1. Esta web utiliza cookies propias y de terceros, puedes ver nuestra política de privacidad y cookies. Si continúas navegando, consideramos que aceptas su uso.

procesos normales o virus?

Tema en 'Windows XP' comenzado por josemari_72, 15/9/04.

Estado del tema:
No está abierto para más respuestas.
  1. josemari_72

    josemari_72 Nuevo Miembro Miembro

    Hola, lo primero saludaros a todos que soy nuevo por estos foros.

    Y ahora al grano, me gustaría saber si algún entendido me puede decir si ve algún proceso raro en los logs que he conseguido con el programilla ese que sale por otro post de este tipo.

    Solo comentar que tengo Windows XP con xp1 practicamente recien formateado pero que me entraron un par de virus por entrar al irc y a internet antes de instalar el norton y no se si aun quedara algún rastro.

    Tambien comentar que antes de formatear tenia la sp2 instalada (AHORA NO LA TENGO INSTALADA) y veo un proceso llamado xpsp2.exe que me gustaría saber que puede ser ya que instale esta sp2 por probarla ya que tenia pensado formatear y ahora me extraña mucho ver ese proceso a no ser que sea algúna utilidad que me ha instalado el Windows update para avisarme cuando este disponible para descarga la sp2 desde los sitios web de microsoft ya que me sale un aviso del firewall de norton diciendo que xpsp2.exe intenta acceder a internet.

    Un saludo y gracias por anticipado

    P.D: lo que sale de videosd.exe creo que era uno de los virus que me encontro pero que queda algo de el como debería quitarlo del todo?

    Logfile of HijackThis v1.98.2

    Scan saved at 14:59:06, on 15/09/2004

    Platform: Windows XP SP1 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

    C:\WINDOWS\System32\CTSvcCDA.exe

    C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

    C:\ARCHIV~1\Iomega\System32\AppServices.exe

    C:\WINDOWS\system32\drivers\KodakCCS.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

    C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

    C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

    C:\Archivos de programa\Winamp\winampa.exe

    C:\Archivos de programa\QuickTime\qttask.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    C:\WINDOWS\System32\xpsp2.exe

    C:\Archivos de programa\BestBuy\Manager.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\Archivos de programa\Logitech\Profiler\lwemon.exe

    C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    C:\Seguridad\P2PHazard.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Seguridad2\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll

    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll

    O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

    O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

    O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe"

    O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe

    O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

    O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513

    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    O4 - HKLM\..\Run: [xp service pack 2] xpsp2.exe

    O4 - HKLM\..\Run: [PrintMngr] C:\socks.exe

    O4 - HKLM\..\Run: [BestBuy] C:\Archivos de programa\BestBuy\Manager.exe

    O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe

    O4 - HKLM\..\RunServices: [xp service pack 2] xpsp2.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

    O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe

    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

    O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwemon.exe" /noui

    O4 - Startup: Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

    O4 - Startup: PowerReg Scheduler V3.exe

    O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html

    O8 - Extra context menu item: Abrir con Navegador GetRight - C:\ARCHIV~1\GetRight\GRbrowse.htm

    O8 - Extra context menu item: Descargar con GetRight - C:\ARCHIV~1\GetRight\GRdownload.htm

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

    O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html

    O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

    O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1116ff6a4d912eea6d05/netzip/RdxIE601_es.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593

    O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{DF7503A4-E7E4-404D-9A20-2C1C50750FC3}: NameServer = 195.235.113.3 195.235.96.90

    y este es el otro log

    StartupList report, 15/09/2004, 15:00:05

    StartupList version: 1.52.2

    Started from : C:\Seguridad2\HijackThis.EXE

    Detected: Windows XP SP1 (WinNT 5.01.2600)

    Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    * Using default options

    ==================================================

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

    C:\WINDOWS\System32\CTSvcCDA.exe

    C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

    C:\ARCHIV~1\Iomega\System32\AppServices.exe

    C:\WINDOWS\system32\drivers\KodakCCS.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

    C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

    C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

    C:\Archivos de programa\Winamp\winampa.exe

    C:\Archivos de programa\QuickTime\qttask.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    C:\WINDOWS\System32\xpsp2.exe

    C:\Archivos de programa\BestBuy\Manager.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\Archivos de programa\Logitech\Profiler\lwemon.exe

    C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    C:\Seguridad\P2PHazard.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Seguridad2\HijackThis.exe

    C:\WINDOWS\system32\NOTEPAD.EXE

    --------------------------------------------------

    Listing of startup folders:

    Shell folders Startup:

    [C:\Documents and Settings\Jose Mari\Menú Inicio\Programas\Inicio]

    Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

    PowerReg Scheduler V3.exe

    Shell folders Common Startup:

    [C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

    Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

    InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    --------------------------------------------------

    Checking Windows NT UserInit:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    UserInit = C:\WINDOWS\system32\userinit.exe,

    --------------------------------------------------

    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    ATIPTA = C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    IMONTRAY = C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    CTRegRun = C:\WINDOWS\CTRegRun.EXE

    --------------------------------------------------

    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

    (Default) =

    --------------------------------------------------

    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

    Win32 Configuration = videosd32.exe

    xp service pack 2 = xpsp2.exe

    --------------------------------------------------

    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

    Win32 Configuration = videosd32.exe

    Symantec NetDriver Monitor = C:\ARCHIV~1\SYMNET~1\SNDMon.exe

    --------------------------------------------------

    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

    Shell=*INI section not found*

    SCRNSAVE.EXE=*INI section not found*

    drivers=*INI section not found*

    Shell & screensaver key from Registry:

    Shell=Explorer.exe

    SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

    drivers=*Registry value not found*

    Policies Shell key:

    HKCU\..\Policies: Shell=*Registry key not found*

    HKLM\..\Policies: Shell=*Registry value not found*

    --------------------------------------------------

    Enumerating Browser Helper Objects:

    (no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

    Web assistant - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}

    (no name) - c:\windows\googletoolbar.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

    NAV Helper - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

    --------------------------------------------------

    Enumerating Task Scheduler jobs:

    Norton SystemWorks One Button Checkup.job

    Symantec Drmc.job

    Symantec NetDetect.job

    --------------------------------------------------

    Enumerating Download Program Files:

    [RdxIE Class]

    InProcServer32 = C:\WINDOWS\Downloaded Program Files\RdxIE.dll

    CODEBASE = http://software-dl.real.com/1116ff6a4d912eea6d05/netzip/RdxIE601_es.cab

    [WUWebControl Class]

    InProcServer32 = C:\WINDOWS\System32\wuweb.dll

    CODEBASE = http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593

    [{8EDAD21C-3584-4E66-A8AB-EB0E5584767D}]

    CODEBASE = http://toolbar.google.com/data/GoogleActivate.cab

    [Shockwave Flash Object]

    InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

    CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    --------------------------------------------------

    Enumerating ShellServiceObjectDelayLoad items:

    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

    CDBurn: C:\WINDOWS\system32\SHELL32.dll

    WebCheck: C:\WINDOWS\System32\webcheck.dll

    SysTray: C:\WINDOWS\System32\stobject.dll

    --------------------------------------------------

    End of report, 7.832 bytes

    Report generated in 0,140 seconds

    Command line options:

    /verbose - to add additional info on each section

    /complete - to include empty sections and unsuspicious data

    /full - to include several rarely-important sections

    /force9x - to include Win9x-only startups even if running on WinNT

    /forcent - to include WinNT-only startups even if running on Win9x

    /forceall - to include all Win9x and WinNT startups, regardless of platform

    /history - to list versión history only
     
  2. alnitak

    alnitak Nuevo Miembro Miembro

    Hola. Hay entradas de este: WIN32/IRCBOT.NJ , pero no parece estar activo, mas información: http://www.enciclopediavirus.com/virus/vervirus.php?id=1229

    Y el xpsp2.exe tiene que ser otro gusano.

    Desactiva la opción de restaurar el sistema:

    Como activar/desactivar restaurar el sistema

    Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

    De existir termina ese proceso:

    C:\WINDOWS\System32\xpsp2.exe

    Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que ese proceso ya no esté.

    Abre el editor de registro:

    Inicio>>ejecutar>>escribes regedit y aceptas

    Respaldalo salvandolo como archivo:

    Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

    Ahora navega el registro hasta encontrar y seleccionar la rama:

    HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

    En el panel derecho elimina estas entradas:

    [Win32 Configuration] videosd32.exe

    [xp service pack 2] xpsp2.exe

    Navega el registro hasta encontrar y seleccionar la rama:

    HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

    En el panel derecho elimina estas entradas:

    [Win32 Configuration] videosd32.exe

    [xp service pack 2] xpsp2.exe

    Cada usuario dispone de un área en el registro de la forma HKEY_LOCAL_USER\. Por cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.:

    Navega el registro hasta encontrar y seleccionar la rama:

    HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\

    En el panel derecho elimina esta entrada:

    [Win32 Configuration] videosd32.exe

    Ya puedes cerrar el editor de registro.

    Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.

     
  3. josemari_72

    josemari_72 Nuevo Miembro Miembro

    Gracias por la respuesta y por la rapidez.

    Ahora estoy en el curro pero luego en casa seguire tus instrucciones, solo que no estoy muy seguro de que xpsp2.exe sea un gusano ya que antes de venirme al trabajo he quitado la opción de restaurar sistema he iniciado en safe mode y he dejado el antivirus pasando y arriba en la pantalla, ahora mismo no recuerdo exactamente lo que ponia, pero es algo sobre mi versión de Windows y hacia referencia a la sp2 y la sp1.

    Puede ser que al haber tenido puesta la sp2 a pesar de haber formateado y ahora no la tenga quede constancia en algún lado? A mi me resulta extraño después de formatear pero ya no se que pensar.

    Luego en casa si quieres actualizo este post y te pongo lo que pone concretamente y los logs después de seguir tus instrucciones.

    Un saludo y gracias de nuevo.
     
  4. josemari_72

    josemari_72 Nuevo Miembro Miembro

    Bueno en vez de editar vuelvo a postear para que salga el aviso de que hay un nuevo post y no pase desapercibido, pido disculpas por postear dos veces seguidas.

    Aqui están los nuevos logs creo que estará todo solucionado porque ya no aparece el xpsp2.exe en los procesos

    Vuelvo a daros las gracias y a felicitaros por esta estupenda web.

    -----------------------------------------------

    Logfile of HijackThis v1.98.2

    Scan saved at 19:53:26, on 15/09/2004

    Platform: Windows XP SP1 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

    C:\WINDOWS\System32\CTSvcCDA.exe

    C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

    C:\ARCHIV~1\Iomega\System32\AppServices.exe

    C:\WINDOWS\system32\drivers\KodakCCS.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

    C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

    C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

    C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

    C:\Archivos de programa\Winamp\winampa.exe

    C:\Archivos de programa\QuickTime\qttask.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    C:\Archivos de programa\BestBuy\Manager.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\Archivos de programa\Logitech\Profiler\lwemon.exe

    C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    C:\Archivos de programa\GetRight\getright.exe

    C:\Seguridad\P2PHazard.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\Seguridad2\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar.dll

    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar.dll

    O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

    O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

    O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe"

    O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

    O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513

    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    O4 - HKLM\..\Run: [PrintMngr] C:\socks.exe

    O4 - HKLM\..\Run: [BestBuy] C:\Archivos de programa\BestBuy\Manager.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

    O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Archivos de programa\Logitech\Profiler\lwemon.exe" /noui

    O4 - Startup: Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

    O4 - Startup: PowerReg Scheduler V3.exe

    O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar.dll/cmsearch.html

    O8 - Extra context menu item: Abrir con Navegador GetRight - C:\ARCHIV~1\GetRight\GRbrowse.htm

    O8 - Extra context menu item: Descargar con GetRight - C:\ARCHIV~1\GetRight\GRdownload.htm

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

    O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar.dll/cmcache.html

    O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar.dll/cmsimilar.html

    O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar.dll/cmbacklinks.html

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1116ff6a4d912eea6d05/netzip/RdxIE601_es.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593

    O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{DF7503A4-E7E4-404D-9A20-2C1C50750FC3}: NameServer = 195.235.113.3 195.235.96.90

    ----------------------------------------------

    StartupList report, 15/09/2004, 19:53:37

    StartupList version: 1.52.2

    Started from : C:\Seguridad2\HijackThis.EXE

    Detected: Windows XP SP1 (WinNT 5.01.2600)

    Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    * Using default options

    ==================================================

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

    C:\WINDOWS\System32\CTSvcCDA.exe

    C:\ARCHIV~1\NORTON~2\NORTON~3\GHOSTS~2.EXE

    C:\ARCHIV~1\Iomega\System32\AppServices.exe

    C:\WINDOWS\system32\drivers\KodakCCS.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

    C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\NPROTECT.EXE

    C:\Archivos de programa\Iomega HotBurn Pro\Autolaunch.exe

    C:\Archivos de programa\Microsoft IntelliPoint\point32.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

    C:\Archivos de programa\OO Software\CleverCache\OOCCSVC.exe

    C:\Archivos de programa\Winamp\winampa.exe

    C:\Archivos de programa\QuickTime\qttask.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

    C:\Archivos de programa\BestBuy\Manager.exe

    C:\WINDOWS\System32\ctfmon.exe

    C:\Archivos de programa\Logitech\Profiler\lwemon.exe

    C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    C:\Archivos de programa\GetRight\getright.exe

    C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    C:\Archivos de programa\GetRight\getright.exe

    C:\Seguridad\P2PHazard.exe

    C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

    C:\ARCHIV~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

    C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\Seguridad2\HijackThis.exe

    --------------------------------------------------

    Listing of startup folders:

    Shell folders Startup:

    [C:\Documents and Settings\Jose Mari\Menú Inicio\Programas\Inicio]

    Acceso directo a P2PHazard.lnk = C:\Seguridad\P2PHazard.exe

    PowerReg Scheduler V3.exe

    Shell folders Common Startup:

    [C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

    Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

    GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

    InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

    Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

    Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

    --------------------------------------------------

    Checking Windows NT UserInit:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

    UserInit = C:\WINDOWS\system32\userinit.exe,

    --------------------------------------------------

    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    ATIPTA = C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

    IMONTRAY = C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

    CTRegRun = C:\WINDOWS\CTRegRun.EXE

    --------------------------------------------------

    Autorun entries from Registry:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

    (Default) =

    --------------------------------------------------

    Autorun entries from Registry:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

    Symantec NetDriver Monitor = C:\ARCHIV~1\SYMNET~1\SNDMon.exe

    --------------------------------------------------

    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

    Shell=*INI section not found*

    SCRNSAVE.EXE=*INI section not found*

    drivers=*INI section not found*

    Shell & screensaver key from Registry:

    Shell=Explorer.exe

    SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

    drivers=*Registry value not found*

    Policies Shell key:

    HKCU\..\Policies: Shell=*Registry key not found*

    HKLM\..\Policies: Shell=*Registry value not found*

    --------------------------------------------------

    Enumerating Browser Helper Objects:

    (no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

    Web assistant - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}

    (no name) - c:\windows\googletoolbar.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

    NAV Helper - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

    --------------------------------------------------

    Enumerating Task Scheduler jobs:

    Norton SystemWorks One Button Checkup.job

    Symantec Drmc.job

    Symantec NetDetect.job

    --------------------------------------------------

    Enumerating Download Program Files:

    [RdxIE Class]

    InProcServer32 = C:\WINDOWS\Downloaded Program Files\RdxIE.dll

    CODEBASE = http://software-dl.real.com/1116ff6a4d912eea6d05/netzip/RdxIE601_es.cab

    [WUWebControl Class]

    InProcServer32 = C:\WINDOWS\System32\wuweb.dll

    CODEBASE = http://v5.windowsupdate.microsoft.com/v5co...b?1094858168593

    [{8EDAD21C-3584-4E66-A8AB-EB0E5584767D}]

    CODEBASE = http://toolbar.google.com/data/GoogleActivate.cab

    [Shockwave Flash Object]

    InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

    CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    --------------------------------------------------

    Enumerating ShellServiceObjectDelayLoad items:

    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

    CDBurn: C:\WINDOWS\system32\SHELL32.dll

    WebCheck: C:\WINDOWS\System32\webcheck.dll

    SysTray: C:\WINDOWS\System32\stobject.dll

    --------------------------------------------------

    End of report, 7.628 bytes

    Report generated in 0,125 seconds

    Command line options:

    /verbose - to add additional info on each section

    /complete - to include empty sections and unsuspicious data

    /full - to include several rarely-important sections

    /force9x - to include Win9x-only startups even if running on WinNT

    /forcent - to include WinNT-only startups even if running on Win9x

    /forceall - to include all Win9x and WinNT startups, regardless of platform

    /history - to list versión history only
     
Estado del tema:
No está abierto para más respuestas.

Comparte esta página