Proceso memcheck.exe (SOLUCIONADO)

papadopoulos · Mensaje por **papadopoulos** » 28 Ene 2007, 13:50

Hola a todos!

Es mi primer post en este foro aunque os he utilizado varias veces para solucionar mis problemas con los dichosos spyware, jeje. Así que aunque nunca antes haya participado, gracias por solucionarme los problemas.

La cuestión esta vez es que he encendido mi PC como siempre, y me ha pedido comprobar las coherencias del sistema al iniciar, antes de llevarme a la pantalla de windows xp para empezar (sí, esa pantalla azul que va analizando el disco con un tanto por ciento y que luego te pone: memoría libre, tantos bytes, memoria noseque, tantos bytes...). Esto ya empieza a ser raro porque ayer lo apagué de manera normal, ni se me bloqueo, ni le di al botón de apagar directamente ni nada.

Y una vez encendido, el ZoneAlarm gratuito me ha pedido permiso para permitir a un proceso actuar de servidor. EL proceso se llama Memcheck.exe y no me ha dado más información el programita, así que he denegado. Y me ha vuelto a salir, pero también he denegado. Ahora está bloqueado por si las moscas. He mirado en internet y me he encontrado con esta información:

[quote]This is a valid program that is required to run at startup.

This program is required to run on startup in order to benefit from its functionality or so that the program will work.

Part of Ontrack's Fix-it Utilities Suite anti-virus. Performs a quick check of memory for signs of any virus. Exits afterward and returns all resources used in one user's experience. Not required but could be left without a drain on resources[/quote]

Parece ser que no es nada peligroso, aunque en un post de un foro de McAfee ponía que un spyware puede adoptar ese nombre, asi que estoy hecho un lío... Es un proceso benigno normal? Es que hasta ahora nunca me había pedido permiso.

Perdonad tanto rollo que os he contado... me lío mucho, jeje. Por último deciros que tengo el Avast! Antivirus, el AVG Antispyware, Al Ad-Aware SE Personal y el Spybot Search & Destroy. Todos ellos gratuitos y que me funcionan bien.

Resumiendo... solo necesito saber si "Memcheck.exe" es un proceso normal de mi sistema o si tengo que sospechar algo más..

Muchas Gracias!!

Mensaje por **msc hotline sat** » 28 Ene 2007, 20:11

eFECTIVAMENTE, HAY UN TROYANO PROCKILL QUE SE INSTALA EN LA CARPETA DE WINDOWS CON ESTE NOMBRE, como indica McAfee:

[quote]
This trojan adds itself to the Windows directory as MEMCHECK.exe, and it creates the following registry key to run itself at Windows startup:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Memory Check" = %WinDir%\MEMCHECK.exe
[/quote]

Si el cortafuegos lo intercepta mas vale que le deniegue el acceso !

saludos

ms, 28-01-2007

nota: vea la descripcion:

http://vil.nai.com/vil/content/Print100232.htm

y lance este AV ONLINE

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y nos comenta el resultado, gracias

saludos

ms, 28-01-2007

papadopoulos · Mensaje por **papadopoulos** » 29 Ene 2007, 17:36

Hola de nuevo!

Ayer por la tarde me pasé un buen rato pasando todas las herramientas que tengo (Avast!, Spybot-Search&Destroy, Ad-Aware SE Personal y el AVG Antispyware) en modo a prueba de fallos y me encontraron algun spyware que en modo normal no me encontraron:

Spybot:

18.01.2007 00:07:34 - ##### checking bots #####

18.01.2007 00:15:19 - found: Avenue A, Inc. Cookie de seguimiento (Firefox: default)

18.01.2007 00:15:20 - found: AdRevolver Cookie de seguimiento (Firefox: default)

18.01.2007 00:15:23 - ##### check finished #####

Ad-Aware:

MRU LIST

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

obj[0]=MRU FileReference : C:\Documents and Settings\recent\Desktop.ini

obj[2]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name

obj[3]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name

obj[4]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name

obj[5]=MRU RegReference : S-1-5-21-743639733-1837319798-2358558665-1006\software\microsoft\windows media\wmsdk\general computername

AVG Antispyware:

+ Resultado del análisis:

:mozilla.44:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Adbrite

:mozilla.6:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Adbrite

:mozilla.7:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Adbrite

:mozilla.8:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Adbrite

:mozilla.10:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Adtech

:mozilla.9:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Adtech

:mozilla.37:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Yieldmanager

:mozilla.38:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Yieldmanager

:mozilla.39:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Yieldmanager

:mozilla.40:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Yieldmanager

:mozilla.41:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Yieldmanager

:mozilla.42:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Yieldmanager

:mozilla.43:C:\Documents and Settings\Datos de programa\Mozilla\Firefox\Profiles\0tc6ebbl.default\cookies.txt -> TrackingCookie.Yieldmanager

El Avast! y el CA (ese online que me recomendasteis) no me han encontrado nada.

En el buscador de windows he buscado el archivo memcheck.exe y me ha dado dos localizaciones:

MEMCHECK.EXE-0A370B04.pf C:\WINDOWS\Prefetch (16 KB)

MemCheck.exe C:\Acer\Empowering technology\ePerformance (28 KB)

No sé si alguno será peligroso, aunque creo que el segundo venía en el programa de ACER, el que viene de serie con el portatil...

Igual solo es un proceso normal... me recomendais tomar alguna medida por si acaso, probar con otros antivirus, seguir bloqueando la salida a Internet de ese proceso o le doy libertad?

Gracias!

Mensaje por **msc hotline sat** » 29 Ene 2007, 17:52

Haga lo que le indicamos o no se moleste en postear en este foro.

Si repite dicha accion, la proxima vez será excluido del foro sin previo aviso !!!

Envienos para analizar este MEMCHECK.EXE aunque si es de ACER no tiene porqué ser virico, pero...

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

ms.

Mensaje por **msc hotline sat** » 30 Ene 2007, 13:50

Recibido fichero en cuestion, no se detectan rutinas víricas, y es de ACER, y subiendolo a VIRUS TOTAL; nadie detecta nada:

[quote]
Este es el resultado completo de analizar el archivo "MemCheck.exe" que VirusTotal ha recibido el día 30.01.2007 a las 12:43:18 (CET).

Antivirus Version Actualización Resultado

AntiVir 7.3.0.32 30.01.2007 no ha encontrado virus

Authentium 4.93.8 29.01.2007 no ha encontrado virus

Avast 4.7.936.0 29.01.2007 no ha encontrado virus

AVG 386 30.01.2007 no ha encontrado virus

BitDefender 7.2 30.01.2007 no ha encontrado virus

CAT-QuickHeal 9.00 29.01.2007 no ha encontrado virus

ClamAV devel-20060426 30.01.2007 no ha encontrado virus

DrWeb 4.33 30.01.2007 no ha encontrado virus

eSafe 7.0.14.0 29.01.2007 no ha encontrado virus

eTrust-InoculateIT 23.73.128 30.01.2007 no ha encontrado virus

eTrust-Vet 30.3.3358 29.01.2007 no ha encontrado virus

Ewido 4.0 29.01.2007 no ha encontrado virus

Fortinet 2.85.0.0 30.01.2007 no ha encontrado virus

F-Prot 4.2.1.29 30.01.2007 no ha encontrado virus

Ikarus T3.1.0.27 30.01.2007 no ha encontrado virus

Kaspersky 4.0.2.24 30.01.2007 no ha encontrado virus

McAfee 4951 29.01.2007 no ha encontrado virus

Microsoft 1.2101 30.01.2007 no ha encontrado virus

NOD32v2 2019 30.01.2007 no ha encontrado virus

Norman 5.80.02 30.01.2007 no ha encontrado virus

Panda 9.0.0.4 29.01.2007 no ha encontrado virus

Prevx1 V2 30.01.2007 no ha encontrado virus

Sophos 4.13.0 28.01.2007 no ha encontrado virus

Sunbelt 2.2.907.0 26.01.2007 no ha encontrado virus

Symantec 10 30.01.2007 no ha encontrado virus

TheHacker 6.0.3.159 28.01.2007 no ha encontrado virus

UNA 1.83 29.01.2007 no ha encontrado virus

VBA32 3.11.2 29.01.2007 no ha encontrado virus

VirusBuster 4.3.19:9 29.01.2007 no ha encontrado virus

Información adicional

Tamaño archivo: 28672 bytes

MD5: 3caabc2d0f87413eb1e0c7e0b3245e67

SHA1: 35840b7c7ecb38d573cb700f4772cd6443b8e41d
[/quote]

Por todo ello descartamos que sea virico.

saludos

ms, 30-01-2007

papadopoulos · Mensaje por **papadopoulos** » 30 Ene 2007, 17:15

Gracias ms,

la verdad es que me quedo más tranquilo sabiendo que tengo el portatil limpio.

Un saludo y mil gracias de nuevo!

Mensaje por **msc hotline sat** » 30 Ene 2007, 18:03

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 30-01-2007