PROBLEMAS CON MSHTA.EXE Y DESCARGAS

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
juan59
Mensajes: 2
Registrado: 06 Jun 2005, 16:18

PROBLEMAS CON MSHTA.EXE Y DESCARGAS

Mensaje por juan59 » 06 Jun 2005, 17:59

Wenas. LLevo unos dias que esto no funciona muy bien. El otro dia al encender el ordenador me pidio conformidad como administrador de cuenta, al comprobarla en cuentas de usuarios, vi que ademas habia otra a nombre de ASP.NET. Al intentar quitarla me salio una pantalla de McAfee diciendo que el archivo MSHTA.EXE tenia un guion malicioso. A partir de entonces no me deja descargar (o lo hace tan lento que tengo que quitarlo) ni programas, ni actualizaciones de McAfee y si conecto Bitcomet descarga a 1kb cuando antes lo hacia a 40 o 50kb. Dime si es conveniente restringir el acceso a internet de MSHTA.EXE Y CVCHOST.EXE en el cortafuegos. Hay te mando el log. Si me contestas, por favor, hazlo con los pasos muy detallados porque un servidor en esto es muy novato y a veces me pierdo.

Scan saved at 16:20:36, on 6/6/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\sistray.EXE

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\system32\keyhook.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

c:\archivos de programa\mcafee.com\agent\mcagent.exe

C:\ARCHIV~1\mcafee.com\mps\mscifapp.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

E:\Archivos de programa\Nikon\NkView6\NkvMon.exe

C:\Archivos de programa\Conceptronic Multimedia\TV878 Utilities\C7XRCtl.exe

C:\Archivos de programa\ZyAIR USB Utility\ZyAIR.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\svchost.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\system32\WISPTIS.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Instalaciones\Seguridad\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\archivos de programa\mcafee.com\mps\mcbrhlpr.dll

O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\archivos de programa\mcafee.com\mps\popupkiller.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MPSExe] c:\ARCHIV~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MskDetct.exe /startup

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [CleanUp] C:\ARCHIV~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: NkvMon.exe.lnk = E:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: TV Remote Control.lnk = C:\Archivos de programa\Conceptronic Multimedia\TV878 Utilities\C7XRCtl.exe

O4 - Global Startup: ZyAIR USB Utility.lnk = C:\Archivos de programa\ZyAIR USB Utility\ZyAIR.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 06 Jun 2005, 19:10

El log del HJT está limpio.



En cualquier caso sigue las indicaciones de los tutoriales de virus y spywares:



https://foros.zonavirus.com/viewtopic.php?t=5370





saludos



ms, 6-06-2005
Última edición por msc hotline sat el 06 Jun 2005, 19:11, editado 1 vez en total.
Arriba
Avatar de Usuario
admin
Mensajes: 1321
Registrado: 08 Mar 2004, 21:42
Ubicación: Valencia (ES)
Contactar:
Contactar admin

Mensaje por admin » 06 Jun 2005, 19:11

Mira el usuario ASP.NET lo crea automaticamente cuando se instalas el Microsoft .NET Framework, que es necesario para instalaciones de ciertos programas, con lo que crea ese usuario con unos permisos especiales que utiliza esa aplicacion/es instalada/s.



Sobre el tema del firewall, lo mejor que puedes hacer, da= el firewall que utilizes es desactiva el firewall, prueba que todo funciona como debe y una vez confirmado eso, borra todas las reglas que tengas creadas y activa otra vez el firewall ves dandole permisos a cada programa que te lo solicite, siempre y cuando conozcas la procedencia y origen de cada fichero (vamos que programa solicita la entrada o salida de datos)



Si sospecha de algun fichero, aqui tienes una lista bastante completa de los ficheros que utilizan los virus:

http://www.killersoftware.com/adwareagent/blacklist.php



Y si asi aun no te quedas trankilo, dinoslo te ayudaremos en todo lo que podamos.
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Lo Unico que se necesita para que el mal triunfe es que los hombres buenos no hagan nada, Edmund Burke
Arriba
juan59
Mensajes: 2
Registrado: 06 Jun 2005, 16:18

Mensaje por juan59 » 07 Jun 2005, 12:08

Muchas gracias por la ayuda, voy a hacer lo que me habeis dicho. Lo unico que me tiene un poco mosca es el mensaje del guion malicioso de MSHTA.EXE. Ya os contare como me ha ido. Espero que bien. SALUDOS.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 07 Jun 2005, 13:24

Sobre el MSHTA.EXE cabe indicar que el fichero es del sistema y que es el interprete de .HTA, y que posiblemente McAfee te detectó que dicha aplicacion estaba procesando un .HTA sospechoso por un guión malicios dentro del script en cuestion.



Lo que cabe ver entonces es realmente la informacion de Mcafee si te indicaba algo mas, esto es, el nombre del .HTA en cuestion, y si lo sabes, nos lo podrías enviar y te lo analizaríamos.



En cualquier caso vuelve a lanzar el McAfee o el proceso que utilizabas cuando te apareció el mensaje y mira si puedes ver el nombre del fichero .HTA en cuestion, y nos lo dices.



saludos



ms, 7-06-2005
Arriba
Responder

Volver a “Foro HijackThis - copia y pega tu log”