[Axegrinder]

Según carbono, i puede tener un virus.

'Log' de Trend Micro HijackThis V2.0.2
Escanear guardado en 16:49:26, a 14/02/2008
Plataforma: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Modo de arranque: Normal
Procesos que se están ejecutando:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Archivos de programa \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Archivos de programa \ Linksys Wireless-G USB inalámbrico de Monitor de red \ WLService.exe
C: \ Archivos de programa \ Linksys Wireless-G USB inalámbrico de Monitor de red \ WUSB54GSv2.exe
C: \ WINDOWS \ Explorer.EXE
C: \ WINDOWS \ RTHDCPL.EXE
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ WINDOWS \ tsnp2std.exe
C: \ WINDOWS \ vsnp2std.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ Archivos de programa \ MSN Messenger \ MsnMsgr.Exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Archivos de programa \ Google \ Google Updater \ GoogleUpdater.exe
C: \ Archivos de programa \ MessengerDiscovery \ MessengerDiscovery Live.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Archivos de programa \ MSN Messenger \ usnsvc.exe
C: \ Archivos de programa \ Internet Explorer \ iexplore.exe
C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Archivos de programa \ Trend Micro \ HijackThis \ sniper.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.co.uk/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int. ernet Ajustes, ProxyServer = webcache.virginmedia.com: 3128
O2 - BHO: Adobe PDF Reader Enlace de Ayuda - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Archivos de programa \ Archivos comunes \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: Spybot-S & D IE Protección - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Archivos de programa \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O2 - BHO: Windows Live Sign-Ayuda en - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: Barra de Herramientas de Google Ayuda - (AA58ED58-01DD-4d91-8333-CF10577473F7) - c: \ archivos de programa \ Google \ googletoolbar1.dll
O2 - BHO: Barra de herramientas de Google notificador BHO - (AF69DE43-7D58-4638-B6FA-CE66B5AD205D) - C: \ Archivos de programa \ Google \ GoogleToolbarNotifier \ 2.1.1119.1736 \ s wg.dll
O3 - Toolbar: & Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - c: \ archivos de programa \ Google \ googletoolbar1.dll
O4 - HKLM \ .. \ Run: [NvCplDaemon] rundll32.exe C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [nwiz] nwiz.exe / install
O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM \ .. \ Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [tsnp2std] C: \ WINDOWS \ tsnp2std.exe
O4 - HKLM \ .. \ Run: [snp2std] C: \ WINDOWS \ vsnp2std.exe
O4 - HKLM \ .. \ Run: [QuickTime Tarea] "C: \ Archivos de programa \ QuickTime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / INICIO
O4 - HKLM \ .. \ Run: [NvMediaCenter] rundll32.exe C: \ WINDOWS \ system32 \ NvMcTray.dll, NvTaskbarInit
O4 - HKLM \ .. \ Run: [Adobe Reader Velocidad Launcher] "C: \ Archivos de programa \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKCU \ .. \ Run: [MsnMsgr] "C: \ Archivos de programa \ MSN Messenger \ MsnMsgr.Exe" / antecedentes
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [SWG] C: \ Archivos de programa \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (El usuario 'SERVICIO LOCAL')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (Usuario 'SERVICIO LOCAL')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (El usuario 'Servicio de red')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (El usuario "sistema")
O4 - HKUS \. DEFAULT \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (El usuario predeterminada de usuario ')
O4 - Mundial de inicio: Google Updater.lnk = C: \ Archivos de programa \ Google \ Google Updater \ GoogleUpdater.exe
O4 - Mundial de inicio: Microsoft Office.lnk = C: \ Archivos de programa \ Microsoft Office \ Office \ OSA9.EXE
O9 - Extra botón: (sin nombre) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Archivos de programa \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra "Herramientas" menuitem: Consola de Sun Java - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Archivos de programa \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra botón: PalTalk - (4EAFEF58-EEFA-4116-983D-03B49BCBFFFE) - C: \ Archivos de programa \ Paltalk Messenger \ Paltalk.exe
O9 - Extra botón: (sin nombre) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll
O9 - Extra "Herramientas" menuitem: Spybot - Search & Destroy Configuración - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll
O9 - Extra botón: (sin nombre) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Red de diagnóstico \ xpnetdiag.exe
O9 - Extra "Herramientas" menuitem: @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Red de diagnóstico \ xpnetdiag.exe
O9 - Extra botón: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O9 - Extra "Herramientas" menuitem: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O16 - DPF: (0E5F0222-96B9-11D3-8997-00104BD12D94) (PCPitstop Utilidad) -- http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) (MessengerStatsClient Class) -- http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: (DF780F87-FF2B-4DF8-92D0-73DB16A1543A) (PopCapLoader Objeto) -- http://www.shockwave.com/content/bej...loader_v10.cab
O16 - DPF: (E8F628B5-259a-4734-97EE-BA914D7BE941) (Agente controlador ActiveX Control) -- http://driveragent.com/files/driveragent.cab
O16 - DPF: (F5A7706B-B9C0-4C89-A715-7A0C6B05DD48) (Minesweeper Flags Class) -- http://messenger.zone.msn.com/binary...r.cab56986.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (5DE0FB69-1D9B-48DC-83cc-D71DA02E6BAB): NameServer = 208.67.222.222,208.67.220.220
O23 - Servicio: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Servicio: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Servicio: AVG E-mail Scanner (AVGEMS) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Servicio: Servicio de Google Updater (gusvc) - Google - C: \ Archivos de programa \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
O23 - Servicio: Servicio de controlador de pantalla de NVIDIA (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Servicio: WUSB54GSv2SVC - GEMTEKS - C: \ Archivos de programa \ Linksys Wireless-G USB inalámbrico de Monitor de red \ WLService.exe
--
Fin de archivo - 7776 octetos

[evilfantasy]

Windows errores relacionados con winlogon.exe?

winlogon.exe es un proceso perteneciente a la conexión de Windows gerente. Maneja el nombre de usuario y los procedimientos de salida en su sistema. Este programa es importante para el funcionamiento estable y seguro de su ordenador y no debe darse por concluido.


No veo nada en el registro, pero deberá ejecutar SUPERAntiSpyware para un doble control.

[Axegrinder]

Así SAS didnt algo importante acaba de detectar una gran cantidad de cookies de seguimiento.

[evilfantasy]

Sabes que siempre puede excavar más profundamente. winlogon.exe es explioted por el malware para que podamos ver como así.

Por favor, descargue por Combofix SUBS de uno de los enlaces a continuación.
(Pruebe los tres si es necesario)

• Link # 1
• Link # 2
• Link # 3

¡Importante! Combofix.exe DEBE se guardarán y se desarrolló de la Escritorio.

• Cerrar todos los navegadores Web. (Firefox, Internet Explorer, etc) antes de comenzar Combofix.
• ¡Importante! Temporalmente desactivar tu antivirus, secuencia de comandos de bloqueo y cualquier antispyware protección en tiempo real antes de realizar un análisis.
  • Haga clic en este enlace para ver una lista de programas de seguridad que deben ser discapacitados y la manera de desactivarlo.
  • Si el suyo no está en la lista y usted no sabe cómo desactivar, por favor preguntar.
• Advertencia: Combofix se desconecta el equipo desde el Internet. La conexión se restableció automáticamente Combofix completa antes de su plazo.
• Haga doble clic en combofix.exe y sigue las instrucciones.
  • Seleccionar desde el teclado 1 y oprima Introduzca
• Cuando haya terminado, se elaborará un registro para usted.
• Puesto que entrar en su próxima respuesta.

Advertencia: No mouseclick combofix la ventana mientras se está ejecutando. Que puede causar a pérdida de sustentación

• Si se ejecuta en Combofix dificultad y termina prematuramente, la conexión puede ser restaurado por reiniciar manualmente el equipo.
• Importante: Recuerde volver a habilitar tu antivirus y antispyware antes de volver a la Internet.

----------

Siguiente post
Combofix registro

[Axegrinder]

Vaya.

Hice algo mal

Tener paciencia conmigo

[evilfantasy]

Ha instalado Combofix mal. TIENE que estar guardado en el escritorio.
Por favor, hacer esto.
Vaya a Inicio> Ejecutar> copiar y pegar Combofix / u en la casilla y haga clic en Aceptar.
La descarga Combofix directamente en el escritorio para instalar la consola de recuperación.

• Link # 1
• Link # 2
• Link # 3

Ahora se sugiere que instale la consola de recuperación de Windows. La consola de recuperación de Windows le permitirá arrancar en un modo de recuperación que nos permite ayudarle en el caso de que el equipo tiene un problema después de un intento de eliminación de software malicioso.

Ir a la página web de Microsoft aquí -> http://support.microsoft.com/kb/310994

Seleccione la descarga que es apropiado para su sistema operativo



Descargue el archivo y guardarlo como es originalmente el nombre, al lado de ComboFix.exe.



Ahora cierra todas las ventanas abiertas y programas.
Arrastre el paquete de instalación en ComboFix.exe y suéltelo.
Siga las instrucciones para iniciar ComboFix y cuando se le solicite, de acuerdo a la licencia de usuario final de Microsoft para instalar la Consola de recuperación.
Cuando se haya completado, un registro llamado CF_RC.txt se abrirá.
Por favor, puesto que el contenido del registro en su próxima respuesta.

Gracias a Bleeping ordenador para la guía.


Además, no creo que sea malware.

[Axegrinder]

Este?


WindowsXP-KB310994-SP2-Home-BootDisk-ESN.exe
[boot loader]
timeout = 2
default = multi (0) disk (0) rdisk (0) partition (1) \ VENTANA S
[operating systems]
multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro soft Windows XP Home Edition" / noexecute = OptIn / fastdetect
C: \ cmdcons \ bootsect.dat = "Microsoft Windows Recovery Console" / cmdcons

[evilfantasy]

Eso es. Ahora tiene instalada la consola de recuperación.