié par les antivirus du commerce.
Il génère des fichier *.exe qui se cumulent dans:
C:\Documents and Settings\Poisson rouge\Local Settings\Temp
Le nom est plus ou moins aléatoire:
17exgmrgml19
22exgmrgml19
71exhmrgas5
75exhmrgas5
77exhmrgas5
81exhmrgas5
Edit: Il rajoute aussi des fichier .conf:
gmrgml19.exe.conf
hmrgas5.exe.conf
Les "xhmrgas" ont un icône orange/vert/bleu montrant 3 lettre "HFC".
Les "exgmrgml" ont un icône system neutre de couleur grise.
Les antivirus détectent les exe ainsi crée comme ceci:
Trojan horse BackDoor.Generic9.ULK (Avec AVG)
Mais ils n'arrivent pas à détecter l'origine de la création de ces *.exe dans temp.
Il se peut que l'un d'entre eux (apparemment jamais plus d'un a la fois) soit lancer, et donc présent dans les processus en cours (ctrl+alt+suppr).
Une fois le processus kické... on peut tous les supprimer de temp...
Mais ils finiront par revenir tout seul au bout de 1 à 2h.
Effet sur la machine:
-Cheval de troie ?
-Ralentissement
-Peut vous faire perdre le focus sur la fenêtre en cours (de manière plus ou moins fréquente).
Pour certaine personne, ce dernier effet peut rendre problématique le simple faire d'écrire du texte (dans un forum ou un notepad... vu le focus vire sans arrêt).
Cause de la contamination:
Aucune idée pour le moment... aucun antivirus ne trouve le fichier d'origine.
Aucune pare feu ne semble bloquer l'infection.
Il pourrait être lié a un autre processus "smvss.exe" situé dans C:\WINDOWS\system.
Processus qui se rajoute dans les options de démarrage (msconfig/démarrage).
Processus qu'on peut supprimer mais qui revient tout seul au bout d'un moment...
Il n'est pas détecté comme étant un virus par les antivirus.
Perso je ne sais pas comment j'ai été infecté.
Mon pc a une installe toute neuve...
Je n'ai installé aucun logiciel d'origine inconnue.
Je n'ai pas ouvert de pièce jointe en mail.
Je n'ai lancé aucun exe d'origine non connue.
Etc...
(Je précise pour info qu'en 10ans d'informatique, mon pc n'a jamais été infecté une seule fois... c'est une première pour moi).
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
victoriaMA
- Mensajes: 11
- Registrado: 24 Feb 2008, 11:24
Re: exhmrgas.exe es un virus?
hola
os pego el infosat del elistara y del elitriip
Sun Feb 24 12:15:39 2008
EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado
Entrada Eliminada [HKCU\...\Run] "TWVVJOWEUX"="c:\documents and settings\ángel y victoria\configuración local\datos de programa\twvvjoweux.exe twvvjoweux"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Feb 24 12:23:15 2008
EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\DNA\plugins\NPBTDNA.DLL --> Eliminado, Malware.DNA(dll)
Sun Feb 24 12:31:23 2008
EliTriIP v4.42 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SMVSS.EXE.Muestra EliTriIP v4.42
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM\SMVSS.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "devenv"="C:\WINDOWS\system\smvss.exe /w"
Entrada Eliminada [HKCU\...\Run] "Update Service"="C:\ARCHIV~1\ARCHIV~1\TEKNUM~1\update.exe /startup"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Sun Feb 24 12:31:47 2008
EliTriIP v4.42 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)
Sun Feb 24 12:36:29 2008
EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Feb 24 12:36:51 2008
EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.
saludos
os pego el infosat del elistara y del elitriip
Sun Feb 24 12:15:39 2008
EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado
Entrada Eliminada [HKCU\...\Run] "TWVVJOWEUX"="c:\documents and settings\ángel y victoria\configuración local\datos de programa\twvvjoweux.exe twvvjoweux"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Feb 24 12:23:15 2008
EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\DNA\plugins\NPBTDNA.DLL --> Eliminado, Malware.DNA(dll)
Sun Feb 24 12:31:23 2008
EliTriIP v4.42 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SMVSS.EXE.Muestra EliTriIP v4.42
a "
C:\WINDOWS\SYSTEM\SMVSS.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "devenv"="C:\WINDOWS\system\smvss.exe /w"
Entrada Eliminada [HKCU\...\Run] "Update Service"="C:\ARCHIV~1\ARCHIV~1\TEKNUM~1\update.exe /startup"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Sun Feb 24 12:31:47 2008
EliTriIP v4.42 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)
Sun Feb 24 12:36:29 2008
EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Feb 24 12:36:51 2008
EliStartPage v15.72 (c)2008 S.G.H. / Satinfo S.L.
saludos
Re: exhmrgas.exe es un virus?
Pues envianos esto
Por favor, envienos una muestra del fichero
C:\Muestras\SMVSS.EXE.Muestra EliTriIP v4.42
y muy importante actualizar el pc pues es un coladero de bichos sin actualizar, saludos
Por favor, envienos una muestra del fichero
C:\Muestras\SMVSS.EXE.Muestra EliTriIP v4.42
y muy importante actualizar el pc pues es un coladero de bichos sin actualizar, saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: exhmrgas.exe es un virus?
Sí, seguro que se trata de otra variante del que detectamos con la actual versión del ELITRIIP:
ELITRIIP
---v4.42---(22 de Febrero del 2008) (Muestras BackDoor.CMQ "SMVSS.EXE")
Cuando recibamos la muestra indicada, la analizaremos e implementaremos su control y eliminacion en la siguiente version de dicha utilidad, de lo cual informaremos
y aparte, lo que ya le indica lucl, actualice los parches lanzando un windowsupdate
saludos
ms, 25-2-2008
ELITRIIP
---v4.42---(22 de Febrero del 2008) (Muestras BackDoor.CMQ "SMVSS.EXE")
Cuando recibamos la muestra indicada, la analizaremos e implementaremos su control y eliminacion en la siguiente version de dicha utilidad, de lo cual informaremos
y aparte, lo que ya le indica lucl, actualice los parches lanzando un windowsupdate
saludos
ms, 25-2-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: exhmrgas.exe es un virus?
Efectivamente, monitorizada la muestra resulta ser una variante del Backdoor CMQ , que pasamos a controlar con el ELITRIIP de hoy 4.43, que estará disponible en esta web a partir de las 19 h >GMT de hoy, para pruebas de evaluacion en el foro de zonavirus.
Tras probarlo, posteanos el c:\infosat.txt para ver el resultado, gracias
saludos
ms, 25-2-2008
Tras probarlo, posteanos el c:\infosat.txt para ver el resultado, gracias
saludos
ms, 25-2-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
victoriaMA
- Mensajes: 11
- Registrado: 24 Feb 2008, 11:24
Re: exhmrgas.exe es un virus?
hola
gracias por todo
ya esta todo solucionado. el infosat esta limpio
saludos
gracias por todo
ya esta todo solucionado. el infosat esta limpio
saludos
Re: exhmrgas.exe es un virus?
Igual aunque este limpio se te pide que pegues el log aqui en el foro.
Y compleméntalo posteándonos el Log del HJT:
HJT: (HiJackThis)
¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.
¿Como arrancar en modo a prueba de fallos?
http://www.zonavirus.com/articulos/como ... fallos.asp
Opcional:
Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.
Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:
https://www.virustotal.com/es/
https://www.pandasecurity.com/spain/hom ... antivirus/
Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:
http://www.zonavirus.com/antivirus-on-line/
Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.
https://www.kaspersky.es/downloads/than ... s-download
Y para el tema de los autorun descargate del siguiente enlace el elipen:
http://www.zonavirus.com/descargas/elipen.asp
Saludos.
Y compleméntalo posteándonos el Log del HJT:
HJT: (HiJackThis)
¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.
¿Como arrancar en modo a prueba de fallos?
http://www.zonavirus.com/articulos/como ... fallos.asp
Opcional:
Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.
Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:
https://www.virustotal.com/es/
https://www.pandasecurity.com/spain/hom ... antivirus/
Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:
http://www.zonavirus.com/antivirus-on-line/
Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.
https://www.kaspersky.es/downloads/than ... s-download
Y para el tema de los autorun descargate del siguiente enlace el elipen:
http://www.zonavirus.com/descargas/elipen.asp
Saludos.
Re: exhmrgas.exe es un virus?
Dices el infosat esta limpio. Deberia darte que ha eliminado el virus del que enviaste muestra. Peganos el infosat como te indica claudia ,para que veamos el resultado y darlo por solucionado en caso de que asi sea. Y aunque no hace falta que pongas el hijackthis salvo que te lo pida msc, lo que si has de hacer es actualizar urgentemente, saludos