msmsgs.exe es un troyano??? (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
locutusxxx
Mensajes: 73
Registrado: 21 Feb 2007, 15:50

msmsgs.exe es un troyano??? (SOLUCIONADO)

Mensaje por locutusxxx » 30 Mar 2007, 18:35

Hace algunos días leí un articulo sobre un troyano que cambiaba su nombre a msmsgs.exe posteriormente vi en el administrados de tareas una aplicación que se ejecutaba con ese nombre use al antivirus y al antispyware pero ninguno de los dos me arrojaron un resultado



Mi duda en concreto es si esa aplicación se trata de el troyano del que leí



Logfile of HijackThis v1.99.1

Scan saved at 11:36:37, on 30/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE

C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Media Key\MagicKey.exe

C:\Archivos de programa\Media Key\OSD.EXE

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Archivos de programa\Dragon Systems\NaturallySpeaking\Program\web_ie.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Media Key.lnk = C:\Archivos de programa\Media Key\MagicKey.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: + &Download Express: descargar este archivo - C:\Archivos de programa\Download Express\Add_Url.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172882760359

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BF81DF7E-366C-44A9-81FB-5CE458680B4E}: NameServer = 200.28.4.129 200.28.4.130

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 30 Mar 2007, 18:59

Su log está limpio



Y aunque haya malwares que usen el mismo nombre que nombres de aplicaciones validas para despistar, su situacion y desde donde se lanzan, y claro, su analisis por cadenas, clasifican entre buenos y malos



No se guie unicamente por el nombre de un fichero, no es definitivo para saber lo que contiene...



saludos



ms, 30-03-2007
Arriba
locutusxxx
Mensajes: 73
Registrado: 21 Feb 2007, 15:50

Mensaje por locutusxxx » 30 Mar 2007, 19:14

gracias
Arriba
Avatar de Usuario
flacoroo
Mensajes: 6289
Registrado: 09 Mar 2004, 20:32
Ubicación: Paso del Macho,Ver.México

Mensaje por flacoroo » 30 Mar 2007, 19:28

[color=brown]C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe [/color] es el nombre del archivo para poder ejecutar el messenger de MSN y por lo tanto es el legitimo.....[color=green]msmsgs.exe [/color] y este que escribistes si puede ser el nombre de un troyano...si checas bien se escriben de diferente modo.
:lol: :lol: La vida es hermosa....para que complicarnosla :lol: :lol:
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 30 Mar 2007, 20:46

No te confundas flacorro, con el mismo nombre exacto tambien existe del messenger, pero está en la ruta adecuada, como por ejemplo está en el log adjunto, que postea el autor del Tema, miralo



saludos



ms, 30-03-2007
Última edición por msc hotline sat el 31 Mar 2007, 09:36, editado 1 vez en total.
Arriba
locutusxxx
Mensajes: 73
Registrado: 21 Feb 2007, 15:50

Mensaje por locutusxxx » 30 Mar 2007, 22:41

entonces cual es el origen de esa aplicacion

y cual es su funcion neta



lo pregunto por que siempre es mejor prevenir que curar

y ante la duda prefiero que me digan si es comveniente borrar si es asi tambien las indicaciones para poder hacerlo





gracias
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Mensaje por lucl » 31 Mar 2007, 09:07

No borres nada si la indicacion de un experto!! si quieres que te funcionen las cosas claro :D . Como ya te dice Flacoroo es el que hace que funcione el mesenger asi que dejalo estar, otra cosa es que tuvieras un virus pero tranquilo que cuando sea asi lo notaras :lol: y ya esta zonavirus para echarte una mano, saludos :D
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 31 Mar 2007, 09:30

Bien. amplio la informacion para que se vea cuiando es virus y cuando no:



Mirad la descripcion de este virus segun Sophos:


[quote]This section contains the description and advanced technical information

W32/Agobot-NL is an IRC backdoor Trojan and network worm which establishes an IRC channel to a remote server in order to grant an intruder access to the compromised machine.



This worm will move itself into the Windows System32 folder under the filename MSMSGS.EXE and may create the following registry entries so that it can execute automatically on system restart:



HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Msn Update Manager (Sp2) = MSMSGS.EXE



HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Msn Update Manager (Sp2) = MSMSGS.EXE



W32/Agobot-NL may attempt to terminate anti-virus and other security-related processes, in addition to other viruses, worms or Trojans.



This worm may search for shared folders on the internet with weak passwords and copy itself into them. A text file named HOSTS may also be dropped into C:\<Windows System32>\drivers\etc\ which may contain a list of anti-virus and other security-related websites each bound to the IP loopback address of 127.0.0.1 which would effectively prevent access to these sites.



For example:



127.0.0.1 http://www.symantec.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 http://www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 http://www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 http://www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 http://www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 http://www.avp.com

127.0.0.1 http://www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 http://www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 http://www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 http://www.my-etrust.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 nai.com

127.0.0.1 http://www.nai.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 customer.symantec.com

127.0.0.1 rads.mcafee.com

127.0.0.1 trendmicro.com

127.0.0.1 http://www.trendmicro.com
[/quote]

Pero fijaros que dice:



"This worm will move itself into the Windows System32 folder "



que en XP sería c:\windows\system32\



en cambio en este caso está lanzado desde:



"C:\Archivos de programa\Messenger\msmsgs.exe "



Como se aprecia en el primer bloque el log del HJT, y es la razón para saber que en este caso no es virus



Y ya considerando solucionado el Tema, procedemos a cerrarlo



saludos



ms, 31-03-2007
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”