services.exe ha detectado un problema y debe cerrarse

Responder
chuseml
Mensajes: 11
Registrado: 30 Jul 2007, 18:55

services.exe ha detectado un problema y debe cerrarse

Mensaje por chuseml » 30 Jul 2007, 18:59

Hola, acabo de instalar el service pack2 de xp hace unos días.



Si estoy desconectado de internet, con el router apagado, no tengo ningún problema. Pero en cuanto me conecto a internet aparece el mensaje del título. Hago click en "no enviar" y me apaerce otro mensaje de que mi ordenador se apagará en 1 minuto.



He pasado el nod32 y el avg7.5 y no encuentra nada.



Una ayuda por favor..

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 30 Jul 2007, 19:36

Actualiza los parches de microsoft, que sin ellos, por mas antivirus que tengas, los intrusos llegan por los agujeros de seguridad



Primero lanza el ELITRIIP y acepta cuando te pregunta si quieres bloquear el intento de intrusion, tras ello podras acceder a internet y actualizar:





WINDOWSUPDATE:



https://support.microsoft.com/es-es/help/12373/windows-update-faq





saludos



ms, 30-07-2007

chuseml
Mensajes: 11
Registrado: 30 Jul 2007, 18:55

Mensaje por chuseml » 30 Jul 2007, 20:28

Hola,



sigo con el mismo problema, me conecto a Internet y sigue saliendo el mensaje.



Adjunto el log que me ha generado el ELITRIP





Mon Jul 30 19:43:49 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jul 30 19:44:04 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\APPS\CyberLink\PowerProducer\RegAccess.exe --> Eliminado, SdBot.worm.gen.G

Exploración Detenida por el Usuario.



Mon Jul 30 19:47:22 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Jul 30 19:47:24 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{7B878FF8-D5FD-48FA-9796-9FEA411AD4CE}\RP799\A0119621.exe --> Eliminado, SdBot.worm.gen.G

chuseml
Mensajes: 11
Registrado: 30 Jul 2007, 18:55

Mensaje por chuseml » 30 Jul 2007, 21:31

También les adjunto el hijackthis,



Un saludo y gracias

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 31 Jul 2007, 05:42

Bueno tenias un gusano de IRC que hemos eliminado...



Pero si persiste el problema posiblemente será por falta de parches



Lanzaste el windowsupdate como se indicó ???



saludos



ms, 31-07-2007

chuseml
Mensajes: 11
Registrado: 30 Jul 2007, 18:55

Mensaje por chuseml » 01 Ago 2007, 09:44

Hola,



sí lancé el windows update, pero volveré a hacerlo, para asegurarme.



Sigo con el mismo problema.



Les escribo desde otro ordenador, pues desde el que tengo el problema no me deja acceder a este foro!!



Me dice que me ponga en contacto con un administrador.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 01 Ago 2007, 10:00

Pues lo del acceso al foro hace muy bien en decirnoslo, ya que hay otro caso (conchirrin) que tambien usa IP 81.xxx como Vd y que le pasa lo mismo, y por cierto que Vd hasta ahora usaba otra (IP 83.xxx )



Ello no tiene nada que ver con virus y troyanos, entiendo que son restricciones de rangos baneados de IP , aunque no sea el caso ??? lo miraré otra vez.



Y lo del SERVICES es muy importante tener todos los parches aplicados, sino puede ser un intento de intrusion por el TCP445 de cualquier malware que use la tecnica del Sasser



saludos



ms, 1-08-2007
Última edición por msc hotline sat el 01 Ago 2007, 10:39, editado 1 vez en total.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 01 Ago 2007, 10:19

Pues he desinhibido una unica IP de rango 81.xxx aunque no tuviera nada que ver, ni se pareciera por asomo, pero por si acaso por simpatia, al empezar igualmente por 81.xxx impedia el acceso a los demas (81.202.242.149), la he liberado



Cuentenos si ahora ya puede ???



saludos



ms, 1-08-2007

chuseml
Mensajes: 11
Registrado: 30 Jul 2007, 18:55

Mensaje por chuseml » 01 Ago 2007, 16:13

Hola,



ya puedo entrar al foro de nuevo con la IP inicial, muchas gracias.



Respecto a las actualizaciones, lo único que no tengo instalado es el explorer 7, (lo desinstalé hace poco). Todo lo demás está instalado.



Recibieron el log del hijackthis?



Un saludo,

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 01 Ago 2007, 16:16

El log del HJT y otros txt que quieras que analicemos has de posteralos aqui, en el foro, con un copiar y pegar. Si lo envias por e-mail va a la papelera, pues solo se deben enviar muestras para monitorizar,,,



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Y ya quedo enterado que se ha normalizado tu acceso. Lo celebro.



saludos



ms, 1-08-2007

chuseml
Mensajes: 11
Registrado: 30 Jul 2007, 18:55

Mensaje por chuseml » 01 Ago 2007, 17:02

Les adjunto el log del HJT.



Logfile of HijackThis v1.99.1

Scan saved at 17:14:31, on 01/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\system32\drivers\STDSB.exe

C:\WINDOWS\system32\drivers\Icon.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Chuse\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\APPS\IE\offline\sp.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\sp.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: enlaces.110mb toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de



programa\enlaces.110mb\tbenla.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0



\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: enlaces.110mb toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenla.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0



\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de



programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0



\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: enlaces.110mb toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de



programa\enlaces.110mb\tbenla.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\STDSB.exe

O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 10 run

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file



missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network



Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de



programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -



http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -



http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154299561196

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -



http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 01 Ago 2007, 19:00

elimina estas claves:





O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe





y envianos este fichero para analizar:



C:\WINDOWS\system32\drivers\Icon.exe







->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 1-08-2007

Responder

Volver a “Foro Virus - Cuentanos tu problema”