aviso sistema no seguro

terminatar · Mensaje por **terminatar** » 23 Mar 2005, 17:41

Tengo un aviso sospechoso que me envia desde:

c:\windows\system32\helper.exe

He pasado antivirus, ad-aware y spybot pero vuelve a salir.

¿es legítimo de windows?

Gracias.

Logfile of HijackThis v1.99.0

Scan saved at 17:00:40, on 22/03/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\helper.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\Archivos de programa\Messenger\msmsgs.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Documents and Settings\usuario\Escritorio\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\ARCHIV~1\VIRTUA~1\VIRTUA~1.DLL (file missing)

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Microsoft AntiSpyware helper - {FDEF6C80-E45C-432E-81B7-226C4C664522} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {FDEF6C80-E45C-432E-81B7-226C4C664522} - (no file) (HKCU)

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: McAfee.com McShield - Unknown - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Mensaje por **msc hotline sat** » 23 Mar 2005, 18:42

Viendo en el HJT que tiene instalado el antispyware de Microsoft, podría tratarse de algun fichero de ayuda al respecto.

Por el simple nombre no puede saberse, solo se ve que está cargado, y no tiene ninguna clave que lo cargue especificamente, por lo que pudiera cargarlo alguna aplicacion como la comentada.

Para salir de dudas, envienos una muestra de dicho fichero a zonavirus@satinfo.es anexada a un mail cuyo texto sea un copiar y pegar de este post, y le contestaremos como respuesta a este Tema

saludos

ms, 23-03-2005

Mensaje por **maura63** » 23 Mar 2005, 19:39

Pasa tu antivirus y ACTUALIZALO

Tienes

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe [color=red] W32/Forbot-BD worm infection

[/color]

Hazlo arrancando en modo seguro y desactiva antes la restauracion del sistema.

Saludos

maura63

Mensaje por **msc hotline sat** » 23 Mar 2005, 20:00

Sobre el msmsgs.exe , que aparenta ser un fichero del MSN, por su nombre y ubicacion, ver:

http://www.neuber.com/taskmanager/process/msmsgs.exe.html

y con el siguiente antivirus ONLINE, si puedes lanzarlo arrancando en modo seguro con funciones de red y deshabilitando la restauración de sistema, lo eliminarás facilmente:

http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym

saludos

ms, 23-03-2005

terminatar · Mensaje por **terminatar** » 29 Mar 2005, 22:09

He pasado el antivirus actualizado con restaurar sistema desactivado y en modo seguro. No ha encontrado ningún virus. Mi inglés no es muy bueno pero creo que el enlace ese viene a decir que es el auténtico msn. Ya me corregiréis si no es así. También he vuelto a pasar ad-aware, spybot y sweeper (creo que se llama así) Todo esto después de instalar service pack2 y todas las actualizaciones de windows que faltaban. Mañana veremos si he conseguido deshacerme de lo que hubiera...

En fín, ya os contaré.

Muchas gracias por vuestra ayuda.

Mensaje por **msc hotline sat** » 30 Mar 2005, 13:25

Recibido y analuzado el fichero HELPR.EXE que nos has enviado, ha resultado SER BICHO !!!:

AdClicker.cj

ta se ha incluido en el SDATDAILY de McAfee de hoy, y posiblemente con los DAT de hoy o mañana ya se controlará normalmente.

Por lo menos, de momento, pongalo en cuarentena !!!

saludos

ms, 30-03-2005

terminatar · Mensaje por **terminatar** » 30 Mar 2005, 22:47

OK

Una duda... mañana será suficiente con actualizar el antivirus o debo bajar el sdat e instalarlo para poder fusilar al bicho¿?

Perdón de antemano por mi ignorancia. Es la primera vez que me veo en esta tesitura :?

Mil gracias.

Un saludo.

terminatar · Mensaje por **terminatar** » 19 Abr 2005, 16:27

Después de todo este tiempo parece que ya no vuelve a salir el triangulito de advertencia. Yo creo que puede darse por cerrado el tema. :)

Muchísimas gracias.

Un saludo.

Mensaje por **maura63** » 19 Abr 2005, 16:30

Pues nos alegramos de ello, y solucionado el tema lo cerramos.

Saludos

maura63