NT AUTHORITY SYSTEM (SOLUCIONADO)

[acortes]

Hola

Ojala puedan ayudarme. Les comento que al iniciar pc se muestrasn los sgtes errores y mensajes: \"para ayudar a proteger su equipo windows cerro este programa:aplicacion de servicios y controlador\" lo cierro y al momento aparece \"Services.exe ha encontrado un problema y tuvo que cerrar C:/windows/system32/services.exe\" .Lluego aparece una ventana anunciando que se esta apagando el sistema en xx segds (cuanta regresiva) la verdad es que el sistema ya no se cierra siempre. Luego se puede navegar hasta que explorador no responde y queda en blanco

Entrego mi Logfile del Hijack y el Logfile del Spyware Nuker (lo instale despues del problema para ver mas info) y me arrojo spyware y trojanos.

atento a sus comentarios.

GRACIAS!!



Logfile of HijackThis v1.99.1

Scan saved at 13:45:12, on 27-01-2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\\WINDOWS\\System32\\smss.exe

C:\\WINDOWS\\system32\\winlogon.exe

C:\\WINDOWS\\system32\\lsass.exe

C:\\WINDOWS\\system32\\svchost.exe

C:\\WINDOWS\\System32\\svchost.exe

C:\\WINDOWS\\system32\\spoolsv.exe

c:\\Apps\\Powercinema\\Kernel\\TV\\CLCapSvc.exe

C:\\Archivos de programa\\CyberLink\\Shared Files\\CLML_NTService\\CLMLServer.exe

C:\\Archivos de programa\\CyberLink\\Shared Files\\CLML_NTService\\CLMLService.exe

c:\\ARCHIV~1\\mcafee.com\\vso\\mcvsrte.exe

C:\\ARCHIV~1\\McAfee.com\\PERSON~1\\MPFSERVICE.exe

C:\\WINDOWS\\system32\\svchost.exe

c:\\Apps\\Powercinema\\Kernel\\TV\\CLSched.exe

c:\\ARCHIV~1\\mcafee.com\\vso\\mcshield.exe

C:\\WINDOWS\\system32\\wscntfy.exe

C:\\WINDOWS\\Explorer.EXE

C:\\WINDOWS\\system32\\keyhook.exe

C:\\Archivos de programa\\Synaptics\\SynTP\\SynTPLpr.exe

C:\\apps\\Powercinema\\PCMService.exe

C:\\ARCHIV~1\\mcafee.com\\agent\\mcagent.exe

C:\\ARCHIV~1\\mcafee.com\\vso\\mcvsshld.exe

c:\\archiv~1\\mcafee.com\\vso\\mcvsescn.exe

C:\\ARCHIV~1\\McAfee.com\\PERSON~1\\MpfTray.exe

C:\\Archivos de programa\\Winamp\\Winampa.exe

C:\\Archivos de programa\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe

C:\\ARCHIV~1\\Sony\\SONICS~1\\SsAAD.exe

C:\\WINDOWS\\system32\\ctfmon.exe

C:\\Archivos de programa\\Messenger\\msmsgs.exe

C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe

C:\\WINDOWS\\system32\\sistray.exe

C:\\Archivos de programa\\Archivos comunes\\Sony Shared\\AVLib\\SSScsiSV.exe

C:\\ARCHIV~1\\McAfee.com\\PERSON~1\\MpfAgent.exe

c:\\archiv~1\\mcafee.com\\vso\\mcvsftsn.exe

C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqSTE08.exe

C:\\Archivos de programa\\HP\\Digital Imaging\\Product Assistant\\bin\\hprblog.exe

C:\\Archivos de programa\\Internet Explorer\\iexplore.exe

C:\\Documents and Settings\\Boris Cortes E\\Escritorio\\hijackthis\\HijackThis.exe



R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = about:blank

R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = [url]http://www.google.cl/[/url]

R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = about:blank

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Archivos de programa\\Adobe\\Acrobat 7.0\\ActiveX\\AcroIEHelper.dll

O4 - HKLM\\..\\Run: [SiS Windows KeyHook] C:\\WINDOWS\\system32\\keyhook.exe

O4 - HKLM\\..\\Run: [SiSUSBRG] C:\\WINDOWS\\SiSUSBrg.exe

O4 - HKLM\\..\\Run: [SynTPLpr] C:\\Archivos de programa\\Synaptics\\SynTP\\SynTPLpr.exe

O4 - HKLM\\..\\Run: [SynTPEnh] C:\\Archivos de programa\\Synaptics\\SynTP\\SynTPEnh.exe

O4 - HKLM\\..\\Run: [PCMService] \"c:\\apps\\Powercinema\\PCMService.exe\"

O4 - HKLM\\..\\Run: [WordPerfect Office 1215] C:\\Archivos de programa\\WordPerfect Office 12\\Programs\\Registration.exe /title=\"WordPerfect Office 12\" /date=013006 serial=WO12WRX-0000522-QTJ lang=ES

O4 - HKLM\\..\\Run: [MCAgentExe] c:\\ARCHIV~1\\mcafee.com\\agent\\mcagent.exe

O4 - HKLM\\..\\Run: [MCUpdateExe] C:\\ARCHIV~1\\mcafee.com\\agent\\McUpdate.exe

O4 - HKLM\\..\\Run: [VirusScan Online] c:\\ARCHIV~1\\mcafee.com\\vso\\mcvsshld.exe

O4 - HKLM\\..\\Run: [MPFExe] C:\\ARCHIV~1\\McAfee.com\\PERSON~1\\MpfTray.exe

O4 - HKLM\\..\\Run: [WinampAgent] \"C:\\Archivos de programa\\Winamp\\Winampa.exe\"

O4 - HKLM\\..\\Run: [Adobe Photo Downloader] \"C:\\Archivos de programa\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"

O4 - HKLM\\..\\Run: [SsAAD.exe] C:\\ARCHIV~1\\Sony\\SONICS~1\\SsAAD.exe

O4 - HKLM\\..\\Run: [SWN2] C:\\Archivos de programa\\Spyware Nuker\\swnxt.exe /h

O4 - HKLM\\..\\Run: [VSOCheckTask] \"c:\\ARCHIV~1\\mcafee.com\\vso\\mcmnhdlr.exe\" /checktask

O4 - HKLM\\..\\Run: [UserFaultCheck] %systemroot%\\system32\\dumprep 0 -u

O4 - HKCU\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\ctfmon.exe

O4 - HKCU\\..\\Run: [MSMSGS] \"C:\\Archivos de programa\\Messenger\\msmsgs.exe\" /background

O4 - HKCU\\..\\Run: [msnmsgr] \"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe\" /background

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\\Archivos de programa\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe

O4 - Global Startup: mcregwiz.lnk = C:\\Archivos de programa\\McAfee.com\\Agent\\mcregwiz.exe

O4 - Global Startup: Microsoft Office.lnk = C:\\Archivos de programa\\Microsoft Office\\Office\\OSA9.EXE

O4 - Global Startup: Utility Tray.lnk = C:\\WINDOWS\\system32\\sistray.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Archivos de programa\\Messenger\\msmsgs.exe

O9 - Extra \'Tools\' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Archivos de programa\\Messenger\\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url]http://go.microsoft.com/fwlink/?linkid=39204[/url]

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - [url]http://acs.pandasoftware.com/activescan/as5free/asinst.cab[/url]

O17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{944E2F02-FC85-4377-A396-4B540CD5AB9D}: NameServer = 200.28.4.129 200.28.4.130

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\\Apps\\Powercinema\\Kernel\\TV\\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\\Apps\\Powercinema\\Kernel\\TV\\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\\Archivos de programa\\CyberLink\\Shared Files\\CLML_NTService\\CLMLServer.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\\ARCHIV~1\\mcafee.com\\vso\\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\\ARCHIV~1\\McAfee.com\\Agent\\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\\ARCHIV~1\\mcafee.com\\vso\\mcvsrte.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\\ARCHIV~1\\McAfee.com\\PERSON~1\\MPFSERVICE.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\\Archivos de programa\\Archivos comunes\\Sony Shared\\AVLib\\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\\Archivos de programa\\Archivos comunes\\Sony Shared\\AVLib\\PACSPTISVR.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\\WINDOWS\\system32\\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\\WINDOWS\\SYSTEM32\\slserv.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\\Archivos de programa\\Archivos comunes\\Sony Shared\\AVLib\\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\\Archivos de programa\\Archivos comunes\\Sony Shared\\AVLib\\SSScsiSV.exe

----------------------------------------

Spyware Nuker XT Detection Report

DoubleClick

Cookie Internet Explorer | doubleclick.net/ | test_cookie | CheckForPe...

Hijacker.Azebar

Folder C:\\Documents and Settings\\Boris Cortes E\\Favoritos\\Favorites

Malware.RazeSpyware

Registry Value HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Desktop\\General:Wallpaper:C:\\WINDOWS\\adw.htm

Trojan.ibmshell

File C:\\WINDOWS\\Temp\\$_2341233.TMP

WindUpdates

Registry Key HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ModuleUsage\\C:/WINDOWS/Downloaded Program Files/MediaGatewayX.dll

Registry Value HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\SharedDLLs:C:\\WINDOWS\\Downloaded Program Files\\MediaGatewayX.dll

[msc hotline sat]

Como qyue ya tiene XP SP2, vamos directos a lo que ya se indica en otro Tema al respecto,


[quote]The system is shutting down. Please save all work in progress and log off. Any unsaved changes will be lost. This shutdown was initiated by NT AUTHORITY\SYSTEM.



The system process C:\WINNT\SYSTEM32\SERVICES.EXE terminated unexpectedly with status code 128. The system will shut down and restart.



This behavior will occur if the HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares registry key contains references to non-shared objects.



To fix this problem:



01. Restart your computer.



02. Press F8 when the Please select the operating system to start message is displayed.



03. Select Safe Mode on the Windows Advanced Options menu.



04. If you have multiple operating systems, select the instance of Windows 2000 that has the damaged registry key.



05. Use Regedit.exe to navigate to:



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares.



06. Press Export Registry File on the Registry menu.



07. Type Save_Shares into the File name box and press Save so that you have a backup.



08. For every Value Name in the right-hand pane, make sure that the Path= value is a valid, existing, shared object, either printer or folder. If the Path= value is not valid, delete the Value Name for this REG_MULTI_SZ data type.



09. Exit the Registry Editor.



10. Restart your computer normally.[/quote]

Si está acostumbrado a manejar el REGEDIT, siga las instrucciones indicadas, sino diganoslo uy estoy pensando en hacer una utlidad que elimine todas las claves de comparticiones a ver si asi se resuelve el problema, y luego volver a compartir lo que se desee, pues cada usuario tiene diferentes comparticiones y si no es manual y cada unoi procede segun se indica, no es posible hacerlo automaticamente siu es selectivo



Vea otro Tema al respecto, para su conocimiento:



https://foros.zonavirus.com/viewtopic.php?t=10324&highlight=



saludos



ms, 28-1-2006

[elena_k]

I had the same problem,

for me the solution was to [b]UNINSTALL ALL VIDEO CODECS [/b]I had in the PC, and to [b]reinstall the K-Lite Codec Pack[/b]. Hope it will be of some help to anybody.

[msc hotline sat]

Gracias Elena, pero estp es un Tema de hace 10 meses !!!



No se deben cpntestar tenmas de mas de 15 dias, no tiene sentido



Y para el problema en cuestion, Microsoft desarrollo parches este mes de Agosto que solucionan la mayoría de los casos al respecton asi que WINDOWSUPDATE y a actualizar parches !!!



De todas formas tu solucion ahí queda para el historico



Y dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 4-11-2006