procesos normales o virus?

Hola, lo primero saludaros a todos que soy nuevo por estos foros.



Y ahora al grano, me gustaria saber si algun entendido me puede decir si ve algun proceso raro en los logs que he conseguido con el programilla ese que sale por otro post de este tipo.



Solo comentar que tengo windows xp con xp1 practicamente recien formateado pero que me entraron un par de virus por entrar al irc y a internet antes de instalar el norton y no se si aun quedara algun rastro.



Tambien comentar que antes de formatear tenia la sp2 instalada (AHORA NO LA TENGO INSTALADA) y veo un proceso llamado xpsp2.exe que me gustaria saber que puede ser ya que instale esta sp2 por probarla ya que tenia pensado formatear y ahora me extraña mucho ver ese proceso a no ser que sea alguna utilidad que me ha instalado el windows update para avisarme cuando este disponible para descarga la sp2 desde los sitios web de microsoft ya que me sale un aviso del firewall de norton diciendo que xpsp2.exe intenta acceder a internet.



Un saludo y gracias por anticipado



P.D: lo que sale de videosd.exe creo que era uno de los virus que me encontro pero que queda algo de el como deberia quitarlo del todo?



Logfile of HijackThis v1.98.2

Scan saved at 14:59:06, on 15/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\WINDOWS\System32\CTSvcCDA.exe

C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

C:\ARCHIV~1\Iomega\System32\AppServices.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\WINDOWS\System32\xpsp2.exe

C:\Archivos de programa\BestBuy\Manager.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Logitech\Profiler\lwemon.exe

C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Seguridad\P2PHazard.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Seguridad2\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [xp service pack 2] xpsp2.exe

O4 - HKLM\..\Run: [PrintMngr] C:\socks.exe

O4 - HKLM\..\Run: [BestBuy] C:\Archivos de programa\BestBuy\Manager.exe

O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe

O4 - HKLM\..\RunServices: [xp service pack 2] xpsp2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwemon.exe" /noui

O4 - Startup: Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html

O8 - Extra context menu item: Abrir con Navegador GetRight - C:\ARCHIV~1\GetRight\GRbrowse.htm

O8 - Extra context menu item: Descargar con GetRight - C:\ARCHIV~1\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1116ff6a4d912e...RdxIE601_es.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DF7503A4-E7E4-404D-9A20-2C1C50750FC3}: NameServer = 195.235.113.3 195.235.96.90





y este es el otro log





StartupList report, 15/09/2004, 15:00:05

StartupList version: 1.52.2

Started from : C:\Seguridad2\HijackThis.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================



Running processes:



C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\WINDOWS\System32\CTSvcCDA.exe

C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

C:\ARCHIV~1\Iomega\System32\AppServices.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\WINDOWS\System32\xpsp2.exe

C:\Archivos de programa\BestBuy\Manager.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Logitech\Profiler\lwemon.exe

C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Seguridad\P2PHazard.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Seguridad2\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE



--------------------------------------------------



Listing of startup folders:



Shell folders Startup:

[C:\Documents and Settings\Jose Mari\Menú Inicio\Programas\Inicio]

Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

PowerReg Scheduler V3.exe



Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe



--------------------------------------------------



Checking Windows NT UserInit:



[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,



--------------------------------------------------



Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run



ATIPTA = C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

IMONTRAY = C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

CTRegRun = C:\WINDOWS\CTRegRun.EXE



--------------------------------------------------



Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run OnceEx



(Default) =



--------------------------------------------------



Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services



Win32 Configuration = videosd32.exe

xp service pack 2 = xpsp2.exe



--------------------------------------------------



Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run



CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

Win32 Configuration = videosd32.exe

Symantec NetDriver Monitor = C:\ARCHIV~1\SYMNET~1\SNDMon.exe



--------------------------------------------------



Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:



Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*



Shell & screensaver key from Registry:



Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

drivers=*Registry value not found*



Policies Shell key:



HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*



--------------------------------------------------





Enumerating Browser Helper Objects:



(no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

Web assistant - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}

(no name) - c:\windows\googletoolbar.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

NAV Helper - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}



--------------------------------------------------



Enumerating Task Scheduler jobs:



Norton SystemWorks One Button Checkup.job

Symantec Drmc.job

Symantec NetDetect.job



--------------------------------------------------



Enumerating Download Program Files:



[RdxIE Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\RdxIE.dll

CODEBASE = http://software-dl.real.com/1116ff6a4d912e...RdxIE601_es.cab



[WUWebControl Class]

InProcServer32 = C:\WINDOWS\System32\wuweb.dll

CODEBASE = http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593



[{8EDAD21C-3584-4E66-A8AB-EB0E5584767D}]

CODEBASE = http://toolbar.google.com/data/GoogleActivate.cab



[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab



--------------------------------------------------



Enumerating ShellServiceObjectDelayLoad items:



PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll



--------------------------------------------------

End of report, 7.832 bytes

Report generated in 0,140 seconds



Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.

Hola



Hay entradas de este: WIN32/IRCBOT.NJ , pero no parece estar activo, mas información: http://www.enciclopediavirus.com/vir...us.php?id=1229



Y el xpsp2.exe tiene que ser otro gusano.



Desactiva la opción de restaurar el sistema:



Como activar/desactivar restaurar el sistema





Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>



De existir termina ese proceso:



C:\WINDOWS\System32\xpsp2.exe



Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que ese proceso ya no esté.



Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas



Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.





Ahora navega el registro hasta encontrar y seleccionar la rama:



HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\



En el panel derecho elimina estas entradas:



[Win32 Configuration] videosd32.exe

[xp service pack 2] xpsp2.exe



Navega el registro hasta encontrar y seleccionar la rama:



HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre ntVersion\ RunServices\



En el panel derecho elimina estas entradas:



[Win32 Configuration] videosd32.exe

[xp service pack 2] xpsp2.exe





Cada usuario dispone de un área en el registro de la forma HKEY_LOCAL_USER\. Por cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.:



Navega el registro hasta encontrar y seleccionar la rama:



HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentV ersion\ Run\



En el panel derecho elimina esta entrada:



[Win32 Configuration] videosd32.exe



Ya puedes cerrar el editor de registro.



Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.

Gracias por la respuesta y por la rapidez.



Ahora estoy en el curro pero luego en casa seguire tus instrucciones, solo que no estoy muy seguro de que xpsp2.exe sea un gusano ya que antes de venirme al trabajo he quitado la opcion de restaurar sistema he iniciado en safe mode y he dejado el antivirus pasando y arriba en la pantalla, ahora mismo no recuerdo exactamente lo que ponia, pero es algo sobre mi version de windows y hacia referencia a la sp2 y la sp1.



Puede ser que al haber tenido puesta la sp2 a pesar de haber formateado y ahora no la tenga quede constancia en algun lado? A mi me resulta extraño despues de formatear pero ya no se que pensar.



Luego en casa si quieres actualizo este post y te pongo lo que pone concretamente y los logs despues de seguir tus instrucciones.



Un saludo y gracias de nuevo.

Bueno en vez de editar vuelvo a postear para que salga el aviso de que hay un nuevo post y no pase desapercibido, pido disculpas por postear dos veces seguidas.



Aqui estan los nuevos logs creo que estara todo solucionado porque ya no aparece el xpsp2.exe en los procesos



Vuelvo a daros las gracias y a felicitaros por esta estupenda web.



-----------------------------------------------



Logfile of HijackThis v1.98.2

Scan saved at 19:53:26, on 15/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\WINDOWS\System32\CTSvcCDA.exe

C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

C:\ARCHIV~1\Iomega\System32\AppServices.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\BestBuy\Manager.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Logitech\Profiler\lwemon.exe

C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Seguridad\P2PHazard.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Seguridad2\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [Drag&#39;n&#39;Drop_Autolaunch] "C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [PrintMngr] C:\socks.exe

O4 - HKLM\..\Run: [BestBuy] C:\Archivos de programa\BestBuy\Manager.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwemon.exe" /noui

O4 - Startup: Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html

O8 - Extra context menu item: Abrir con Navegador GetRight - C:\ARCHIV~1\GetRight\GRbrowse.htm

O8 - Extra context menu item: Descargar con GetRight - C:\ARCHIV~1\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra &#39;Tools&#39; menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra &#39;Tools&#39; menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1116ff6a4d912e...RdxIE601_es.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593

O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DF7503A4-E7E4-404D-9A20-2C1C50750FC3}: NameServer = 195.235.113.3 195.235.96.90



----------------------------------------------



StartupList report, 15/09/2004, 19:53:37

StartupList version: 1.52.2

Started from : C:\Seguridad2\HijackThis.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================



Running processes:



C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\WINDOWS\System32\CTSvcCDA.exe

C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

C:\ARCHIV~1\Iomega\System32\AppServices.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\BestBuy\Manager.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Logitech\Profiler\lwemon.exe

C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Seguridad\P2PHazard.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Seguridad2\HijackThis.exe



--------------------------------------------------



Listing of startup folders:



Shell folders Startup:

[C:\Documents and Settings\Jose Mari\Menú Inicio\Programas\Inicio]

Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

PowerReg Scheduler V3.exe



Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe



--------------------------------------------------



Checking Windows NT UserInit:



[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,



--------------------------------------------------



Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run



ATIPTA = C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

IMONTRAY = C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

CTRegRun = C:\WINDOWS\CTRegRun.EXE



--------------------------------------------------



Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run OnceEx



(Default) =



--------------------------------------------------



Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run



CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

Symantec NetDriver Monitor = C:\ARCHIV~1\SYMNET~1\SNDMon.exe



--------------------------------------------------



Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:



Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*



Shell & screensaver key from Registry:



Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

drivers=*Registry value not found*



Policies Shell key:



HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*



--------------------------------------------------





Enumerating Browser Helper Objects:



(no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

Web assistant - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}

(no name) - c:\windows\googletoolbar.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

NAV Helper - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}



--------------------------------------------------



Enumerating Task Scheduler jobs:



Norton SystemWorks One Button Checkup.job

Symantec Drmc.job

Symantec NetDetect.job



--------------------------------------------------



Enumerating Download Program Files:



[RdxIE Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\RdxIE.dll

CODEBASE = http://software-dl.real.com/1116ff6a4d912e...RdxIE601_es.cab



[WUWebControl Class]

InProcServer32 = C:\WINDOWS\System32\wuweb.dll

CODEBASE = http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593



[{8EDAD21C-3584-4E66-A8AB-EB0E5584767D}]

CODEBASE = http://toolbar.google.com/data/GoogleActivate.cab



[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab



--------------------------------------------------



Enumerating ShellServiceObjectDelayLoad items:



PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll



--------------------------------------------------

End of report, 7.628 bytes

Report generated in 0,125 seconds



Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only