procesos normales o virus?

Tema en 'Windows XP' comenzado por josemari_72, 15/9/04.

Estado del tema:
No está abierto para más respuestas.
  1. josemari_72

    josemari_72 Nuevo Miembro Miembro

    Hola, lo primero saludaros a todos que soy nuevo por estos foros.



    Y ahora al grano, me gustaria saber si algun entendido me puede decir si ve algun proceso raro en los logs que he conseguido con el programilla ese que sale por otro post de este tipo.



    Solo comentar que tengo windows xp con xp1 practicamente recien formateado pero que me entraron un par de virus por entrar al irc y a internet antes de instalar el norton y no se si aun quedara algun rastro.



    Tambien comentar que antes de formatear tenia la sp2 instalada (AHORA NO LA TENGO INSTALADA) y veo un proceso llamado xpsp2.exe que me gustaria saber que puede ser ya que instale esta sp2 por probarla ya que tenia pensado formatear y ahora me extraña mucho ver ese proceso a no ser que sea alguna utilidad que me ha instalado el windows update para avisarme cuando este disponible para descarga la sp2 desde los sitios web de microsoft ya que me sale un aviso del firewall de norton diciendo que xpsp2.exe intenta acceder a internet.



    Un saludo y gracias por anticipado



    P.D: lo que sale de videosd.exe creo que era uno de los virus que me encontro pero que queda algo de el como deberia quitarlo del todo?



    Logfile of HijackThis v1.98.2

    Scan saved at 14:59:06, on 15/09/2004

    Platform: Windows XP SP1 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

    C:\WINDOWS\System32\CTSvcCDA.exe

    C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

    C:\ARCHIV~1\Iomega\System32\AppServices.exe

    C:\WINDOWS\system32\drivers\KodakCCS.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

    C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

    C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

    C:\Archivos de programa\Winamp\winampa.exe

    C:\Archivos de programa\QuickTime\qttask.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    C:\WINDOWS\System32\xpsp2.exe

    C:\Archivos de programa\BestBuy\Manager.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\Archivos de programa\Logitech\Profiler\lwemon.exe

    C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    C:\Seguridad\P2PHazard.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Seguridad2\HijackThis.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll

    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll

    O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

    O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

    O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe"

    O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe

    O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

    O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513

    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    O4 - HKLM\..\Run: [xp service pack 2] xpsp2.exe

    O4 - HKLM\..\Run: [PrintMngr] C:\socks.exe

    O4 - HKLM\..\Run: [BestBuy] C:\Archivos de programa\BestBuy\Manager.exe

    O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe

    O4 - HKLM\..\RunServices: [xp service pack 2] xpsp2.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

    O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe

    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

    O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwemon.exe" /noui

    O4 - Startup: Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

    O4 - Startup: PowerReg Scheduler V3.exe

    O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html

    O8 - Extra context menu item: Abrir con Navegador GetRight - C:\ARCHIV~1\GetRight\GRbrowse.htm

    O8 - Extra context menu item: Descargar con GetRight - C:\ARCHIV~1\GetRight\GRdownload.htm

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

    O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html

    O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

    O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1116ff6a4d912e...RdxIE601_es.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593

    O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{DF7503A4-E7E4-404D-9A20-2C1C50750FC3}: NameServer = 195.235.113.3 195.235.96.90





    y este es el otro log





    StartupList report, 15/09/2004, 15:00:05

    StartupList version: 1.52.2

    Started from : C:\Seguridad2\HijackThis.EXE

    Detected: Windows XP SP1 (WinNT 5.01.2600)

    Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    * Using default options

    ==================================================



    Running processes:



    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

    C:\WINDOWS\System32\CTSvcCDA.exe

    C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

    C:\ARCHIV~1\Iomega\System32\AppServices.exe

    C:\WINDOWS\system32\drivers\KodakCCS.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

    C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

    C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

    C:\Archivos de programa\Winamp\winampa.exe

    C:\Archivos de programa\QuickTime\qttask.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    C:\WINDOWS\System32\xpsp2.exe

    C:\Archivos de programa\BestBuy\Manager.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\Archivos de programa\Logitech\Profiler\lwemon.exe

    C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    C:\Seguridad\P2PHazard.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Seguridad2\HijackThis.exe

    C:\WINDOWS\system32\NOTEPAD.EXE



    --------------------------------------------------



    Listing of startup folders:



    Shell folders Startup:

    [C:\Documents and Settings\Jose Mari\Menú Inicio\Programas\Inicio]

    Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

    PowerReg Scheduler V3.exe



    Shell folders Common Startup:

    [C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

    Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

    InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe



    --------------------------------------------------



    Checking Windows NT UserInit:



    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    UserInit = C:\WINDOWS\system32\userinit.exe,



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run



    ATIPTA = C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    IMONTRAY = C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    CTRegRun = C:\WINDOWS\CTRegRun.EXE



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx



    (Default) =



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices



    Win32 Configuration = videosd32.exe

    xp service pack 2 = xpsp2.exe



    --------------------------------------------------



    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run



    CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

    Win32 Configuration = videosd32.exe

    Symantec NetDriver Monitor = C:\ARCHIV~1\SYMNET~1\SNDMon.exe



    --------------------------------------------------



    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:



    Shell=*INI section not found*

    SCRNSAVE.EXE=*INI section not found*

    drivers=*INI section not found*



    Shell & screensaver key from Registry:



    Shell=Explorer.exe

    SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

    drivers=*Registry value not found*



    Policies Shell key:



    HKCU\..\Policies: Shell=*Registry key not found*

    HKLM\..\Policies: Shell=*Registry value not found*



    --------------------------------------------------





    Enumerating Browser Helper Objects:



    (no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

    Web assistant - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}

    (no name) - c:\windows\googletoolbar.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

    NAV Helper - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}



    --------------------------------------------------



    Enumerating Task Scheduler jobs:



    Norton SystemWorks One Button Checkup.job

    Symantec Drmc.job

    Symantec NetDetect.job



    --------------------------------------------------



    Enumerating Download Program Files:



    [RdxIE Class]

    InProcServer32 = C:\WINDOWS\Downloaded Program Files\RdxIE.dll

    CODEBASE = http://software-dl.real.com/1116ff6a4d912e...RdxIE601_es.cab



    [WUWebControl Class]

    InProcServer32 = C:\WINDOWS\System32\wuweb.dll

    CODEBASE = http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593



    [{8EDAD21C-3584-4E66-A8AB-EB0E5584767D}]

    CODEBASE = http://toolbar.google.com/data/GoogleActivate.cab



    [Shockwave Flash Object]

    InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

    CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab



    --------------------------------------------------



    Enumerating ShellServiceObjectDelayLoad items:



    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

    CDBurn: C:\WINDOWS\system32\SHELL32.dll

    WebCheck: C:\WINDOWS\System32\webcheck.dll

    SysTray: C:\WINDOWS\System32\stobject.dll



    --------------------------------------------------

    End of report, 7.832 bytes

    Report generated in 0,140 seconds



    Command line options:

    /verbose - to add additional info on each section

    /complete - to include empty sections and unsuspicious data

    /full - to include several rarely-important sections

    /force9x - to include Win9x-only startups even if running on WinNT

    /forcent - to include WinNT-only startups even if running on Win9x

    /forceall - to include all Win9x and WinNT startups, regardless of platform

    /history - to list version history only
     
  2. alnitak

    alnitak Nuevo Miembro Miembro



    Hola



    Hay entradas de este: WIN32/IRCBOT.NJ , pero no parece estar activo, mas información: http://www.enciclopediavirus.com/virus/vervirus.php?id=1229



    Y el xpsp2.exe tiene que ser otro gusano.



    Desactiva la opción de restaurar el sistema:



    Como activar/desactivar restaurar el sistema





    Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>



    De existir termina ese proceso:



    C:\WINDOWS\System32\xpsp2.exe



    Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que ese proceso ya no esté.



    Abre el editor de registro:

    Inicio>>ejecutar>>escribes regedit y aceptas



    Respaldalo salvandolo como archivo:

    Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.





    Ahora navega el registro hasta encontrar y seleccionar la rama:



    HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\



    En el panel derecho elimina estas entradas:



    [Win32 Configuration] videosd32.exe

    [xp service pack 2] xpsp2.exe



    Navega el registro hasta encontrar y seleccionar la rama:



    HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\



    En el panel derecho elimina estas entradas:



    [Win32 Configuration] videosd32.exe

    [xp service pack 2] xpsp2.exe





    Cada usuario dispone de un área en el registro de la forma HKEY_LOCAL_USER\. Por cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.:



    Navega el registro hasta encontrar y seleccionar la rama:



    HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\



    En el panel derecho elimina esta entrada:



    [Win32 Configuration] videosd32.exe



    Ya puedes cerrar el editor de registro.



    Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.



     
  3. josemari_72

    josemari_72 Nuevo Miembro Miembro

    Gracias por la respuesta y por la rapidez.



    Ahora estoy en el curro pero luego en casa seguire tus instrucciones, solo que no estoy muy seguro de que xpsp2.exe sea un gusano ya que antes de venirme al trabajo he quitado la opcion de restaurar sistema he iniciado en safe mode y he dejado el antivirus pasando y arriba en la pantalla, ahora mismo no recuerdo exactamente lo que ponia, pero es algo sobre mi version de windows y hacia referencia a la sp2 y la sp1.



    Puede ser que al haber tenido puesta la sp2 a pesar de haber formateado y ahora no la tenga quede constancia en algun lado? A mi me resulta extraño despues de formatear pero ya no se que pensar.



    Luego en casa si quieres actualizo este post y te pongo lo que pone concretamente y los logs despues de seguir tus instrucciones.



    Un saludo y gracias de nuevo.
     
  4. josemari_72

    josemari_72 Nuevo Miembro Miembro

    Bueno en vez de editar vuelvo a postear para que salga el aviso de que hay un nuevo post y no pase desapercibido, pido disculpas por postear dos veces seguidas.



    Aqui estan los nuevos logs creo que estara todo solucionado porque ya no aparece el xpsp2.exe en los procesos



    Vuelvo a daros las gracias y a felicitaros por esta estupenda web.



    -----------------------------------------------



    Logfile of HijackThis v1.98.2

    Scan saved at 19:53:26, on 15/09/2004

    Platform: Windows XP SP1 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

    C:\WINDOWS\System32\CTSvcCDA.exe

    C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

    C:\ARCHIV~1\Iomega\System32\AppServices.exe

    C:\WINDOWS\system32\drivers\KodakCCS.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

    C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

    C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

    C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

    C:\Archivos de programa\Winamp\winampa.exe

    C:\Archivos de programa\QuickTime\qttask.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    C:\Archivos de programa\BestBuy\Manager.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\Archivos de programa\Logitech\Profiler\lwemon.exe

    C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    C:\Archivos de programa\GetRight\getright.exe

    C:\Seguridad\P2PHazard.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\Seguridad2\HijackThis.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll

    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll

    O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

    O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

    O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe"

    O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

    O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513

    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    O4 - HKLM\..\Run: [PrintMngr] C:\socks.exe

    O4 - HKLM\..\Run: [BestBuy] C:\Archivos de programa\BestBuy\Manager.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

    O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwemon.exe" /noui

    O4 - Startup: Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

    O4 - Startup: PowerReg Scheduler V3.exe

    O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html

    O8 - Extra context menu item: Abrir con Navegador GetRight - C:\ARCHIV~1\GetRight\GRbrowse.htm

    O8 - Extra context menu item: Descargar con GetRight - C:\ARCHIV~1\GetRight\GRdownload.htm

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

    O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html

    O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

    O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1116ff6a4d912e...RdxIE601_es.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593

    O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{DF7503A4-E7E4-404D-9A20-2C1C50750FC3}: NameServer = 195.235.113.3 195.235.96.90



    ----------------------------------------------



    StartupList report, 15/09/2004, 19:53:37

    StartupList version: 1.52.2

    Started from : C:\Seguridad2\HijackThis.EXE

    Detected: Windows XP SP1 (WinNT 5.01.2600)

    Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    * Using default options

    ==================================================



    Running processes:



    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

    C:\WINDOWS\System32\CTSvcCDA.exe

    C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

    C:\ARCHIV~1\Iomega\System32\AppServices.exe

    C:\WINDOWS\system32\drivers\KodakCCS.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

    C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

    C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

    C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

    C:\Archivos de programa\Winamp\winampa.exe

    C:\Archivos de programa\QuickTime\qttask.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    C:\Archivos de programa\BestBuy\Manager.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\Archivos de programa\Logitech\Profiler\lwemon.exe

    C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    C:\Archivos de programa\GetRight\getright.exe

    C:\Seguridad\P2PHazard.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\Seguridad2\HijackThis.exe



    --------------------------------------------------



    Listing of startup folders:



    Shell folders Startup:

    [C:\Documents and Settings\Jose Mari\Menú Inicio\Programas\Inicio]

    Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

    PowerReg Scheduler V3.exe



    Shell folders Common Startup:

    [C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

    Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

    InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe



    --------------------------------------------------



    Checking Windows NT UserInit:



    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    UserInit = C:\WINDOWS\system32\userinit.exe,



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run



    ATIPTA = C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    IMONTRAY = C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    CTRegRun = C:\WINDOWS\CTRegRun.EXE



    --------------------------------------------------



    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx



    (Default) =



    --------------------------------------------------



    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run



    CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

    Symantec NetDriver Monitor = C:\ARCHIV~1\SYMNET~1\SNDMon.exe



    --------------------------------------------------



    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:



    Shell=*INI section not found*

    SCRNSAVE.EXE=*INI section not found*

    drivers=*INI section not found*



    Shell & screensaver key from Registry:



    Shell=Explorer.exe

    SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

    drivers=*Registry value not found*



    Policies Shell key:



    HKCU\..\Policies: Shell=*Registry key not found*

    HKLM\..\Policies: Shell=*Registry value not found*



    --------------------------------------------------





    Enumerating Browser Helper Objects:



    (no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

    Web assistant - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}

    (no name) - c:\windows\googletoolbar.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

    NAV Helper - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}



    --------------------------------------------------



    Enumerating Task Scheduler jobs:



    Norton SystemWorks One Button Checkup.job

    Symantec Drmc.job

    Symantec NetDetect.job



    --------------------------------------------------



    Enumerating Download Program Files:



    [RdxIE Class]

    InProcServer32 = C:\WINDOWS\Downloaded Program Files\RdxIE.dll

    CODEBASE = http://software-dl.real.com/1116ff6a4d912e...RdxIE601_es.cab



    [WUWebControl Class]

    InProcServer32 = C:\WINDOWS\System32\wuweb.dll

    CODEBASE = http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593



    [{8EDAD21C-3584-4E66-A8AB-EB0E5584767D}]

    CODEBASE = http://toolbar.google.com/data/GoogleActivate.cab



    [Shockwave Flash Object]

    InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

    CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab



    --------------------------------------------------



    Enumerating ShellServiceObjectDelayLoad items:



    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

    CDBurn: C:\WINDOWS\system32\SHELL32.dll

    WebCheck: C:\WINDOWS\System32\webcheck.dll

    SysTray: C:\WINDOWS\System32\stobject.dll



    --------------------------------------------------

    End of report, 7.628 bytes

    Report generated in 0,125 seconds



    Command line options:

    /verbose - to add additional info on each section

    /complete - to include empty sections and unsuspicious data

    /full - to include several rarely-important sections

    /force9x - to include Win9x-only startups even if running on WinNT

    /forcent - to include WinNT-only startups even if running on Win9x

    /forceall - to include all Win9x and WinNT startups, regardless of platform

    /history - to list version history only
     
Estado del tema:
No está abierto para más respuestas.

Comparte esta página