| beatriz42 |  |
|
2005-10-27 15:47 - Respuestas: 16 - Tema nº: 2400485
ADM Atholon8TM) XP 2600 + 1.66 ghZ. 256 MB. Windows XP Profesional. Versión 2002. Service Pack 2. (Ignoro desde cuando le ocurre esto, ha sido cuando he intentado cambiar la forma de entrar e iniciar como usuario)
Cuando voy a cambiar la forma en la que los usuarios inician y cierran sesión, me avisa el antivirus Mcafee con el siguiente mensaje:
Se ha detectado un guión sospechoso. El archivo Mshta.exe contiene actividad de guiones sospechosos y se ha detenido.
Me dá las siguientes opciones:
Detener este guión
Permitir guión completo otra vez
Buscar mas información
Continuar con la misma acción
Detalles del guión:
Archivo: mshta.exe
Actividad: El guión está intentando el método RegRead en el objeto LWshshell3.
Ruta del archivo: mshta.exe
Estado: Se ha detenido la ejecución del guión
Gracias. | |
|
|
| Hurricane |  |
|
Re: EL ARCHIVO MSHTA.EXE CONTIENE ACTIVIDADES DE GUIONES SOSPECHOSOS. NECESITO AYUDA - 2005-10-27 16:02 - Respuesta 2
Echa un vistazo al siguiente artículo publicado en VSAntivirus.com:
Utilización de MSHTA para eludir zonas de seguridad
Haz una limpieza a full:Inicia tu PC en Modo Seguropásale a tu Sistema un Antivirus actualizado (o el Panda On-line)pásale el Spybot Search & Destroypásale el Ad-Aware (para actualizarlo, entra a él y clickea sobre Check for Update Now)realiza una limpieza del Registro con el EasyCleaner (opciones Registry, StartUp, Add/Remove)Inicia tu PC en Modo Seguropásale el HijackThis y postea el LOG por acá
Cuéntanos las novedades. Saludos
HURRICANE
| |
|
|
| beatriz42 | |
|
Re: EL ARCHIVO MSHTA.EXE CONTIENE ACTIVIDADES DE GUIONES SOSPECHOSOS. NECESITO AYUDA - 2005-10-27 20:59 - Respuesta 3
Ante todo darte las gracias por atender mi ayuda. He intentando hacer lo que me dices pero te cuento.
Inicie el pc a modo de prueba y escanee con el antivirus y el resultado es que no encontro nada. Despues pase el Ad-Aware que ya lo tenia instalado en el PC y bien borre lo que me salio. Pero con el Spybot ha sido imposible. Este programa lo he tenido siempre instalado y no sé porque me motivo dejo de funcionarme y lo desinstale. Lo he intentado de instalar para hacer lo que me dices, pero cuando le doy a actualizar me sale este mensaje:
Actualizacion: Advanced detection library
Informacion: Detection routines update.
Y se queda bloqueado. He intentando pasarlo a modo de prueba y se me queda bloqueado a la mitad de la busqueda. De lo poco que ha escaneado me sale este registro para eliminar:
Hkey.users S-1-5-21-1960408961-602162358-682003330-1006.
He entrado en ejecutar regedit a ver si podia quitar esa clave y me aparece que tengo ese mismo registro pero ademas tambien tengo S-1-5-21-1960408961-602162358-682003330-1006-Classes. Osea el mismo registro pero con la diferencia de que este registro termina en CLASSES. He intentado quitar el que el spybot me habia anunciado pero no me deja.
Para limpiar los registro he pasado el programa JV16 Power Tools que es el que tengo instalado.
Finalmente he pasado el hijackthis.exe como me decia y te pego el log:
Logfile of HijackThis v1.99.1
Scan saved at 20:36:54, on 27/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Escritorio inalámbrico Labtec\MulMouse.exe
C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-es\bin\WindowsSearch.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Escritorio inalámbrico Labtec\MagicKey.exe
C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-es\bin\WindowsSearchIndexer.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\Documents and Settings\Luperia\Escritorio\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.es/0SEESES/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mcafee.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Barra de herramientas de MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Barra de herramientas de MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Activar Escritorio inalámbrico Labtec.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\MSN Toolbar Suite\DS\02.05.0001.1119\es-es\bin\WindowsSearch.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &MSN Search - res://C:\Archivos de programa\MSN Toolbar Suite\TB\02.05.0000.1082\es-es\msntb.dll/search.htm
O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0001.1119\es-es\msntabres.dll/229?842576f82beb4d9d80666a985fe4ada7
O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\MSN Toolbar Suite\TAB\02.05.0001.1119\es-es\msntabres.dll/230?842576f82beb4d9d80666a985fe4ada7
O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.mcafee.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,90/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4506/mcfscan.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
Otro detalle que me he dado cuenta. Cuando inicio windows me salen de sesiones Irene y Luperia. En cambio cuando inicio en modo seguro solo me aparece la sesion de Administrador e Irene. Esto es normal?.
Bueno espero no volverte loco con todo esto que te cuento. Pero muchas gracias por ayudarme. SALUDOS
| |
|
|
| no_existe |  |
|
Re: EL ARCHIVO MSHTA.EXE CONTIENE ACTIVIDADES DE GUIONES SOSPECHOSOS. NECESITO AYUDA - 2005-10-27 21:20 - Respuesta 4
amiga beatriz42: No te preocupes, puedes detener el guion o permitir su ejecución.
Tengo también McAfee y me pasa lo mismo. Despues de indagar acerca de esto, te diré que es proceso normal del antivirus y te da las dos opciones.
Aparte de lo que te dice nuestro moderador Hurricane, que lo debes de hacer sin dudar, te diré que eso me ha pasado y despues de ir de aquí para allá te diré que no hay peligro. Ojo, si no es un virus o espia.
saludos!! | |
|
|
| beatriz42 | |
|
Re: EL ARCHIVO MSHTA.EXE CONTIENE ACTIVIDADES DE GUIONES SOSPECHOSOS. NECESITO AYUDA - 2005-10-27 21:29 - Respuesta 5
Gracias. Eso me han comentado otro administrador de otro foro. Pero es cierto que cuando he hecho lo que éste moderador me ha dicho, me he encontrado problemas. Voy a dejar que me conteste a ver que me dice sobre ese log que le he pegado. Gracias por tu interés. | |
|
|
|
