Proble winlog.exe

Estado
Cerrado para nuevas respuestas

ngk

Nuevo Miembro
Miembro
#1
Hace ya bastante tiempo se metio un virus en la pc que la reiniciaba a cada rato, busque un parche de microsoft Windows y pase el avira antivirus que es el que tengo, y bueno aunque anda aparentemente normal mi pc, de vez en cuando me sale el winlog.exe, el mensaje Lshall que ocurrio un error lsass o algo parecido y me reinicia la pc, el antivirus lo detecta y lo borra pero igual me la reinicia y después de unos días o cuando le da la gana vuelve a aparecer, y últimamente al iniciar se demora un poco, ayer pase mi antivirus y 2 online el trendmicro y el ewido borre lo que encontraron unos 4 archivos, pero hoy me volvio a salir el bendito winlog (maldito >=P) y bueno aunque aparezca de vez en cuando no puedo eliminarlo completamente.

nota: algo mas al ejecutar el diskcleaner: existen 5 items que no puede eliminar:

internet history 0 bytes 2 items

windows log files 209 bytes 3 items

Les dejo el log y espero su rpta:

Logfile of HijackThis v1.99.1

Scan saved at 10:45:38 a.m., on 17/04/2001

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

C:\Archivos de programa\AntiVir Workstation\avgnt.exe

C:\Archivos de programa\AntiVir Workstation\sched.exe

C:\Archivos de programa\AntiVir Workstation\avguard.exe

C:\Archivos de programa\AntiVir Workstation\avesvc.exe

C:\WINDOWS\system32\esclavo.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir Workstation\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: Disk Cleaner.lnk = C:\Archivos de programa\Disk Cleaner\dclean.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O10 - Broken Internet access because of LSP provider 'avsda.dll' missing

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C5547772-CB08-44C7-8534-870271E3931C}: NameServer = 200.48.225.130,200.48.225.146

O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll

O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Archivos de programa\AntiVir Workstation\avmailc.exe

O23 - Service: AntiVir Windows Workstation Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir Workstation\sched.exe

O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir Workstation\avguard.exe

O23 - Service: AntiVir Windows Workstation MailGuard helper service (AVEService) - Avira GmbH - C:\Archivos de programa\AntiVir Workstation\avesvc.exe

O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

muchas gracias de antemano
 

Caito

Ex- Mod
Miembro
#2
Lo más grave que veo en tu log es que ni siquiera tienes el SP1

Por eso te infectas a cada rato,haz esto:

Actualiza tu sistema acá :

Buscar actualizaciones con Windows Update

(Si por algún motivo no puedes actualizar sigue con los demás pasos)

Borra todas las cookies y el registro con CCleaner:

Descargar CCleaner | Utilidades - Análisis y Optimización

Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)

Pasale el Avg-antispyware. (Actualizalo, y al acabar el Scaneo elije la opción eliminar, después guarda el report y lo pegas)

Ewido Anti-Malware

Y esta aplicacion también (No necesita instalacion)No te saltes este paso

ElistarA

Descargar EliStarA | Seguridad - Anti-Spyware

Cuando empiece el Scaneo, DESTILDAS la opción de eliminar, a la izquierda de la ventana del programa

Que no elimine nada

Pega un nuevo Log del Hijackthis, mas los Reports de Avg-Antispyware y ElistarA.

Saludos

Caito
 

ngk

Nuevo Miembro
Miembro
#3
Bien ya hize lo que me pediste y esto fue lo que consegui:

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 02:05:51 p.m. 18/04/2007

+ Resultado del análisis:

C:\FOUND.005\FILE0011.CHK -> Worm.Womble.d : Limpios con copia de seguridad (en cuarentena).

::Fin del informe

Wed Apr 18 14:16:50 2007

EliStartPage v13.77 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 18 14:18:57 2007

EliStartPage v13.77 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Apr 18 14:19:57 2007

EliStartPage v13.77 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\install\fx5200 drivers\PHOTOSHOP ALBUM\ADOBE ACROBAT READER 5.1\READER\PLUG_INS\IMAGEVIEWER\LIB\SVGBIB.DLL --> Infectado, NetNucleus (BHO)

Logfile of HijackThis v1.99.1

Scan saved at 02:45:09 p.m., on 18/04/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

C:\Archivos de programa\AntiVir Workstation\avgnt.exe

C:\Archivos de programa\AntiVir Workstation\sched.exe

C:\Archivos de programa\AntiVir Workstation\avguard.exe

C:\Archivos de programa\AntiVir Workstation\avesvc.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\esclavo.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com.pe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir Workstation\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O10 - Broken Internet access because of LSP provider 'avsda.dll' missing

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...ab?987617603296

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...ab?987617574061

O17 - HKLM\System\CCS\Services\Tcpip\..\{C5547772-CB08-44C7-8534-870271E3931C}: NameServer = 200.48.225.130,200.48.225.146

O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll

O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Archivos de programa\AntiVir Workstation\avmailc.exe

O23 - Service: AntiVir Windows Workstation Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir Workstation\sched.exe

O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir Workstation\avguard.exe

O23 - Service: AntiVir Windows Workstation MailGuard helper service (AVEService) - Avira GmbH - C:\Archivos de programa\AntiVir Workstation\avesvc.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

gracias y espero su respuesta.

pd: no se porque pero se me queda una dirección en el historial cada vez que empiezo a escribir en la barra de dirección www.googl.........

me sale

http://www.google.com.pe/imghp?hl=es&tab=w...%20de%20imuyasa

aun limpiando se borran todas las dir menos esa

bien no se porque siempre se queda esa dirección aunque no me afecta en nada me da curiosidad porque no puedo eliminarla para que no salga.
 

lobezzno

Miembro Activo
Miembro
#4
Bájate estos 3 parches y los instalas:

Parche MS04-011 de Microsoft

Parche MS06-001 de Microsoft

Parche MS06-070 de Microsoft

Una vez hecho sigue con estos pasos:

Bájate este programa SuperAntiSpyware (Actualízalo y se lo pasas)

Además haz un scan online con algúno de estos antivirus:

Los mejores antivirus online

http://support.f-secure.com/ols/start.html

Nos pones los resultados y un nuevo log de Hijackthis. No olvides decirnos también si sigues con problemas.

Un saludo.

P.D: También debes actualizar la consola de java http://java.sun.com/javase/downloads/index.jsp Debes bajarte la versión Java Runtime Environment (JRE). [Desinstala la versión que usas ahora e instala la versión que te he mandado bajar]
 
Estado
Cerrado para nuevas respuestas
Arriba Pie