aviso sistema no seguro

Responder
terminatar
Mensajes: 11
Registrado: 28 Jul 2004, 10:24

aviso sistema no seguro

Mensaje por terminatar » 23 Mar 2005, 17:41

Tengo un aviso sospechoso que me envia desde:

c:\windows\system32\helper.exe

He pasado antivirus, ad-aware y spybot pero vuelve a salir.

¿es legítimo de windows?



Gracias.





Logfile of HijackThis v1.99.0

Scan saved at 17:00:40, on 22/03/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\helper.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\Archivos de programa\Messenger\msmsgs.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Documents and Settings\usuario\Escritorio\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\ARCHIV~1\VIRTUA~1\VIRTUA~1.DLL (file missing)

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: Microsoft AntiSpyware helper - {FDEF6C80-E45C-432E-81B7-226C4C664522} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {FDEF6C80-E45C-432E-81B7-226C4C664522} - (no file) (HKCU)

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: McAfee.com McShield - Unknown - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 23 Mar 2005, 18:42

Viendo en el HJT que tiene instalado el antispyware de Microsoft, podría tratarse de algun fichero de ayuda al respecto.



Por el simple nombre no puede saberse, solo se ve que está cargado, y no tiene ninguna clave que lo cargue especificamente, por lo que pudiera cargarlo alguna aplicacion como la comentada.



Para salir de dudas, envienos una muestra de dicho fichero a zonavirus@satinfo.es anexada a un mail cuyo texto sea un copiar y pegar de este post, y le contestaremos como respuesta a este Tema



saludos



ms, 23-03-2005
Última edición por msc hotline sat el 23 Mar 2005, 19:54, editado 1 vez en total.

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 23 Mar 2005, 19:39

Pasa tu antivirus y ACTUALIZALO



Tienes

O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe [color=red] W32/Forbot-BD worm infection

[/color]




Hazlo arrancando en modo seguro y desactiva antes la restauracion del sistema.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 23 Mar 2005, 20:00

Sobre el msmsgs.exe , que aparenta ser un fichero del MSN, por su nombre y ubicacion, ver:



http://www.neuber.com/taskmanager/process/msmsgs.exe.html



y con el siguiente antivirus ONLINE, si puedes lanzarlo arrancando en modo seguro con funciones de red y deshabilitando la restauración de sistema, lo eliminarás facilmente:



http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym



saludos



ms, 23-03-2005
Última edición por msc hotline sat el 30 Mar 2005, 11:13, editado 1 vez en total.

terminatar
Mensajes: 11
Registrado: 28 Jul 2004, 10:24

Mensaje por terminatar » 29 Mar 2005, 22:09

He pasado el antivirus actualizado con restaurar sistema desactivado y en modo seguro. No ha encontrado ningún virus. Mi inglés no es muy bueno pero creo que el enlace ese viene a decir que es el auténtico msn. Ya me corregiréis si no es así. También he vuelto a pasar ad-aware, spybot y sweeper (creo que se llama así) Todo esto después de instalar service pack2 y todas las actualizaciones de windows que faltaban. Mañana veremos si he conseguido deshacerme de lo que hubiera...



En fín, ya os contaré.

Muchas gracias por vuestra ayuda.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 30 Mar 2005, 13:25

Recibido y analuzado el fichero HELPR.EXE que nos has enviado, ha resultado SER BICHO !!!:



AdClicker.cj



ta se ha incluido en el SDATDAILY de McAfee de hoy, y posiblemente con los DAT de hoy o mañana ya se controlará normalmente.



Por lo menos, de momento, pongalo en cuarentena !!!



saludos



ms, 30-03-2005

terminatar
Mensajes: 11
Registrado: 28 Jul 2004, 10:24

Mensaje por terminatar » 30 Mar 2005, 22:47

OK

Una duda... mañana será suficiente con actualizar el antivirus o debo bajar el sdat e instalarlo para poder fusilar al bicho¿?

Perdón de antemano por mi ignorancia. Es la primera vez que me veo en esta tesitura :?

Mil gracias.

Un saludo.

terminatar
Mensajes: 11
Registrado: 28 Jul 2004, 10:24

Mensaje por terminatar » 19 Abr 2005, 16:27

Después de todo este tiempo parece que ya no vuelve a salir el triangulito de advertencia. Yo creo que puede darse por cerrado el tema. :)

Muchísimas gracias.

Un saludo.

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 19 Abr 2005, 16:30

Pues nos alegramos de ello, y solucionado el tema lo cerramos.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Responder

Volver a “Foro HijackThis - copia y pega tu log”