windowsupfixer.exe y mssmp.exe. (SOLUCIONADO)

[ahi]

hola hoy no estoy aqui para contestar sino para que me contesten :lol:



bueno mi problema aparecio cuando estaba dandome un paseo por el registro y llego a run. entonces me encuentro dos programas desconocidos sin direccion solo el nombre del programa eran estos dos: windowsupfixer.exe y mssmp.exe. los buque en el google para ver si eran procesos de windows y ni uno ni el otro me dice que sean de windows. elimine una clave (la de windowsupfixer.exe) y busque en mi ordenador un programa llamado windowsupfixer.exe pero no hay nada. la de mssmp (que se llama en nombre completo "microsoft security monitor process"

no la he eliminado pero la he buscado y tampoco hay nada. ¿que debo hacer??

[msc hotline sat]

AMBOS SON MALWARES:



windowsupfixer.exe es un RBOT



C:\WINDOWS.0\system32\Windowsupfixer.exe -> Backdoor.Rbot





mssmp.exe. es un adware



http://fileinfo.prevx.com/adware/qq676442140286-MSSM25009422/MSSMP.EXE.html





Posteanos el log del HJT y envianos estos ficheros para analizar y controlar



saludos



ms, 21-10-2006

[ahi]

Logfile of HijackThis v1.99.1

Scan saved at 11:28:01, on 21/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\System32\cmd.exe

C:\Archivos de programa\ADSLNet\Navigation Tools\ADSLNetTools.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe

c:\archivos de programa\softwin\bitdefender9\bdmcon.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\alferes\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Microsoft Security Monitor Process] mssmp.exe

O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender9\bdmcon.exe"

O4 - HKLM\..\Run: [BDSwitchAgent] "c:\archivos de programa\softwin\bitdefender9\bdswitch.exe"

O4 - HKLM\..\Run: [BDNewsAgent] "c:\archivos de programa\softwin\bitdefender9\bdnagent.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run

O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] mssmp.exe

O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Startup: Reboot.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159800508889

O17 - HKLM\System\CCS\Services\Tcpip\..\{14132F41-BA1B-4CD4-A341-FBE108E83A6B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2BBF45-C93D-4D5B-B363-F4794B125964}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{93638915-4170-4DDF-9B2C-B5DB9D1DF2CE}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{DEE6E860-58D4-4FB8-89A5-63B3ED0E607A}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{14132F41-BA1B-4CD4-A341-FBE108E83A6B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{14132F41-BA1B-4CD4-A341-FBE108E83A6B}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Bluetooth System Drivers (Btsdriv) - Unknown owner - C:\WINDOWS\system32\btsdriv.exe (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

O23 - Service: Network Provision Managing Service (xmlprovman) - Unknown owner - C:\WINDOWS\system32\provsvc.exe (file missing)







NOTA:gracias por la rapida respuesta. segun lo que me dices me extraña no haber tenido publicidad en estos dias. voy a pasar el antispyware. pero mientras tanto ahi queda eso

[msc hotline sat]

elimina estas claves:



O4 - HKLM\..\Run: [Microsoft Security Monitor Process] mssmp.exe



O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] mssmp.exe



O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe



O4 - HKLM\..\RunServices: [Windows Update] Windowsupfixer.exe



O4 - Startup: Reboot.exe



O23 - Service: Network Provision Managing Service (xmlprovman) - Unknown owner - C:\WINDOWS\system32\provsvc.exe (file missing)



saludos



ms, 21-10-2006

[ahi]

la clave startup:reboot.exe no sera de el tema visual que tengo???esque cambia tambien la pantalla boot.

[msc hotline sat]

Por el nombre solo clave suponer... lo que hay dentro solo Dios lo sabe :lol:



Si quieres, no la elimines y envianos muestra del fichero y lo analizaremos



saludos



ms, 22-10-2006

[ahi]

he buscado "reboot.exe" y he encontrado 3. sus nombres son:

"reboot"(programa para instalar)

"reboot.exe-17CE377A.pf"

y otro q es una imagen del emule.

se supone que el que es maligno es el que es para instalar. lo he localizado y su fecha de instalacion es muy diferente a la fecha en la que instale el tema visual.y, puesto que no esta en ninguna carpeta del sistema o de programas ya instalados, voy a quitar la clave y a eliminar el programa.



muchas gracias por este tiempo que dais cada dia a solucionar problemas de los demas.

[msc hotline sat]

El .pf es un prefecht, extracto del .EXE pata acelerar su ejecucion. Asi que el que imndicas es el de marras. Si quieres envianoslo y lo analizaremos



saludos



ms, 22-10-2006

[ahi]

no yo creo que ya lo elimino y estoy en paz. por cierto las claves del hijackthis de:

HKLM\System\CCS\Services\Tcpip\..\{14132F41-BA1B-4CD4-A341-FBE108E83A6B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2BBF45-C93D-4D5B-B363-F4794B125964}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{93638915-4170-4DDF-9B2C-B5DB9D1DF2CE}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{DEE6E860-58D4-4FB8-89A5-63B3ED0E607A}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{14132F41-BA1B-4CD4-A341-FBE108E83A6B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{14132F41-BA1B-4CD4-A341-FBE108E83A6B}: NameServer = 80.58.61.250,80.58.61.254





no son malignas??? es que antes no las tenia. pero e istalado un moden y no se....

[msc hotline sat]

No hombre, son servidores de DNS de Telefonica:



inetnum: 80.58.61.248 - 80.58.61.251

netname: RIMA

descr: TELEFONICA DE ESPANA

descr: Provider Local Registry

country: ES



Hasta ahora no son malware :lol: :lol: :lol:



saludos



ms, 24-10-2006

[ahi]

vale, comprendo.... :lol:

pues bueno la clave no ha aparecido, el hijack this esta ahora perfecto y no he comprobado comportamientos raros...bueno dentro de lo que cabe en windows :lol: :lol:

yo creo que el tema esta solucionado.

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 25-10-2006