Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: os en 11 de Julio de 2007, 10:20:25 pm

Título: winlogonexe - error de aplicación
Publicado por: os en 11 de Julio de 2007, 10:20:25 pm
Al encender el ordenador me aparece el siguiente mensaje:

winlogon.exe - error de aplicacion

La instruccion en "ox012e17fb" hace referencia a la memoria en "0x012e1ff0". la memoria no se puede "written".

Haga clic en Aceptar para finalizar este programa
Haga clic en CANCELAR para depurar este programa


si pinchas en aceptar, cancelar o en la X de la ventanita el ordenador se reinicia continuamente, pero si lo pinchas en el cuerpo y lo meneas de sitio, la máquina funciona perfectamnete, tengo el Nod 32 y el Adware y no dettectan nada , el Kaspersky on line tampoco, pero me huele muuu mal, aquí os dejo un log del hijackthis, haber si encontrais algo


Logfile of HijackThis v1.99.1
Scan saved at 0:07:48, on 12/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\cliente\Mis documentos\Mis archivos recibidos\ewido_micro.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\cliente\CONFIG~1\Temp\Rar$EX00.859\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Archivos de programa\ASUS\AASP\1.00.24\AsRunHelp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Phase One Media Reader] C:\ARCHIV~1\PHASEO~1\CAPTUR~1\DCIMImp.exe /noscan /CheckAutoStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AWMON] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Descargar link con &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Descargar links con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Descargar todos los videos con BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5B459F3-6DCC-4C82-AC35-263EB97E02F1}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: zoneclim32 - C:\WINDOWS\SYSTEM32\zoneclim32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Administrador de discos lógicos (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Estación de trabajo (lanmanworkstation) - Unknown owner - C:\WINDOWS\system32\svchost.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe






un saludo y gracias por anticipado
Título: Re: winlogonexe - error de aplicación
Publicado por: Liamngls en 12 de Julio de 2007, 12:50:52 pm
No parece que tengas nada raro (de todas formas espera confirmación).

Lo que sí deberías es ejecutar el programa guardándolo en una carpeta y no desde una temporal ya que si eliminas algo perderías la opción de restaurar si la cosa no fuese bien.

Citar
C:\DOCUME~1\cliente\CONFIG~1\Temp\Rar$EX00.859\HijackThis.exe


:)
Título: Re: winlogonexe - error de aplicación
Publicado por: 171278 en 12 de Julio de 2007, 02:17:35 pm
Si, algo tiene, esta sobra:

O20 - Winlogon Notify: zoneclim32 - C:\WINDOWS\SYSTEM32\zoneclim32.dll

Desactivar Tea timer :

Abre el Spybot
Click Modo,despues Modo Avanzado,click Yes(si)
Click Herramientas (tools)
Click en Inicio de sistema (system startup)
Deja destildado Tea Timer
Click en Aceptar los cambios (allow change)
Reinicia


Actualiza tu sistema, Aqui (http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=es)
Pasale el AVG-AntiSpware (http://www.daboweb.com/foros/index.php/topic,26738.0.html). (Actualizalo y guarda el report despues de darle a eliminar infecciones)
Y esta aplicacion tambien, esta al final de la pagina (No necesita instalacion, dale si a todo)
ElistarA (http://www.zonavirus.com/datos/descargas/78/EliStarA.asp)Cuando empiece el Scaneo, DESTILDAS la opcion de eliminar, a la izquierda de la ventana del programa, No te saltes este paso.

(http://img143.imageshack.us/img143/9978/913016663dt.jpg)

Que no elimine nada

Pega un nuevo Log del Hijackthis, mas los Reports de Avg-Antispyware y ElistarA.

Un Saludo
Título: Re: winlogonexe - error de aplicación
Publicado por: os en 12 de Julio de 2007, 03:10:24 pm
Demasiado tarde, excepto el Firefox y el explores, no me deja usar ningun ejecutable, aparecen como archivos desconocidos, es necesario elegir una aplicacion de la lista, etc., pero ni así me deja usarlos, he pasado todos los online del mundo mundial, pero no encuentran nada, eso sí. ahora al arrancar aparece una ventana nueva con dos celda pequeñas al lado izquierdo , solo con la opcion aceptar, si no aceptas no arranca.
Título: Re: winlogonexe - error de aplicación
Publicado por: Mr_X en 12 de Julio de 2007, 04:31:27 pm
¿Iniciando en Modo seguro hace lo mismo?
Título: Re: winlogonexe - error de aplicación
Publicado por: os en 12 de Julio de 2007, 04:57:28 pm
¿Iniciando en Modo seguro hace lo mismo?

No inicia en modo seguro directamente, o inicia normal o no inicia, ni siquiera funciona el Apagar, hay que apagar directamente del boton del ordenador.
Título: Re: winlogonexe - error de aplicación
Publicado por: Danae en 12 de Julio de 2007, 06:14:57 pm
Y, restaurar sistema a un día, digamos de hace algunas semanas? lo digo, porqué aunque luego quites la entrada que que te sobra, limpies, e incluso formatees, al menos te dará tiempo a guardar archivos.

Saludos
Título: Re: winlogonexe - error de aplicación
Publicado por: 171278 en 12 de Julio de 2007, 06:37:07 pm
Ejecuta estas dos aplicaciones ELIRESTR 1.7 (http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp) y ELIBAGLA 10.31 (http://www.zonavirus.com/datos/descargas/95/ELIBAGLA.asp) luego reinicia pega los reports y dime si ya van los ejecutables


Un Saludo
Título: Re: winlogonexe - error de aplicación
Publicado por: os en 12 de Julio de 2007, 08:09:17 pm
No puedo ejecutarlas, ni siquiera descargarlas, dice:

No se pudo guardar (ni escogiendo abrir), nombre archivo, porque no se pudo leer el fichero de origen.
Vuelva a intentarlo mas tarde o pongase en contacto con el administrador del servidor.

Edito:
 probando a darle ejecutar archivo en aplicacion externa, abre el explorer, hace como que lo guarda, pero no aparece, si le doy ejecutar, dice que ese archivo no es reconocido por windows,
Título: Re: winlogonexe - error de aplicación
Publicado por: 171278 en 12 de Julio de 2007, 08:24:36 pm
Probaste en modo seguro con red? Descargalas de un ciber u otro pc y pega otro log si te deja

Un Saludo
Título: Re: winlogonexe - error de aplicación
Publicado por: os en 12 de Julio de 2007, 08:26:29 pm
No me da opcion a Modo seguro, ni con red, ni sin red, ni simbolo de sistema ni na de na, me tiene un poco harto, es como si el f8 no existiera

Por cierto tampoco puedo restaurar sistema, los iconos del panel de control tampoco funcionan, el boton derecho si abre el menu desplegable, pero no ejecuta ninguna opcion de las que aparecen.
Título: Re: winlogonexe - error de aplicación
Publicado por: os en 12 de Julio de 2007, 09:24:56 pm
He conseguido hacer currar el avg y el adware, de la manera mas tonta, por si al alguien le sirve, como no me dejaba usar los ejecutables, pero si funcionaba el boton derecho , despues de  darle vueltas al tema, elegi un documento de texto, boton derecho abrir con, avg y funciono, no encontro nada mas que un par de cookies insignificantes , pero de momento sigue funcionando, del mismo modo puse a funcionar el adware y me y me muestra el proceso winlogon exe error de aplicacion  con el nombre de archivo

\\??\c:\windows\system32\csrss.exe

Guardado el proceso en texto es este:

HWND ClassName ID del proceso ID del hilo Nombre de archivo Hilos Padre Prioridad Línea de comandos
winlogon.exe - Error de aplicación 196666 /$3003A #32770 784 /$0310 880 /$0370 \??\C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestTh \SystemRoot\System32\smss.exe High 12
Ad-Aware SE 459424 /$702A0 TApplication 3368 /$0D28 3372 /$0D2C C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe"  "C:\Documents and Settings\All Users\Documentos\Adobe PDF\Extras\PDFX1a 2003.joboptions" [System] Normal 6
Responder al mensaje - Mozilla Firefox 590206 /$9017E MozillaUIWindowClass 3004 /$0BBC 3952 /$0F70 C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE "C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE"  C:\WINDOWS\Explorer.EXE Normal 13
Extras 983260 /$F00DC CabinetWClass 1220 /$04C4 2396 /$095C C:\WINDOWS\Explorer.EXE C:\WINDOWS\Explorer.EXE [System] Normal 14


Haber si sirve de algo o no
Título: Re: winlogonexe - error de aplicación
Publicado por: 171278 en 13 de Julio de 2007, 08:32:47 pm
¿Eliminaste lo que te detectaron? Prueba a bajarte lo que te dije desde otro pc e intenta ejecutarlos e intenta ejecutar Restaurar el sistema desde el administrador de tareas.

Un Saludo
Título: Re: winlogonexe - error de aplicación
Publicado por: os en 16 de Julio de 2007, 08:34:40 pm
Poco despues de mi ultima entrada, todo dejo de funcionar, incluso el navegador, por lo que he leido por hay, el bicho en cuestion , escribe el inicio de los archivos. exe, de manera que no son reconocidos por el sistema, la solución, formatear y reinstalar todo de nuevo, mens mal que tengo la buena costumbre de hacer copias de seguridad de todo, en fin, gracias  a todos.


un saludo
Título: Re: winlogonexe - error de aplicación
Publicado por: 171278 en 26 de Julio de 2007, 08:33:42 am
Si la verdad es que ya tuve algunos usuarios en otros foros con el mismo problema.... Algunos pudieron soluccionarlo con la herramienta de eliminacion del Bagle, pero parece ser que hay otro malware mas agresivo que no esta todavia descrito por nadie y obliga a formatear.

Un Saludo
ATT:Lestat