archivo wmedia.exe activo .,.,sospecha de virus help plz!!!

[brucefulus]

miren tengo un proceso con el nombre wmedia.exe pero intento buscarlo para ver aqpertenece y no lo puedo ubicar...pero cada vez q inicio mi maq se inicia ese bendito archivo y me doy cuenta q cuando abro un programa se demora un monton de tiempo en cargarlo..,.,pero si lo desactivo el wmedia .,.,todo regresa a al normalidad........





plz espero una ayuda y gracias de antemano















................



peruvian friend and a warcraft gosu

[caito]

Mira esto:

https://foros.zonavirus.com/viewtopic.php?t=4795

https://foros.zonavirus.com/viewtopic.php?t=5369

Salu2

Caito

[msc hotline sat]

Como sea que segun lo leido en Internet, esta familia no es controlada por antivirus ni antispywares, como puede verse en:



http://unlimitweb02.free.fr/Tutoriaux/Spywares/Foxwar.htm



Si bien puede seguirse las instrucciones alli indicadas (en frances, de facil comprension), rogamos noe envien muestras de los siguientes ficheros, para estudiarlos y kacer una utilidad de desinfeccion automatica, como todas nuiestras ELI...



Para ello pedimos nos anexen copia de los siguientes ficheros :



[b] Wmedia.exe, conponents.exe y shell.exe [/b]





a un mail dirigido a zonavirus@satinfo.es en cuyo texto hagan un copiar u pegar de este post, y contestaremos como respuesta a este Tema



Luego, pueden seguir las instrucciones del articulo indicado, aparte de seguir los tutoriales correctamente indicados por Caito, si bien si esta familia de gusanos no está controlada, no los detectarían las utilidades conocidas.



Pendientes de recibir su e-mail con las muestras, reciban saludos



ms, 10-03-2005

[brucefulus]

man .,.,pero intento buscar el dichoso archivo wmedia.exe pero no lo encuentra el buscador y tb me percate q no puedo inicias mi compu en aprueba de fallos

..,.,.,.,parece q esta vez si me mataron.... T_T

[caito]

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Salu2

Caito

[brucefulus]

aca ta ------gracias de antemano caito





Logfile of HijackThis v1.99.1

Scan saved at 11:38:42 a.m., on 20/03/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\wmedia.exe

C:\WINDOWS\System32\svchost.exe

C:\hijackthis\HijackThis.exe

C:\WINDOWS\System32\wuauclt.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=31403

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=31403

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=31403

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Visua Explorer - {92E1B3F7-0546-421E-9835-904D25B7BA66} - C:\WINDOWS\System32\msiev32.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O4 - HKLM\..\RunOnce: [WindowsMedia] C:\WINDOWS\System32\wmedia.exe -sys

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB

O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/252c206ad760ec323d06/netzip/RdxIE601_es.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106275288015

O16 - DPF: {92E1B3F7-0546-421E-9835-904D25B7BA66} (Visua Explorer) - http://www.latinchatnet.com/chat/MacromediaFlash.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1C9DEE68-670D-4438-9E50-ABA112CD3E99}: NameServer = 200.48.225.130,200.48.225.146

O20 - AppInit_DLLs: ye424lwm8v5exhll.dll.dll.dll.dll.dll.dll

O23 - Service: ASP.NET Admin Service (aspnet_admin) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.40607\aspnet_admin.exe (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

[msc hotline sat]

El WMEDIA.EXE lo tiene en:



C:\WINDOWS\System32\wmedia.exe



Para arrancar en modo seguro, vea otras maneras como indicamos en:



https://foros.zonavirus.com/viewtopic.php?t=5266



Cuando recibamos dicho fichero, monitorizaremos su ejecucion y trataremos de hacer una utilidad de eliminacion automatica.



Aparte de todo ello, mire de actualizar su sistema y navegador, lanzando un windowsupdate.



saludos



ms, 21-03-2005