winlogon.exe

[Kamikaze]

Bueno como la ultima vez que tuve un problema me ayudasteis tanto voy a ver si esta vez tengo la misma suerte. Queria que me dierais algun consejo para eliminar el troyano que hace que la aplicacion winlogon.exe me de error nada mas iniciar windows. Supongo que ya habreis tratado este tema asi que si me das el enlace del hilo te lo agradeceria ya que no lo encontre. Si no lo habeis tratado y quieres mas datos dimelo. gracias

[msc hotline sat]

Prueba el ELISTARA.EXE:







ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 4-07-2007





nota: normalmente el WINLOGON.EXE es una fichero de WINDOWS, pero claro, el nombre del fichero no implica su contenido, y puede haber cualqueir cosa dentro, lo cual veremos si es algo malo conocido y si no, envianos dicho fichero y lo analizaremos, a ver que hay ...





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





ms.

[Kamikaze]

Aqui te mando el archivo





Wed Jul 04 11:21:32 2007

EliStartPage v14.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\2020SEARCH2.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\KOOS.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\POOF --> Eliminado

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\DIDDUID.INI --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\svcp.csv --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\Winsub.xml --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminado Servicio, "kprof"

Eliminado Servicio, "poof"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminada Carpeta "\Program Files\SpySheriff"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 04 11:22:08 2007

EliStartPage v14.33 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\APPS\CLICKME\CLICKME.EXE --> Eliminado, StartPage-CPE

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Ontrack\EasyRecovery Professional\WORDREPAIR.DLL --> Eliminado, NavHelper(BHO)

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\DAVID\Facultad\2005\fer\71772111\doc\salirdelpaso\NOEXISTEARTICULO.HTML --> Eliminado, MalWare.Celular

C:\DRIVERS\MCDBF\MMCDBF.EXE --> Eliminado, Spy.Delf (BHO)

C:\PNP\AUDIO\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\drivers\IP6FW.SYS --> Eliminado, Spy-Agent.BV(rootkit)(Puede necesitar Restauración)

[msc hotline sat]

Pues tenias de todo ...



Tras reiniciar, dinos si presiste algun problema o ya podemos dar por solucionado el Tema, gracias



saludos



ms, 4-07-2007

[Kamikaze]

El problema del winlogon.exe persiste.

[msc hotline sat]

Has enviado el fichero que te pediamos ??? :


[quote]
nota: normalmente el WINLOGON.EXE es una fichero de WINDOWS, pero claro, el nombre del fichero no implica su contenido, y puede haber cualqueir cosa dentro, lo cual veremos si es algo malo conocido y si no, envianos dicho fichero y lo analizaremos, a ver que hay ...





Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
[/quote]

y ademas posteanos el contenido del log del HJT, a ver si vemos algo raro:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos





saludos



ms, 4-07-2007

[Kamikaze]

Bueno ahora la cosa se ha complicado,estaba pasando un antivirus me detecto un virus en ese archivo(no me quede con el nombre,pero no era un troyano) y el ordenador se ha reiniciado. Ahora al iniciar no entra en windows se reinica otra vez. he entrado en modo prueba de fallos y tb se reinicia. He quitado el reinicio automatico y me dice que hay un error critica en windows logon y que se debe cerrar el sistema. asi que no tengo acceso al ordenador. Ahora estoy desde el portatil.



Alguna solucion?,siento dar tantos problemas...

[msc hotline sat]

Pues arranca con el CD de instalacion y REPARA windows:


[quote]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate
[/quote]



y nos cuentas el resultado, gracias



saludos



ms, 4-07-2007

[Kamikaze]

si lo pense pero no me da opcion de reparar,solo reparar utilizando la consola de recuperacion y me sale el simbolo del sistema. si le doy a instalar y selecciono la particion solo me deja formatear(rapido o normal) nada mas. me olvido algo?

[msc hotline sat]

Pues ya no queda mas remedio que ponerlo de scalvo en otra maquina y arrancando con su disco duro, escanear este en busca de virus, y sobretodo enviarmos dicho fichero si quieres que te ayudemos...



saludos



ms, 5-07-2007