Problem con winlogon.exe

Hola, como va? Mirad, mi problema sq cuando abro el adm. de tareas me sale un proceso llamado winlogon.exe, q segun e podido leer en este foro es una especie de spyware o algo x el estilo. Mi pregunta es como borrar ese proceso, ya que al darle a suprm. me dice q es un proceso crítico del sistema.

Agradeceria su ayuda

SAludos
Para + ayudo aqui les dejo el log del HijackThis:



Logfile of HijackThis v1.99.1

Scan saved at 17:39:11, on 23/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe

c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\apvxdwin.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE

c:\archivos de programa\panda software\panda internet security 2007\WebProxy.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...ario&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Archivos de programa\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart

O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B43A3771-6D81-4969-8A89-9BE2D989833B}: NameServer = 62.36.225.150 62.37.228.20

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - c:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe

Hola,no es necesariamente es un gusano, winlogon.exe es una aplicación Windows que se usa para validar la identidad de un usuario tanto al entrar como al salir y no un troyano, y su ruta es C:\WINDOWS\system32\winlogon.exe.



Aunque existe un gusano de la familia Netsky que se propaga a través de correo electrónico y que se disfrasa con este nombre, así que si quieres estar seguro mira si tienes esta entrada en el registro... "ICQ NET" = "%Windir%\winlogon.exe -stealth"... para ello navega por... HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run ... si la tienes es que tines este troyano, pero primero miralo y si es así pasaremos a eliminarlo.



Saludos.

Ola! Ni en la carpeta Run, ni RunOnce, ni RunOnceEx ni RunServices esta "ICQ NET", no hay nada.

Pero en C:\WINDOWS\I386 hay un Archivo EX_ y en C:\WINDOWS\system32\winlogon.exe esta el q me digiste.

Que hago ahora? Lo borro cn el KillBox?

Gracias

SAludos

Te agradeceria tmb si pueds mirarm el LOG q te puse n l otro mnsage y me miraras si hay algo + q se "malo", jeje

No, esa ruta no la tienes que borrar (C:\WINDOWS\system32\winlogon.exe) pues es un archivo legitimo de windows.

Con respecto a tu log, tienes que ponerlo aqui Logs HijackThis

Saludos.

Entonces no esta infectado no nada,no¿?

Si es asi, xq me dice q es 1 proceso critico dl sistema¿?

SAludos

Poeque si no estubiera en proceso el sistema tendría fallos... es por eso que no te deja cerrarlo.

Por otro lado yo no dije que tu log está limpio, sólo que lo cuelgues en la seccion del foro correspondiente para los logs.

Saludos.

Ok, muxas gracias