Problemas con logon.exe

HOLA!!

Es la primera vez que entro en este foro y a ver si me podéis ayudar.

Cada vez que se inicia el PC aparece un aviso diciendo que no se encuentra C:\logon.exe. Me han dicho que seguramente será un virus troyano, pero no se como eliminarlo. Tampoco soy capaz de configurar la protección permanente del Panda.

Otra cosa rara que pasa es que la velocidad de recepción de datos va lentisima (más lenta que si fuera un modem) y eso que tengo Adsl de 512. Sin embargo la velocidad de transmisión es la máxima incluso cuando yo no envio datos. En definitiva , que transmito más datos de los que recibo y no me explico a no ser que sea por el virus.

Tampoco puedo instalar el Sims 2. Me dice que tengo el Direct 9.b y necesito el 9.c. Pero no puedo instalar el 9.c desde el CD del juego ni desde internet.

Si sabes cuando te empezó el problema trata de restaurar Sistema a un a fecha anterior, si no da resultado:

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

HijackThis

Saludos

Caito

Ya ejecute el HijackThis 1.99.1 y el Log generado es:

Scan saved at 22:33:20, on 23/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe

C:\Program Files\Windows TaskAd\WinTaskAd.exe

C:\Program Files\DeskAd Service\DeskAdServ.exe

C:\temp\salm.exe

C:\WINDOWS\pmbmb.exe

C:\Program Files\DeskAd Service\DeskAdKeep.exe

C:\Program Files\Windows TaskAd\WinSched.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Archivos de programa\Symantec\LiveUpdate\AUpdate.exe

C:\Documents and Settings\pc\Mis documentos\antitroyanos\HJT\HJT\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe

O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [pmbmb] C:\WINDOWS\pmbmb.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{7929A87E-2013-4B01-9313-6DD182E83EBF}: NameServer = 195.235.113.3 195.235.96.90

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

Se reinicio el PC y ahora por lo menos no aparece el mensajito ese del Logon.exe.

•» Descarga el Disk Cleaner

•» Asegura que tu sistema muestre los archivos y carpetas ocultos

•» Reinicia en modo a prueba de fallos

•» Ejecuta el HijackThis

•» Selecciona las siguientes entradas y dale en Fix Checked:

O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe

O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

•» Reinicia normalmente

•» Utiliza el Disk Cleaner para eliminar todos los archivos temporales de tu sistema

•» Toma otro log del HijackThis y dejalo aquí

Saludos Cordiales

Esta también es maliciosa:

O4 - HKLM\..\Run: [pmbmb] C:\WINDOWS\pmbmb.exe

Ya hice todo lo que dijisteis, pero cuando me conecte a internet para enviar el Log, empezaron a caducarme todas las páginas. Entonces ejecute el Spy Sweeper y detectó 27 items y más de 800 traces. Como no sabía si eliminarlos o no acabaron en cuarentena. Luego volví a pasar el HijackThis y me dió el siguiente Log:

Logfile of HijackThis v1.99.1

Scan saved at 23:54:56, on 24/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\wvsvc.exe

C:\WINDOWS\System32\spoolvse.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\crcss.exe

C:\WINDOWS\System32\mcafee32.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\System32\ap9h4qmo.exe

C:\WINDOWS\System32\Svhost.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Archivos de programa\Terra\Kit Terra ADSL\dslmon.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\pc\Mis documentos\antitroyanos\HJT\HJT\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [Starting up] wvsvc.exe

O4 - HKLM\..\Run: [start extracting] spoolvse.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PCprot] crcss.exe

O4 - HKLM\..\Run: [McAfee Windows Protection] mcafee32.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [DL2aKWe] C:\WINDOWS\ylalgpw.exe

O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe

O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe

O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe

O4 - HKLM\..\RunServices: [start extracting] spoolvse.exe

O4 - HKLM\..\RunServices: [McAfee Windows Protection] mcafee32.exe

O4 - HKLM\..\RunServices: [PCprot] crcss.exe

O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [start extracting] spoolvse.exe

O4 - HKCU\..\Run: [Starting up] wvsvc.exe

O4 - HKCU\..\Run: [McAfee Windows Protection] mcafee32.exe

O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe

O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - HKCU\..\RunServices: [start extracting] spoolvse.exe

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

¿Esto que significa? ¿también están infectados el HijackThis y el Spy Sweeper?

A ver si me podéis responder pronto porque desde mi PC no puedo (ni creo que deba) conectarme a Internet.

GRACIAS.

Dios!!! pues a donde te fuiste a meter, no tenias muchos problemas y ahora esta lleno de ellos.

•» Descarga el Disk Cleaner

•» Desactiva la opción de Restaurar Sistema, una vez limpio la puedes volver a activar.

•» Asegura que tu sistema muestre los archivos y carpetas ocultos

•» Reinicia en modo a prueba de fallos

•» Ejecuta el HijackThis

•» Selecciona las siguientes entradas y dale en Fix Checked:

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [Starting up] wvsvc.exe

O4 - HKLM\..\Run: [start extracting] spoolvse.exe

O4 - HKLM\..\Run: [PCprot] crcss.exe

O4 - HKLM\..\Run: [McAfee Windows Protection] mcafee32.exe

O4 - HKLM\..\Run: [DL2aKWe] C:\WINDOWS\ylalgpw.exe

O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe

O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe

O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe

O4 - HKLM\..\RunServices: [start extracting] spoolvse.exe

O4 - HKLM\..\RunServices: [McAfee Windows Protection] mcafee32.exe

O4 - HKLM\..\RunServices: [PCprot] crcss.exe

O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe

O4 - HKCU\..\Run: [start extracting] spoolvse.exe

O4 - HKCU\..\Run: [Starting up] wvsvc.exe

O4 - HKCU\..\Run: [McAfee Windows Protection] mcafee32.exe

O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe

O4 - HKCU\..\RunServices: [start extracting] spoolvse.exe

•» Busca y elimina lo siguiente

(Asegurate de que los nombres sean iguales ya que en la carpeta que están estos malwares también se encuentrar los originales que no debes tocar por nada):

C:\WINDOWS\System32\wvsvc.exe

C:\WINDOWS\System32\spoolvse.exe ->> Original: spoolsv.exe

C:\WINDOWS\System32\crcss.exe ->> Original: csrss.exe

C:\WINDOWS\System32\mcafee32.exe

C:\WINDOWS\System32\ap9h4qmo.exe

C:\WINDOWS\System32\Svhost.exe ->> Original: svchost.exe

•» Limpia la papelera

•» Reinicia normalmente

•» Utiliza el Disk Cleaner para eliminar todos los archivos temporales de tu sistema

•» Toma otro log del HijackThis y dejalo aquí

Saludos bye bye bye bye bye

No pude hacer lo que me dijiste porque hasta ahora el PC no me dejaba conectarme a Internet y ver tu respuesta.

Así que hice lo siguiente: elimine los items infectados y detectados por el Spy Sweeper y reinicie a modo de prueba de fallos. Después elimine del editor del registro los archivos detectados por el hijackThis y utilice el Disk Cleaner. Una vez hecho esto me pude conectar a Internet y acabe de instalar el Windows XP Service Pack 2.

Acabo de ejecutar el hijackThis y el Log es:

Logfile of HijackThis v1.99.1

Scan saved at 0:30:35, on 26/02/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Panda Software\Panda Antivirus

Platinum\pavsrv51.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus

Platinum\AVENGINE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\msiexec.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

C:\Documents and Settings\pc\Mis

documentos\antitroyanos\HJT\HJT\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.terra.es/

O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy

Sweeper\SpySweeper.exe" /0

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk =

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de

programa\Messenger\msmsgs.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software -

C:\Archivos de programa\Panda Software\Panda Antivirus

Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software -

C:\Archivos de programa\Panda Software\Panda Antivirus

Platinum\pavsrv51.exe

El Spy Sweeper me dice que debo desinstalar el hijackThis y no se que hacer.

GRACIAS.

Hola otra vez!!

He eliminado los siguientes archivos:

C:\WINDOWS\System32\wvsvc.exe

C:\WINDOWS\System32\spoolvse.exe

C:\WINDOWS\System32\crcss.exe

C:\WINDOWS\System32\Svhost.exe

Los otros no los encontré aunque puede ser que los borrase el Spy Sweeper.

Volvi a pasar el hijackThis y el Log es:

Scan saved at 15:53:27, on 26/02/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\pc\Mis documentos\antitroyanos\HJT\HJT\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

¿Qué significa? ¿está infectados todo lo que aparece en el Log o solo lo que está en azul?

No veo nada malo

Saludos

Caito

Yo creo que estas limpio, pero tengo dudas con estas entradas.

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

porque e leido y me dice que:

Descripción:

msmsgs.exe es el proceso principal referente a la herramienta de la charla del Internet del mensajero de MSN instalada por el defecto en la mayoría de las computadoras de Windows. Una barra de la bandeja también está instalada junto a este proceso para el acceso fácil a sus características que incluyan charla del Internet, compartir del archivo y la comunicación de audio/video. Esto es un proceso no esencial. Inhabilitar o permitir esto está abajo a la preferencia del usuario. Nota: msmsgs.exe es un proceso que se coloca como el gusano de W32.Alcarys.B@mm. Este virus se distribuye vía el Internet con E-mail y viene en la forma de un mensaje del E-mail, con la esperanza de que usted lo abra es accesorio hostil. El gusano lo tiene debe poseer el motor del smtp que los medios él recolectan los E-maices de su computadora local y los redistribuyen sí mismo. En los casos peores este gusano puede permitir que los atacantes tengan acceso a su computadora, robando contraseñas y los datos personales. Es un riesgo de la seguridad registrada y debe ser quitado inmediatamente. Vea por favor los detalles adicionales con respecto a este proceso

Haz clic para expandir...

A la final, estas entradas son buenas o malas?

Saludos Cordiales

Para mí sigue limpio

Saludos

Caito

No sé si estará bien el Panda porque no se puede activar la protección firewall desde el icono que aparece en la barra. Sin embargo si voy a Inicio-todos los programas-Panda antivirus platinum aparece como activa.

Aver si me aclarais también que puede pasar con el Messenger.

GRACIAS

Otra duda ¿puedo tener instalados a la vez el hijackThis y el Spy Sweeper?

GRACIAS bye bye bye bye

yo creo que si, porque el hijackthis no se instala, es solo una aplicacion.

Saludos Cordiales