NT AUTHORITY SYSTEM (SOLUCIONADO)

[c.pascual]

Buenas noches:

Solicito su ayuda para resolver un problema creo que de Virus en mi PC.

La semana pasada se me coló lo que parecía ser un Virus que mi antivirus de entonces, McAfee Internet Securyty Suite, era capaz de detectar aún estando actualizado.

Probé en su página los antivirus online con el NOD32 y el KARPERSKY.

Karpersky me detecto un virus que lamentablemente no recuerdo ya que no anoté el nombre, y simplemente me lo borró.
Si recuerdo que indicaba que era un troyano. Descargué la versión trial de Karpersky, la instalé y limpié el virus (o eso creía).

Desde el momento en que entró dicho virus comenzó a salirme la famosa pantallita de desconexión automática ya que el fichero c:\WINDOWS\system32\services.exe había finalizado anormalmente.

He pasado el AD-WARE, SPYBOT y KARPERSKY totalmente actualizados varias veces a lo largo de esta semana y no detectan nada, pero la dichosa desconexión sigue saliendo.

La consigo parar con shutdown -a pero el PC se ralentiza cada vez mas.

Solamente ocurre cuando tengo conectado el Router, si lo desconecto no pasa nada.

En modo seguro con funciones de red, con el Router conectado tampoco pasa nada.

También he pasado casi la totalidad de las herramientas de eliminación de SYMANTEC y no detectan nada.

Otro aspecto a tener en cuenta, actualizaciones automáticas, conectado el Router y en arranque normal de Windows, no funcionan.

A continuación les pego el Log de HIJACKTHIS esperando puedan ayudarme con este quebradero de cabeza.

Lo último que querría hacer es formatear el PC.

Quedo a la espera de sus noticias.

Gracias anticipadas.

Logfile of HijackThis v1.99.1
Scan saved at 21:59:56, on 25/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.547\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunKistEM] C:\Archivos de programa\Digital Media Read

[c.pascual]

Estos fueron los virus detectados por Karpersky on line
C:\RECYCLER\S-1-5-21-3896597249-4090140246-133018344-1005\Dc1.R2\activate_crack.exe Infected: Trojan-Downloader.Win32.PassAlert.n
C:\WINDOWS\smss.exe Infected: Trojan-Downloader.Win32.Agent.adl
C:\WINDOWS\system32\paytime.exe Infected: Trojan.Win32.StartPage.ahf
C:\WINDOWS\tool4.exe Infected: Trojan-Downloader.Win32.Agent.adl
C:\WINDOWS\toolbar.exe Infected: Trojan-Downloader.Win32.Adload.j

El anterior log transcrito era con el PC arrancado en modo seguro.

A continuación posteo el correspondiente a modo normal.

Logfile of HijackThis v1.99.1
Scan saved at 0:28:44, on 26/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Archivos de programa\Digital Media Reader\shwiconem.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\zHotkey.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\lotus\organize\easyclip.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Carlos\CONFIG~1\Temp\Rar$EX00.688\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.eresmas.com/?h=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunKistEM] C:\Archivos de programa\Digital Media Reader\shwiconem.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] "C:\Archivos de programa\Creative\SBAudigy2ZS\Program\Startup Menu\ChkColor.EXE"
O4 - HKCU\..\Run: [RemoteCenter] C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .mu3: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.es
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,84/mcinsctl.cab
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVRX) - http://www.devalvr.com/instalacion/plugin/devalocx.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.es/app/uploader/FileUploader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.incredigames.com/online2/bejeweled2/popcaploader_v6.cab
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O16 - DPF: {F4653484-F38C-455F-BB15-1175E527754E} (VideoProducer Class) - http://www.gay.video-party.com/class/webcam2.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15014/CTPID.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\archivos de programa\mcafee.com\agent\mcdetect.exe (file missing)
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe (file missing)
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

[msc hotline sat]

Los virus detectados eran downloaders que fueron eliminados sin dificultad

Ahora cabe eliminar las siguientes claves:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\archivos de programa\mcafee.com\agent\mcdetect.exe (file missing)
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe (file missing)
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)

y estas sin raras, mira si las conoces y sino, si persisten anomalias, eliminalas:
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: Lotus QuickStart.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.es
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

Y nos comentas el resultado como respuesta de este Tema, gracias

saludos
ms, 26-1-2006

[c.pascual]

Es la primera vez que me veo metido en estos berenjenales y agradecería que me indicaras como eliminar estas claves.

Es la primera vez que utilizo el HJT y temo hacerlo mal.

Por otro lado, una vez limpia la máquina, si es que me deja, estoy pensando en adquirir el Karpersky (Suite) lo que pasa es que veo que no tiene firewall. ¿Que os parece como antivirus? ¿Hay algún firewall que sea compatible con KAV y que sea bueno también?

Gracias.

[msc hotline sat]

Para eliminar claves mostradas en el log del HJT, arranca en modo seguo, lanza el HJT y señala las claves que quieras eliminar marcando a la izquierda de cada una de ellas, y eliminalas con FIX

y sobre el kaspersky es un reconocido antivirus que aun sin la estructura que rienen otros como McAfee (menos de la mitad) tienen biuenos tecnicos empezando por su creador, Euigene Kaspersky al que le tengo gran consideracion por sus logros tecnicos. Ya en su día (hace mas de 10 años) nos sorprendió al eliminar los virus activos en memoria, de lo cual tpmamos modelo en nuestras utilidades.

Y me consta algo reciente de cortafuegos de la misma marca, mirarñé si encientro informacion y la posteo.

saludos
ms, 26-1-2006

[msc hotline sat]

Mira en este link y prueba el The HACKER

saludos
ms, 26-1-2006

[c.pascual]

Viendo las diferencias entre el log primero que puse (modo seguro) y el segundo (modo normal) hay registros que estan en el segundo y no en el primero.

Tengo que pasar el HJT obligatoriamente en modo seguro, o lo puedo pasar en modo normal desconectando el Router para que no se me pare el PC?

Gracias.

[msc hotline sat]

En modo seguro es para poder ver lo que se oculta si está en uso, pero se puede pasar en modo normal cuando se tienen controlados los problemas, solo en casos ayipicos hay que lanzartlo en modo seguro para poder ver lo que se oculta.

saludos
ms. 26-1-2006

[c.pascual]

he eliminado todas menos las dos que me indicas que no lo haga si las conozco
04 - Global Startup: Lotus Organizer EasyClip.Ink = ?
04 - Global Startup: Lotus QuickStart.Ink = ?

El problema persiste.

Quedo a la espera de tus noticias.

Gracias.

[msc hotline sat]

Pues una vez eliminado todo resto virico del log, si se repite el mensaje ya hay que mirar hacia otro lado..

Lee esta otra alternativa:

The system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM.

The system process C:\WINNT\SYSTEM32\SERVICES.EXE terminated unexpectedly with status code 128. The system will shut down and restart.

This behavior will occur if the HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares registry key contains references to non-shared objects.

To fix this problem:
01. Restart your computer.
02. Press F8 when the Please select the operating system to start message is displayed.
03. Select Safe Mode on the Windows Advanced Options menu.
04. If you have multiple operating systems, select the instance of Windows 2000 that has the damaged registry key.
05. Use Regedit.exe to navigate to: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares
06. Press Export Registry File on the Registry menu.
07. Type Save_Shares into the File name box and press Save so that you have a backup.
08. For every Value Name in the right-hand pane, make sure that the Path= value is a valid, existing, shared object, either printer or folder. If the Path= value is not valid, delete the Value Name for this REG_MULTI_SZ data type.
09. Exit the Registry Editor.
10. Restart your computer normally.

Dinos si tus conocimientos te permiten hacer lo indicado, pero si no estás habituado a manejar el REGEDIT, dinoslo pues podría ser peor el remedio que la enfermedad !!! En tal cvaso ya buscaríamos una solución alternativa

saludos
ms, 27-1-2006

[msc hotline sat]

Buscando mayor informacion al respecto, ofrezco el link a donde se ofrece la explicación a este problema y "su" solución al respecto: https://helgeklein.com/blog/2010/07/whe ... -registry/

saludos
ms, 27-1-2006

[c.pascual]

Bueno:

Después de leer tus indicaciones y el enlace (que conseguí encontrar en castellano) me he decidido a hacerlo.
He salvado tanto
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares
y
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security

y he incluido el valor REG_MULTI_SZ en ambos (primero en uno, reiniciando después, y luego en el otro)

No me deja pegar una imagen pero ambos aparecian antes de cambiar nada como:

NOMBRE: (Predeterminado)
TIPO DATOS: REG_SZ
DATOS: (Valor no establecido)

Después de incluir REG_MULTI_SZ en ambos y reiniciar, seguimos igual. Sale la famosa pantallita y aunque pares con shutdown -a se acaba ralentizando totalmente la máquina.

¿Que puedo hacer ahora?

Gracias anticipadas.

[c.pascual]

Por cierto, donde únicamente me deja escribir REG_MULTI_SZ es en los DATOS de PREDETERMINADO, ¿Es ahí?

Me estoy empezando a perder. Por favor, explicádmelo como a un tonto.

He estado explorando otras carpetas de registro y todas tienen incialmente la "vacia" PREDETERMINADO, pero además tienen otras (muchas o pocas) con datos.

En el caso de estas dos carpetas, no hay nada mas que el PREDETERMINADO. ¿Es normal?

Gracias.

[c.pascual]

Vuelvo a pegar el log de HJT

Logfile of HijackThis v1.99.1
Scan saved at 1:02:02, on 28/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Archivos de programa\Digital Media Reader\shwiconem.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\zHotkey.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Carlos\DESCARGAS INTERNET\HIJACKTHIS 1.99.1\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.eresmas.com/?h=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunKistEM] C:\Archivos de programa\Digital Media Reader\shwiconem.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] "C:\Archivos de programa\Creative\SBAudigy2ZS\Program\Startup Menu\ChkColor.EXE"
O4 - HKCU\..\Run: [RemoteCenter] C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .mu3: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mus: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .mut: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O12 - Plugin for .myr: C:\Archivos de programa\Internet Explorer\Plugins\NPMyrMus.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,84/mcinsctl.cab
O16 - DPF: {5D2CF9D0-113A-476B-986F-288B54571614} (DevalVRX) - http://www.devalvr.com/instalacion/plugin/devalocx.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f009.mail.lycos.es/app/uploader/FileUploader.cab
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15014/CTPID.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
[b]O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\archivos de programa\mcafee.com\agent\mcdetect.exe (file missing)
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe (file missing)
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)[/b]
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

Me he dado cuenta que las entradas marcadas en negrita que me recomendásteis quitar no las ha quitado.

Vosotros diréis.

[msc hotline sat]

Pues sí, deben estar atrapadas por alguna causa, si bien al no encontrar el fichero que tienen programado (FILE MISSING) deberían eliminarse, especialmente cuando ahora no usas McAfee sino Kaspersky !!!

Entiendo que en la desinstalacion quedó algo mal.

Y respecto el problema inicial, no sé si ha seguido las instrucciones que se ofrecía en el primer post , pero si lo hizo y exportó la clave de las comparticiones, posteela y trataremis de ayudarle, y sino lo mejor será que se anulen todas las claves de las comparticiones y ver si asi se resuelve el problema, y luego compartir lo que se desee.

The system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM.

The system process C:\WINNT\SYSTEM32\SERVICES.EXE terminated unexpectedly with status code 128. The system will shut down and restart.

This behavior will occur if the HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares registry key contains references to non-shared objects.

To fix this problem:
01. Restart your computer.
02. Press F8 when the Please select the operating system to start message is displayed.
03. Select Safe Mode on the Windows Advanced Options menu.
04. If you have multiple operating systems, select the instance of Windows 2000 that has the damaged registry key.
05. Use Regedit.exe to navigate to: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares
06. Press Export Registry File on the Registry menu.
07. Type Save_Shares into the File name box and press Save so that you have a backup.
08. For every Value Name in the right-hand pane, make sure that the Path= value is a valid, existing, shared object, either printer or folder. If the Path= value is not valid, delete the Value Name for this REG_MULTI_SZ data type.
09. Exit the Registry Editor.
10. Restart your computer normally.

Veamos la clave y obraremos en consecuencia

saludos

ms, 28-1-2006

[c.pascual]

No había nada mas que la predeterminada con valor no establecido.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security]

Espero noticias.
Gracias.

[msc hotline sat]

Por si tuvieran esto mas usuarios (ya sois dos en este momento) mañana haremos una utilidad de puesta a cero de comparticiones, siguiendo las instrucciones de microsoft, ya informaremos cuando esté disponible

saludos
ms, 29-1-2006

[c.pascual]

Espero con impaciencia vuestras instrucciones.



Gracias.

[msc hotline sat]

A ver si lo acabamos y probamos, tras lo cual te informaremos

saludos
ms, 31-1-2006

[c.pascual]

Tras varias actualizaciones y ejecuciones tanto de Ad-Ware, como de SpyBot como de Karpersky muestro los resultados obtenidos hoy:

Karpersky tras actualizar el antivirus me ha detectado lo siguiente.
C:\WINDOWS\SYSTEM32\DRIVERS\SYSBUS32.SYS infectado por Trojan.Rootkit.Win32-Spb.a

Y me lo ha borrado haciendo un backup del mismo. Lo he elminado del back-up.

Spybot ha detectado un problema en:
HKEY_USERS\S-1-5-21-3896597249-4090140246-133018344-1005\Software\egroup

que ha eliminado sin problemas.

Ad-Ware no ha detectado nada.

He reiniciado el equipo y creo, ¡¡¡¡AL FIN!!!! que está solucionado el tema: No aparece la pantalla de desconexión automática al cabo de los 60 segundos y ya no se bloquea, ahora mismo estoy contestando en modo normal, cosa que anteriormente no podía hacer.

El único problema es que no puedo buscar yo las últimas actualizaciones de Windows disponibles dandome el siguiente error

0x80072EE2

aunque tengo activadas las actualizaciones automáticas. ¿Puede suponer algún problema?

No obstante, ante todo agradecerles su atención en todo momento, ojalá hubiera muchos sitios como este en que a los torpes, informáticamente hablando, nos guíen en la forma de solucionar los problemas que afectan a nuestros PC. Enhorabuena.

Si creen que la utilidad que están preparando debo seguir ejecutándola, no duden en decírmelo.

UN MILLÓN DE GRACIAS.

[msc hotline sat]

Pues nos alegramos, ya que la utilidad no habría hecho mas que lo que habíamos indicado a mano

Y en un bicho dentro, lo procedente es eliminarlo !!!

Y controle si en los primeros 15 dias de cada mes le llegan actualizaciones de windows, y asi puede soslayar lo del windowsupdate

Y ya solucionado el problema, procedemos a cerrar el Tema

saludos
ms, 1-2-2006