problemas con spooler subsystem app

zepti · Mensaje por **zepti** » 20 Jul 2006, 09:55

Os paso el log del hijack this para ver que me podeis decir.

gracias por anticipado.

Logfile of HijackThis v1.99.1

Scan saved at 9:55:15, on 20/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\mnmsrvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\zshp1020.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe

C:\WINDOWS\system32\zshp1020.exe

C:\WINDOWS\system32\zshp1020.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [OrderReminder] C:\Archivos de programa\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = valientes.es

O17 - HKLM\Software\..\Telephony: DomainName = valientes.es

O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3CA459-64DF-4CED-8C20-E484F57C4808}: NameServer = 80.58.61.254,80.58.61.250

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = valientes.es

O17 - HKLM\System\CS1\Services\Tcpip\..\{6D3CA459-64DF-4CED-8C20-E484F57C4808}: NameServer = 80.58.61.254,80.58.61.250

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

Mensaje por **msc hotline sat** » 20 Jul 2006, 10:43

Tienes tres veces lanzada esta aplicacion:

C:\WINDOWS\system32\zshp1020.exe

desconocemos lo que es, envianos muestra, pero mientras renombra dicho fichero o muevelo a cuarentena y reinicia, a ver si provisionalmente se soluciona la anomalia.

Luego tras examinar el fichero, o implementaremos su control y eliminacion en nuestras utilidades o le diremos que lo restaure u lo deje como estaba antes, por esto no lo borramos de entrada...

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF zepti" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

saludos

ms, 20-7-2006

Mensaje por **msc hotline sat** » 20 Jul 2006, 10:59

Por otro lado, tienes tres claves de confiogiracion de un servicodr de DMS llamado "valientes.es"

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = valientes.es

Sabes algo al respecto ???

se desconoce funcionalidad de este servidor de dominios...

saludos

ms, 20-7-2006

Mensaje por **msc hotline sat** » 20 Jul 2006, 13:27

Me informan haberse recibido un HJT de Vd eb la cuenta de zonavirus@satinfo.es qe es exclusivamente para envio e muestras no de logs...

Posteelo aqui y envienos la muestra su desee que la analicemos, pero lo raro no es la utilidad en si, sinop tenerla tres veces cargada...

Y de lo de valientes.es que nos dice ???

Sus comentarios hagalos, como respuesta de este Tema, gracias

saludos

ms, 20-7-2006

zepti · Mensaje por **zepti** » 20 Jul 2006, 18:07

he renombrado el archivo zshp1020.exe y sigo con el mismo problema. os envio el nuevo log para ver si se puede hacer algo, pq no me deja imprimir, ni abrir, ni agregar impresoras.

En cuanto al dominio valientes.es no se pq esta 3 veces el registro, solamente se que el nombre del dominio de la red es valientes.es

si teneis alguna idea, os agradezco la ayuda, y perdonad mi torpeza pero soy nuevo en estas lides.

Saludos.

Logfile of HijackThis v1.99.1

Scan saved at 13:14:12, on 20/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\mnmsrvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [OrderReminder] C:\Archivos de programa\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_02\bin\jusched.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = valientes.es

O17 - HKLM\Software\..\Telephony: DomainName = valientes.es

O17 - HKLM\System\CCS\Services\Tcpip\..\{6D3CA459-64DF-4CED-8C20-E484F57C4808}: NameServer = 80.58.61.254,80.58.61.250

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = valientes.es

O17 - HKLM\System\CS1\Services\Tcpip\..\{6D3CA459-64DF-4CED-8C20-E484F57C4808}: NameServer = 80.58.61.254,80.58.61.250

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

Mensaje por **msc hotline sat** » 20 Jul 2006, 18:27

Pues vuelva a dejar el zshp1020.exe como estaba, por si es algo de HP, lo unico es controlar esta carga de tres veces en procesos residentes, sin que ello tenga porque ser nada virico

Pruebe de desinstalar las impresoras e instalarlas de nuevo...

Otra cosa posible seria REPARAR (no reinstalar) el S.O. por si se hubiera dañado alguna DLL...

Por parte del examen del HJT no se aprecian claves viricas a eliminar.

saludos

ms, 20.7.2006