procesos sospechosos (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
after1
Mensajes: 44
Registrado: 25 Feb 2007, 17:57

procesos sospechosos (SOLUCIONADO)

Mensaje por after1 » 17 Jul 2007, 17:48

hola pueden ayudarme en mi lista de procesos encuentro alguno que no conozco por ej



me sale dos veces "scanningprocess.exe" que creo es de zonealarm



luego "svchost.exe" sale 5 veces en mi lista de procesos, creo que es uno del sistema. pero es normal que aparezca tantas veces?.



y tambien quiero saber como anular el proceso llamado mdsNresponder o algo parecido.



les dejo el log hjt



Logfile of HijackThis v1.99.1

Scan saved at 10:57:14, on 17/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\FixCamera.exe

C:\WINDOWS\vsnp2std.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\PalickSoft\HDD Temperature\HDDTSvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Usuario\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKLM\..\Run: [AVG7_CC] "C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Adobe Gamma.lnk.disabled

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Stardock ObjectDock.lnk.disabled

O4 - Startup: zonelabs.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bonjour\mdnsnsp.dll

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://nanomar4.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HDD Temperature (HDDTService) - PalickSoft - C:\Archivos de programa\PalickSoft\HDD Temperature\HDDTSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe





muchas gracias.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 17 Jul 2007, 18:37

lOG ANALIZADO Y LIMPIO.



Efectivamente el scanningprocess.exe es del ZoneAlarm, y en esta ocasion es contratado por la ruta desde donde es cargado, peor no siempre tiene porqué ser asi, ya que el nombre de un fichero no implica su contenido, y podría contener cualquier troyano.



Y respecto al SVCHOST, al ser el lanzador de aplicaciones de windows es normal que esté varias veces, cinco o seis, pero siempre que sea lanzado desde la carpeta de sistema, si lo fuera desde otra ruta, probablemente sería un troyano:


[quote]EXPLICACION SOBRE SVCHOST MALWARE





El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP



Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.



Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...



En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.



Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario



Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares.


[/quote]

y con ello damos el Tema por solucionado y procedemos a cerrarlo



saludos



ms, 17-07-2007



NOTA:



y para finalizar procesos, abra el administrador de Tareas, (ctrl-shift-esc), SELECCIONE el proceso en cuestion y puLse en TERMINAR PROCESO.
Arriba
Cerrado

Volver a “Foro Spyware”