problema al inciar windows (Lsass 0x0000008e)

[herberth fabian hernandez]

buenos dias



El problema que se me presenta en el sistema es una ventana que se abre, cuando esta inciando windows xp, antes de que muestre los usuarios disponibles,

El error que muestra es:



lsass.exe - error del sistema



error de inicializacion del administrador de cuentas de segurida d por el siguiente error: controlador no valido. Estado del error: 0x0000008. Haga clic en aceptar para apagar este sistema y reiniciar en modo prueba de errores; vea el registro de sucesos para informacion mas detallada





Al querer iniciar el sistema en modo prueba de errores TAMPOCO PERMITE ENTRAR, mostrando la misma ventana con el mismo error.

He intentado entrar en modo MSDOS para restaurar el sistema pero no lo permite.

[msc hotline sat]

Probablemente tiene un error en los ficheros de sistema, proceda a REPARAR WINDOWS:


[quote="msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate
[/quote]





tras ello informenos del resultado, gracias



saludos



ms, 20-06-2007

[herberth fabian hernandez]

Hice lo señalado en su respuesta, pero sigue persistiendo el mismo problema. Ademas ahora el mensaje se muestra inmediatamente si n siquiera cargar un poco la pantalla de inicio de usuarios.



Espero su pronta respuesta gracias

[msc hotline sat]

Pues pruebe el ELITRIIP, pero antes asegurese que no le falten parches de microsoft lanzando un windowsupdate



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 21-06-2007

[herberth fabian hernandez]

Buenos dias



Les comento que su solucion no puede llevarse acabo en mi

computador, la razon es que el problema señalado en los

anteriores comunicados no me permite entrar a windows, por esta

razon no puedo istalar ninguna aplicacion ni hacer un

windowsupdate en busca de parches faltantes. En el unico

momento que puedo realizar alguna accion es antes de iniciar

windows, es mas antes de seleccionar un usuario para acceder a

windows, porque cuando muestra el mensaje se reinicia el equipo.

Es por esta razon que les pido el favor de comentarme sobre otra

posible solucion.



Gracias por su atencion espero su pronta respuesta

[msc hotline sat]

Pruebe de arrancar en modo seguro con solo simbolo de sistema, y desde DOS lance la utilidad, que habra descargado desde otro ordenador y copiado a este...



saludos



ms, 21-06-2007

[herberth fabian hernandez]

Buenos dias



Pues les comento que pormedio de modo seguro con solo simbolo

de sistema tampoco me permite entrar, porque primero me pide

iniciar secion y es en este momento cuando vuelve y muestra la

ventana de error.

Que pena tanta molestia favor de comentarme sobre otra

posible solucion.



Gracias por su atencion espero su pronta respuesta

[msc hotline sat]

Pues como proxima solucion propongo REPARAR sistema:





Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate



y nos cuentas el resultado



saludos



ms, 22-06-2007

[herberth fabian hernandez]

Buenas tardes



Esta solucion fue la planteada por ustedes en la primera

respuesta y el resultado fue negativo porque persiste el

mismo problema. Ademas ahora el mensaje se muestra

inmediatamente sin siquiera cargar un poco la pantalla de inicio

de usuarios y ahora el fondo de patalla queda completamente

negro.





Gracias por su atencion espero su pronta respuesta

[msc hotline sat]

A ver que igual estamos hablando de dos cosas distintas:



Haya lo que haya en el disco duro, arrancando con el CD de instalacion, DESDE EL CD, no desde el disco duro, se debe obtener el poder instalar el windows o salir a la consola de recuperacion.



Llega a este punto o no ?



Porque sino llega es que no está arrancando de CD, quizas no tiene el BOOTSEQUENCE con prioridad de arranque para el CD y le está arranmcando de disco duro.



Una vez configurado adecuadamente el SETUP y llegado a la pantalla indicada, se debe pulsar ENTER para seguir con la instalacion y al detectar la particion instalada pedirá si se quiere REPARAR o reinstalar, y se debe escoger REPARAR.



Al final lanzar un windowsupdate



Diganos donde se encalla si es el caso, gracias



saludos



ms, 21-06.2007

[herberth fabian hernandez]

Buenas tardes



Si me permite entrar por el CD y ya hice lo señalado entre por

el CD deje que identificara las particiones y puse reparar el

sistema. Borro unos archivos y copio otros, es decir, el

proceso es realizado sin problemas despues me pide reiniciar el

equipo despues de reiniciarlo pues dejo que pase sin entrar al

CD,bueno pasa, en el momento en el que esta entrando a el

momento en el que uno elige una sesion para iniciar windows

la pantalla se vuelve totalmente negro y muestra el mensaje:



lsass.exe - error del sistema



error de inicializacion del administrador de cuentas de segurida

por el siguiente error: controlador no valido. Estado del error:

0x0000008. Haga clic en aceptar para apagar este sistema y

reiniciar en modo prueba de errores; vea el registro de sucesos

para informacion mas detallada



Espero su pronta respuesta gracias

[msc hotline sat]

Este lsass del que habla, no debe ser el del sistema, sino un malware copiado en otra carpeta, no en C:\windows\system32





Posteanos el log del HJT y lo analizaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 22-06-2007



PD Pero me asalta una gran duda... Ya actualizaste los parches con un windowsupdate, tras REPARAR el sistema, como se te indicaba ??? porque sino seria una intrusion por desbordamiento de buffer del lsass... y estariamos perdiendo el tiempo. Si no lo hiciste, actualiza antes que nada, enseguida despues de cualquier REPARACION de sistema, pues los ficheros son virgenes, estan sin parchear, y asi cualquier gusano los puede intrusionar por los agujeros de seguridad ! Por si acaso ...

[herberth fabian hernandez]

Buenos dias



Pues es el mismo problema de siempre no puedo enviar el el log

del HJT, porque es necesario instalarlo en una carpeta propia

C:\HijackThis\ y como no puedo acceder a windows no lo

puedo hacer.



Sobre su duda de si actualizé los parches con un

windowsupdate, tras REPARAR el sistema.Pues no, porque por

lo que se, el windows update se manda desde windows y como

el mensaje no me deja entrar nisiquiera despues de reparar el

sistema pues no he podido actualizar los parches



Pero si hay alguna forma de mandar el windows update sin

entrar a windows por favor comentarme y yo lo realizo.



Espero su pronta respuesta gracias

[msc hotline sat]

Vamos a ver, que eso puede ser un desbordamiento de buffer por intento de intrusion del gusano debido a falta de parches.



Para ello hicimos la opcion de BLOQUEO DEL INTENTO DE INTRUSION CERRANDO EL PORT TCP 445, en la utilidad ELITRIIP



Comoque ya tienes dicha utilidad descargada, haz lo siguiente:



1.- Desconecta el cable de red /internet



2.- Arranca el ordenador



3.- Lanza el ELITRIIP y acepta en bloquear el TCP 445



4.- Conecta el cable de internet



5.- Lanza un windowsupdate



6.- Instala todos los parches criticos



7.- Reincia normalmente







Cuentanos el resultado, gracias



saludos



ms, 23-06-2007

[herberth fabian hernandez]

Buena tardes



Creo que tenemos un problema de comunicacion. Lo que pasa, es que estoy escribiendoles en un computador diferente al mio, porque el mio esta deshabilitado por el problema del lsass, entonces, no puedo realizar ninguna de las acciones que me aconsejan hacer dentro de windows, porque no tengo acceso a este en mi computador.



Por esta razon les pido el favor de darme una solucion sin que necesite entrar a windows.



Espero su pronta respuesta gracias

[msc hotline sat]

Pues en tal caso, antes de hacer lo indicado, quite el cable de red/internet, arranque con el CDROM de instalacion y REPARE windows:


[quote="msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate
[/quote]

saludos



ms, 24-06-2007

[herberth fabian hernandez]

Buenas noches



Podrian decirme una forma de enviar un windowsupdate

sin entrar a windows, como por medio de DOS si saben de alguna

forma porfavor comentarme.



Gracias por su atrencion



Espero su pronta respuesta gracias.

[msc hotline sat]

Windowsupdate actualiza aplicaciones de windows y lo propio es lanzarlo desde la Ventana de Herramientas del Internet Explorer o bien ejecutando esta utilidad:



https://support.microsoft.com/es-es/help/12373/windows-update-faq



Al tener que modificar los ficheros del windows y aplicaciones de microsoft como el I.E., no cabe arrancar desde un disquete de DOS, ya que en XP y 2000 lo propio es que se trabaje en NTFS, y a la zona de datos no hay acceso si se arranca en un disquete de DOS.



Indiquenos el problema que tiene para querer hacer lo que dice, y trataremos de ayudarle



saludos



ms, 25-06-2007

[herberth fabian hernandez]

Buenos dias



Pues les comento que desconecte el cable de red, arranque con el CDROM de instalacion y REPARÉ windows, pero sigue persistiendo el problema, por esta razon no puedo entrar a windows para enviar el windows update.



Eor esta razon les pido el favor me comenten de otra posible solucion para este problema.



Espero su pronta respuesta gracias.

[msc hotline sat]

A ver, con el cable de internet desenchufado pruebe el ELITRIIP y acepte en bloquear el TCP 445, luego sin reiniciar abra el I.E. y lance el windowsupdate



El problema de la falta de parches cuando se tiene encima un ataque es que el mismo no deja entrar en internet y sin internet no se pueden actualizar... es entrar en un circulo vicioso, del cual salimos bloqueando el intento de intrusion, y si es este su problema, con ello debe arreglarse.



Otra cosa es que no sea por culpa de virus, pero esto ya no sería cuestion de este apartado.



saludos



ms, 26-06-2007

[herberth fabian hernandez]

Buenas tardes



pues les comento, no puedo hacer nada de lo que me piden porque el mensaje de error que envia el computador acausa del virus NO ME PERMITE ENTRAR A WINDOWS.



entonces la solucion mas viable que yo veo, pero que no queria tomar es la de formatear el equipo y despues de instalar el sistema operativo (windows) actualizar los parches enviando el windows update.



gracias por su colaboracion hasta otra ocasion.

[msc hotline sat]

Si aun está a tiempo, pruebe de REPARAR, igual se ahorra mucho trabajo ! :


[quote="msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate
[/quote]

saludos



ms, 28-06-2007