Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
InicioForosForo Virus

EL ARCHIVO MSHTA.EXE CONTIENE ACTIVIDADES DE GUIONES SOSPECHOSOS. NECESITO AYUDA

beatriz42
2005-10-27 15:47 - Respuestas: 16 - Tema nº: 2400485


ADM Atholon8TM) XP 2600 + 1.66 ghZ. 256 MB. Windows XP Profesional. Versión 2002. Service Pack 2. (Ignoro desde cuando le ocurre esto, ha sido cuando he intentado cambiar la forma de entrar e iniciar como usuario)

Cuando voy a cambiar la forma en la que los usuarios inician y cierran sesión, me avisa el antivirus Mcafee con el siguiente mensaje:
Se ha detectado un guión sospechoso. El archivo Mshta.exe contiene actividad de guiones sospechosos y se ha detenido.
Me dá las siguientes opciones:
Detener este guión
Permitir guión completo otra vez
Buscar mas información
Continuar con la misma acción
Detalles del guión:
Archivo: mshta.exe
Actividad: El guión está intentando el método RegRead en el objeto LWshshell3.
Ruta del archivo: mshta.exe
Estado: Se ha detenido la ejecución del guión

Gracias.
Posibles soluciones:
El archivo mshta.exe contiene actividades de guiones sospechosos. necesito ayudaEl archivo mshta.exe contiene actividades de guiones sospechosos. necesito ayuda
Actividad de guiones sospechosos detectados por el antivirusActividad de guiones sospechosos detectados por el antivirus
Nombre del archivo que contiene los contactosNombre del archivo que contiene los contactos
Necesito ayuda para abrir un archivo mdfNecesito ayuda para abrir un archivo mdf
Necesito ayuda de como grabar archivo mdfNecesito ayuda de como grabar archivo mdf
Hurricane

Re: EL ARCHIVO MSHTA.EXE CONTIENE ACTIVIDADES DE GUIONES SOSPECHOSOS. NECESITO AYUDA - 2005-10-27 16:02 - Respuesta 2

Echa un vistazo al siguiente artículo publicado en VSAntivirus.com:
Utilización de MSHTA para eludir zonas de seguridad


Haz una limpieza a full:Inicia tu PC en Modo Seguropásale a tu Sistema un Antivirus actualizado (o el Panda On-line)pásale el Spybot Search & Destroypásale el Ad-Aware (para actualizarlo, entra a él y clickea sobre Check for Update Now)realiza una limpieza del Registro con el EasyCleaner (opciones Registry, StartUp, Add/Remove)Inicia tu PC en Modo Seguropásale el HijackThis y postea el LOG por acá
Cuéntanos las novedades. Saludos

HURRICANE

beatriz42

Re: EL ARCHIVO MSHTA.EXE CONTIENE ACTIVIDADES DE GUIONES SOSPECHOSOS. NECESITO AYUDA - 2005-10-27 20:59 - Respuesta 3

Ante todo darte las gracias por atender mi ayuda. He intentando hacer lo que me dices pero te cuento.
Inicie el pc a modo de prueba y escanee con el antivirus y el resultado es que no encontro nada. Despues pase el Ad-Aware que ya lo tenia instalado en el PC y bien borre lo que me salio. Pero con el Spybot ha sido imposible. Este programa lo he tenido siempre instalado y no sé porque me motivo dejo de funcionarme y lo desinstale. Lo he intentado de instalar para hacer lo que me dices, pero cuando le doy a actualizar me sale este mensaje:

Actualizacion: Advanced detection library
Informacion: Detection routines update.

Y se queda bloqueado. He intentando pasarlo a modo de prueba y se me queda bloqueado a la mitad de la busqueda. De lo poco que ha escaneado me sale este registro para eliminar:

Hkey.users S-1-5-21-1960408961-602162358-682003330-1006.
He entrado en ejecutar regedit a ver si podia quitar esa clave y me aparece que tengo ese mismo registro pero ademas tambien tengo S-1-5-21-1960408961-602162358-682003330-1006-Classes. Osea el mismo registro pero con la diferencia de que este registro termina en CLASSES. He intentado quitar el que el spybot me habia anunciado pero no me deja.

Para limpiar los registro he pasado el programa JV16 Power Tools que es el que tengo instalado.

Finalmente he pasado el hijackthis.exe como me decia y te pego el log:

Logfile of HijackThis v1.99.1
Scan saved at 20:36:54, on 27/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Escritorio inalámbrico Labtec\MulMouse.exe
C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-es\bin\WindowsSearch.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Escritorio inalámbrico Labtec\MagicKey.exe
C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-es\bin\WindowsSearchIndexer.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\Documents and Settings\Luperia\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mcafee.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Barra de herramientas de MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Barra de herramientas de MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Activar Escritorio inalámbrico Labtec.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-es\bin\WindowsSearch.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &MSN Search - res://C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0001.1119\es-es\msntabres.dll/229?842576f82beb4d9d80666a985fe4ada7
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0001.1119\es-es\msntabres.dll/230?842576f82beb4d9d80666a985fe4ada7
O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.mcafee.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,90/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4506/mcfscan.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Otro detalle que me he dado cuenta. Cuando inicio windows me salen de sesiones Irene y Luperia. En cambio cuando inicio en modo seguro solo me aparece la sesion de Administrador e Irene. Esto es normal?.

Bueno espero no volverte loco con todo esto que te cuento. Pero muchas gracias por ayudarme. SALUDOS

no_existe

Re: EL ARCHIVO MSHTA.EXE CONTIENE ACTIVIDADES DE GUIONES SOSPECHOSOS. NECESITO AYUDA - 2005-10-27 21:20 - Respuesta 4

amiga beatriz42: No te preocupes, puedes detener el guion o permitir su ejecución.
Tengo también McAfee y me pasa lo mismo. Despues de indagar acerca de esto, te diré que es proceso normal del antivirus y te da las dos opciones.

Aparte de lo que te dice nuestro moderador Hurricane, que lo debes de hacer sin dudar, te diré que eso me ha pasado y despues de ir de aquí para allá te diré que no hay peligro. Ojo, si no es un virus o espia.

saludos!!
beatriz42

Re: EL ARCHIVO MSHTA.EXE CONTIENE ACTIVIDADES DE GUIONES SOSPECHOSOS. NECESITO AYUDA - 2005-10-27 21:29 - Respuesta 5

Gracias. Eso me han comentado otro administrador de otro foro. Pero es cierto que cuando he hecho lo que éste moderador me ha dicho, me he encontrado problemas. Voy a dejar que me conteste a ver que me dice sobre ese log que le he pegado. Gracias por tu interés.
Página:1 Siguiente

Respuestas relacionadas:

Necesito por favor su ayuda para abrir un archivoNecesito por favor su ayuda para abrir un archivoForo
Necesito ayuda para instalar este archivoNecesito ayuda para instalar este archivoForo
Registro de actividades de xpRegistro de actividades de xpForo
Actividades notebookActividades notebookForo
Rsatrear actividades de una portatilRsatrear actividades de una portatilForo
Desconectar actividades en el inicioDesconectar actividades en el inicioForo
Comunidad creadora de actividades edilimComunidad creadora de actividades edilimForo
Comandos sospechososComandos sospechososForo
Spyware sospechososSpyware sospechososForo
Lentitud para ciertas actividades en intertetLentitud para ciertas actividades en intertetForo
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos23 Diciembre 2024