proceso wuampd.exe

Estado
Cerrado para nuevas respuestas

eherrera

Nuevo Miembro
Miembro
#1
Hola amigos, dentro de mis procesos que se activan al iniciar widows me aparece uno que se llama wuampd.exe, la verdad no se para qué sirva, al checar el registro de arranque me dice que es del Windows Update, pero apenas tuve un virus (W32.HLLW.Gaobot.gen), no se si sea algúna consecuencia del virus, pero de repente la máquina se bloquea sin más, e incluso cuando la apago no cierra debidamente el taskmgr.exe y me pide que lo cierre manualmente dos veces antes de que se apague, esto no me sucedía antes y pasa a partir de que actualicé mi antivirus y mi windows, después de que me pasó lo del virus, ojalá me pudieran ayudar, porque soy novato en esto de las configuraciones, les agradezco su atención y los felicito por la página que nos es muy útil para los que no somos expertos en en tema.
 

alnitak

Ex-Admin
Miembro
#2
Con toda probabilidad sea un gusano y donde hay uno suelen haber mas.

Por favor, bájate el HijackThis 1.98.2 crea una carpeta solo para el y salvalo en ella, después ejecutalo, dale a Scan, después a save log y postea el log aquí.
 

eherrera

Nuevo Miembro
Miembro
#3
Gracias por tu respuesta alnitak, te posteo el log, te agradezco mucho tu ayuda.

Logfile of HijackThis v1.98.2

Scan saved at 01:06:09 p.m., on 04/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\S3tray2.exe

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es-mx\msnappau.exe

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\rnathchk.exe

C:\WINDOWS\System32\wuampd.exe

C:\Documents and Settings\All Users\Documentos\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.t1msn.com.mx/0SEESMX/SAOS01

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.0002.1001\es-mx\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.0002.1001\es-mx\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es-mx\msnappau.exe"

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096054575170

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0631B603-79B8-4FD7-9F80-5CBF4B3A9B58}: NameServer = 200.33.146.209 200.33.146.217
 

alnitak

Ex-Admin
Miembro
#4
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina este proceso:

wuampd.exe

Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina esta entrada:

[Microsoft Update] wuampd.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina esta entrada:

[Microsoft Update] wuampd.exe

Cada usuario dispone de un área en el registro de la forma HKEY_LOCAL_USERS\. Por cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema en modo seguro desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.:

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\

En el panel derecho elimina estas entradas:

[Microsoft Update] wuampd.exe

Ya puedes cerrar el editor de registro.

Elimina este archivo:

C:\WINDOWS\System32\wuampd.exe

Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

eherrera

Nuevo Miembro
Miembro
#5
Te agradezco tu pronta respuesta alnitak, ya realicé lo que me dijiste, sólo que después de que eliminé las entradas del registro y quise eliminar el archivo C:\WINDOWS\System32\wuampd.exe nunca lo encontré, lo busqué en todo mi equipo y el único archivo que encontré parecido es: C:\WINDOWS\Prefetch\WUAMPD.EXE-1FB6ADD3.pf, no se si borrarlo o no, por otra parte ya no se ejecuta el proceso wuampd.exe al iniciar windows, te posteo el nuevlo log y te agradecería mucho si pudieras revisar que ya no tenga nada extraño en él. Gracias por tu tiempo y te reitero mi felicitación por su excelente labor.

Logfile of HijackThis v1.98.2

Scan saved at 12:06:38 p.m., on 05/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\S3tray2.exe

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es-mx\msnappau.exe

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\rnathchk.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Documents and Settings\All Users\Documentos\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.t1msn.com.mx/0SEESMX/SAOS01

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Prodigy Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.0002.1001\es-mx\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.0002.1001\es-mx\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es-mx\msnappau.exe"

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096054575170

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0631B603-79B8-4FD7-9F80-5CBF4B3A9B58}: NameServer = 200.33.146.209 200.33.146.217
 

alnitak

Ex-Admin
Miembro
#6
Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Despuésbusca ese archivo y si existe eliminalo.

Puedes eliminar todo el contenido de la carpeta C:\WINDOWS\Prefetch\ bien sea manualmente o usando algún programa como el disk cleaner (un programita que te recomiendo con los ojos cerrados) y marcando la casilla correspondiente a WinXP prefetch clean

Descargar Disk Cleaner
 

eherrera

Nuevo Miembro
Miembro
#7
Muchas gracias alnitak, no estuvo el archivo ni oculto, incluso en las opciones del buscador le activé la casilla de buscar en carpetas y archivos ocultos, y por si acaso chequé directamente en la carpeta C:\WINDOWS\system32\ ya no se ha trabado mi máquina por lo que supongo que ya quedó, de todas formas te agradezco tu atención y estaré en contacto para despejar las muchas dudas y problemas que me surgan, y nuevamente felicidades por su chamba que me ha ayudado tanto. Saludos de un buen amigo que te aseguro que ya tienes en México.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie