Auxilio problema con winlogon.exe!!!!

[venustar]

Muy Buenos Dias!!!





El problema que presenta el PC es que cada vez que inicia aparece un mensaje de que el archivo winlogon.exe esta dañado y que debo ejecutar un programa... :(



Estuve leyendo y parece que es un virus :x ...pero no se como eliminarlo..





Ya analize el PC con el Kaspersky online y no detecta infecciones :( ...





Aqui pego el log y kisiera que por favor me ayudaran lo mas pronto posible!!!! :o

















Logfile of HijackThis v1.99.1

Scan saved at 12:08:10 p.m., on 31/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\igfxtray.exe

D:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\Archivos de programa\Sunbelt Software\CounterSpy\SBCSSvc.exe

D:\WINDOWS\system32\hkcmd.exe

D:\WINDOWS\system32\igfxpers.exe

D:\WINDOWS\system32\pctspk.exe

D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

D:\WINDOWS\system32\ctfmon.exe

C:\program files\WinTools\RAM Saver Pro\ramsaverpro.exe

D:\Archivos de programa\RocketDock\RocketDock.exe

D:\Archivos de programa\UberIcon\UberIcon Manager.exe

D:\WINDOWS\System32\PAStiSvc.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\wscntfy.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Archivos de programa\LoG\HijackThis.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Barra de herramientas de Softonic - {4E7BD74F-2B8D-469E-D1F7-F163A093B52E} - D:\ARCHIV~1\Softonic\Softonic.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: Barra de herramientas de Softonic - {4E7BD74F-2B8D-469E-D1F7-F163A093B52E} - D:\ARCHIV~1\Softonic\Softonic.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - D:\Archivos de programa\Styler\TB\StylerTB.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RAMSaverPro] C:\program files\WinTools\RAM Saver Pro\ramsaverpro.exe

O4 - HKCU\..\Run: [RocketDock] "D:\Archivos de programa\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [UberIcon] "D:\Archivos de programa\UberIcon\UberIcon Manager.exe"

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Download by Orbit - res://D:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://D:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZC

O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://D:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - (no file)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5019/mcfscan.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C26595F0-52EB-40F2-9EBC-54AD60F66807}: NameServer = 200.75.51.132 200.75.51.133

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - D:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - D:\Archivos de programa\Sunbelt Software\CounterSpy\SBCSSvc.exe

O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe







Muchas Gracias por su efectiva ayuda!!!!

[msc hotline sat]

No sé donde ha leido que el WINLOGON.EXE es un troyano, pero se lo aclaro:



Hay ficheros que son de windows pero que algunos malwares emplean su mismo nombre para despistar y confuncir, pero claro, utilizan otra carpeta que la de los "buenos"



Así el WINLOGON.EXE ejecutado desde la carpeta de sistema, C:\windows\system32 en XP, es normalmente del sistema y BUENO.



En cambio si está ubicado en otra carpeta como la de %windir%, o sea C:\windows\ en XP, este es un malware, como el que usa el Netsky con este mismo nombre, por ejemplo.



Así que sepamos de donde lo quiere ejecutar, y si es desde la carpeta de sistema, es elgitimo y puede estar dañado, coruupto o borrado, en cuyo caso procede sobreescribirlo con otro de igual sistema operativo, o REPARAR sistema, de lo cual hablariamos si hiciera falta



Diganos de donde es lanzado y sabremos si es correcto o no



saludos



ms, 31-05-2007

[venustar]

Pues fijate que reinicie el PC y ps antes de iniciar el sitema analizo los discos y soluciono problemas y cuando inicio ya no aparecio el aviso de que estaba dañado...No se que habra pasado...pero pues sinceramente no se de donde es lanzado!!! por eso pegue el log de hijackthis para que ustedes miraran si habia algun virus o que debia hacer...



ESpero tu respuesta...porque de pronto reinicio el Pc y de pronto vuelve a a aparecer...



Muchas gracias por tu pronta respuesta!!! :)

[msc hotline sat]

Pues no ve su carga desde ninguna parte, pero como quee sta clave está a medias... eliminala por si acaso:



O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 31-05-2007