Helpassistant y otro problemas (TERMINADO)

[thewalrus70]

Estimados amigos



Desde que hace unos días quité algunos virus con el malwarebytes he notado varios errores en mi sistema, entre ellos:



1) Tarda un mundo en arrancar el sistema operativo. Al arrancar crea un usuario llamado "Helpassistant" que a su vez copia la carpeta del usuario activo de c:\Documents and Settings\.... Suele ocupar entre 500 y 800 Mb.



En el tema del usuario "Helpassistant" he leido en este foro que podría tratarse de un rootkit de MBR y que la solución sería el de ejecutar la consola de recuperación desde el CD de Windows y lanzar un FIXMBR pero a mi no me ha funcionado, después de varios intentos se sigue creando el usuario y la carpeta después de cada reinicio.



También he visto en otros foros que bajando la utilidad mbrfix.exe y lanzando un fixmbr desde modo seguro y después de quitar restaurar sistema se resolvía pero nada de nada, vuelvo a reiniciar y se vuelve a crear la carpeta "HelpAssistant" y el usuario cada vez.



2) En muchas ocasiones, al realizar alguna acción, sale un error de "explorer.exe" que se debe cerrar. Pongo un ejemplo: si borro algunas canciones en mp3, dentro de la papelera de reciclaje no puedo pulsar en "vaciar la papelera de reciclaje" ya que sale el error de "explorer.exe". La única forma de borrar archivos es seleccionarlos con el ratón y eliminarlos con la X.



3) El Windows Live Messenger no funciona. Nada más pulsar el ejecutable sale un error de windows que nos indica que "Windows Live Messenger ha detectado un problema y debe cerrarse. Sentimos los inconvenientes ocasionados".



4) Para apagar el sistema, en algunas ocasiones tarda una eternidad y en otras directamente no apaga; la única forma de apagarlo es darle al RESET, esperar que reinicie y volver a apagar.



Para más ayuda dejo mi log de Hijackthis:



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2:29:00, on 14/11/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\D-Tools\daemon.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\AcroRd32.exe

E:\Archivos de Programa\Firefox Portable 3.5 [ES]\FirefoxPortable\App\firefox\firefox.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.realgm.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 3082

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.09\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.09\MediaManager\grab.html

O8 - Extra context menu item: Save Flash - res://C:\Archivos de programa\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Archivos de programa\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173177356234

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{509D95FF-21ED-49EF-80B2-3BC517FCB913}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe



--

End of file - 8993 bytes



Espero que podais ayudarme ya que estoy desesperado y no se como resolverlo.



Un abrazo.

[msc hotline sat]

Pues de entrada, decirle que usando el Buscador del foro hubiera visto un Tema similar ya solucionado en https://foros.zonavirus.com/viewtopic.php?f=5&t=30078&p=166572&hilit=helpassistant#p166572



[img]http://www.satinfo.es/zonavirus/buscarforo.jpg[/img]



Buscador : https://foros.zonavirus.com/search.php



Pues pruebe lo allí indicado, el ELISTARA y el FIXMBR, y cuentenos el resultado, gracias



saludos



ms, 14-11-2009







NOTA: y recuerde https://foros.zonavirus.com/viewtopic.php?f=5&t=29543

[thewalrus70]

Hola amigo



Como ya indiqué en mi mensaje, sí busqué en el foro, encontré el mensaje, realicé los pasos y NO me funcionó. Cito:



"En el tema del usuario "Helpassistant" [b][u]he leido en este foro[/u][/b] que podría tratarse de un rootkit de MBR y que la solución sería el de ejecutar la consola de recuperación desde el CD de Windows y lanzar un FIXMBR [b][u]pero a mi no me ha funcionado[/u][/b], después de varios intentos se sigue creando el usuario y la carpeta después de cada reinicio".



Probaré buscando en otros foros y si no encuentro solución pues formatearé.



Gracias por la ayuda y por tu tiempo



Un abrazo.

[msc hotline sat]

Pero has probado con el ELISTARA como se indica, ademas del FIXMBR ???



Pues posteanos el contenido de c:\infosat.txt , gracias



saludos



ms, 14-11-2009







Y si quieres, posteanos el contenido del informe generado por el SPROCES, que es mas exhaustivo que el del HJT:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



Y en cualquier caso, dado que indicas problemas de sistema, por si hubiera quedado afectado, puedes probar lanzando una REPARACION DE SISTEMA:


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

ms.

[thewalrus70]

Hola amigo



No me compensa, voy a formatear.



Gracias por la ayuda y disculpa por las molestias. Puedes dar el tema por cerrado o por eliminado.



Un abrazo.

[msc hotline sat]

Estás en tu derecho, pero vamos, no es forma de arreglar el problema, pues si te vuelve a pasar (lo cual es probable si no sabemos lo que te lo ha causado), estaremos en las mismas.



De todas formas, como indicas, damos el Tema por terminado y procedemos a cerrarlo



saludos



ms, 14-11-2009

ref SP/Carr+40.764-6.0