LSA

alfonsito · Mensaje por **alfonsito** » 31 Ago 2005, 18:54

Hola!!! Al pasar el Spybot Search & Destroy aparece lo siguiente

windows security center.antivirusdisablenotify

(hkey_local_machine/software/microsoft/security center/antivirusdisablenotify!=dword:0)

Este le elimina el spybot pero vuelve a aparecer cada vez que lo paso.

LSA

(hkey_users/S-1-5-18/system/currentcontrolset/control/LSA)

(hkey_users/.default/system/currentcontrolset/control/LSA)

El spybot no puede eliminarlo y no se si eliminar las entradas del registro.

Podeis echarme una manita?? En principio el ordenador funciona bien, han aparecido en un control rutinario no porque tenga ningun problema concreto.

Muchas gracias.

Mensaje por **msc hotline sat** » 31 Ago 2005, 19:34

Mira de arrancar en modo seguro y deshabilitar la restauracion de sistema si usas XP, para lanzar el SPYBOT y eliminar bichos.

Si sigue el problema, copianos el log del HiJackThis:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludpos

ms, 31-08-2005

alfonsito · Mensaje por **alfonsito** » 31 Ago 2005, 20:06

El hijackthis tambien tengo que pasarlo en modo seguro?? Ya habia pasado el spybot en modo seguro y no elimina los bichos.

Gracias

Mensaje por **msc hotline sat** » 01 Sep 2005, 13:43

No, para hacer el log , corre el HJT normal, Ptra cosa es cuando queremos eliminar algo, que para que no estñe en uso debemos arrancar en modo seguro.

saludos

ms, 1-09-2005

alfonsito · Mensaje por **alfonsito** » 01 Sep 2005, 18:26

Aqui esta el log

Logfile of HijackThis v1.99.1

Scan saved at 18:23:10, on 01/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\LVCOMSX.EXE

F:\webcam\LogiTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

F:\webcam\FxSvr2.exe

C:\ARCHIV~1\WinZip\winzip32.exe

C:\DOCUME~1\ABC\CONFIG~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coaatm.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Rscmpt] C:\WINDOWS\System32\Rscmpt.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] F:\webcam\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] F:\webcam\LogiTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] F:\webcam\ManifestEngine.exe boot

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O12 - Plugin for .avi: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstFred.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102634502767

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\AcDcToday.ocx

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstBanr.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\AcPreview.ocx

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Gracias por todo.

Mensaje por **msc hotline sat** » 01 Sep 2005, 19:01

Lanza el HJT y selecciona estas claves, y eliminalas con FIX:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstFred.ocx

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstBanr.ocx

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

Tras ello reinicia y mira si se han solucionado los problemas, y nos lo cuentas, como respuesta de este Tema

saludos

ms, 1-09-2005

alfonsito · Mensaje por **alfonsito** » 01 Sep 2005, 20:19

Vamos a ver... he pasado el hijackthis... y no me permite arreglar la siguiente entrada

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

La marco y le doy al fix, pero al volver a escanear vuelve aparece de nuevo.

Por otro lado, he pasado el spybot y siguen apareciendo el LSA y el otro bicho. Alguna otra idea???

Gracias.

Mensaje por **msc hotline sat** » 01 Sep 2005, 20:38

Es un resto de una instalacion de Panda que no se desinstaló totalmente, pero como que el fichero ya no está (file missing), es inocua, aunque superflua pero al ser un servicio es posible que se resista al simple borrado, siendo necesaria la desinstalacion como Dios manda, pero bo vale la pena perder el tiempo con ella. No es malware !

Y lo mismo con lo del LSA y lo del Security Center, pero ojo, eso son restos de claves modificadas por adwares, ya eliminados, pero sin restaurar estas claves.

Si el Spybot te lo detecta, deberia poder corregirlo, en modo seguro, claro, pero si no lo hace, prueba el AD_AWARE en igual modo, y nos cuentas el resultado

saludos

ms, 1-09-2005

alfonsito · Mensaje por **alfonsito** » 02 Sep 2005, 21:56

He pasado el spybot y el ad-aware en modo seguro y no los han eliminado. El spybot los detecta y borra el windows security ese pero el LSA, no. y el Ad-aware, no detecta ninguno de los dos.

Paso de ellos o existe algun otro metodo para eliminarlos??

Muchas gracias.

Mensaje por **msc hotline sat** » 03 Sep 2005, 12:47

[quote="alfonsito"]windows security center.antivirusdisablenotify

(hkey_local_machine/software/microsoft/security center/antivirusdisablenotify!=dword:0)

Este le elimina el spybot pero vuelve a aparecer cada vez que lo paso.

LSA

(hkey_users/S-1-5-18/system/currentcontrolset/control/LSA)

(hkey_users/.default/system/currentcontrolset/control/LSA)

[/quote]

La primera clave indica un valor 0 en dicha posicion del registro, que puedes restablecer segun lo indicado en:

http://www.winxptutor.com/sp2/seccenteralert.htm

concentramente:

[quote]
Open Registry Editor and navigate to:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center

Backup the key by exporting this to a REG file. See here for more information

In the right-pane, set AntiVirusDisableNotify (REG_DWORD) and set to 1

Similarly, set FirewallDisableNotify (REG_DWORD) and set to 1

Close Registry Editor and restart Windows.

[/quote]

y para las de LSA, vea si las encuentra con el BUSCAREG y las puede eliminar:

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

Pero como que seguramente encontrará varias, elimine solo las que coincidan con las que busca:

(hkey_users/S-1-5-18/system/currentcontrolset/control/LSA)

(hkey_users/.default/system/currentcontrolset/control/LSA)

saludos

ms, 3-09-2005