mensaje "se está apagando el sistema.(SOLUCUONADO)

[walone]

Ehm creo que para evitar que se reiniciase solo habia que aplicar un parche de windows que solucionaba ese problema especifico creo que es el mismo problema que ami me sucedia y evite que se me reiniciase y formatear, un saludo.

[neo64_00]

Le puse otro disco a esa maquina,por que tenia que recuperar cosas importantes es decir, todavia tengo el otro disco infectado que se reinicia a cada rato.

Para el amigo walone quiero decirle que se trata de otra cosa y no del sasser, ya que este, modifica aun cuando la cpu este actualizada al dia con todos los parches.

[msc hotline sat]

Este downloader es de pronostico!!!



Solo la ejecucion del "crack" ha bajado de Internet como 10 ficheros y los ha ejecutado !!!



Y cada uno diferente, asi que tenemos tarea para rato.



Y desde luego entiendo que quisiera formatear, ya que 10 troyanos de golpe, galopando al unisono, es demasiado para cualquiera...



Los nombres de los ficheros que ha descargado, gusanos de lo que seam son los siguientes:





C:\WINDOWS\system32\paytime.exe

C:\WINDOWS\country.exe

C:\WINDOWS\hosts

C:\WINDOWS\kl.exe

C:\WINDOWS\ms1.exe

C:\WINDOWS\secure32.html

C:\WINDOWS\tool1.exe

C:\WINDOWS\tool2.exe

C:\WINDOWS\tool3.exe

C:\WINDOWS\tool4.exe

C:\WINDOWS\tool5.exe

C:\WINDOWS\toolbar.exe

C:\WINDOWS\uniq



Bueno, pues uno a uno, que todos de golpe sería demasiado tambien para nosotros !



En cuanto tengamos mas datos y podamos ofrecer el ELISTARA que los controle, informaremos



saludos



ms, 26-1-2006

[neo64_00]

Toda una caja de pandora....... seguimos en contacto gracias!!

[msc hotline sat]

Mira que no me gustan los "cracks", pero es que este se las trae !!!



Cuentanos si te llegó por P2P o te lo bajaste de alguna parte para alguna utilidad, para que nadie mas caiga en la tentación ...!!!



Hoy nos pelearemos con todos los que nos inundaron tras su ejecución.



saludos



ms, 27-1-2006

[msc hotline sat]

Es posible que te llegara por exploit WMF. Lanza un windowsupdate por si acaso.



Y prueba la nueva version de ELISTARA con si ELINOTIF.DLL pues el dichoso crack baja nuevo Haxdoor



Y cuentanos el resultado !!!



saludos



ms, 27-1-2006

[Abraxas]

[quote="msc hotline sat"]Es posible que te llegara por exploit WMF. Lanza un windowsupdate por si acaso.



Y prueba la nueva version de ELISTARA con si ELINOTIF.DLL pues el dichoso crack baja nuevo Haxdoor



Y cuentanos el resultado !!!



saludos



ms, 27-1-2006[/quote]

Hola.



Sabes que tengo un notebook que tiene exactamente el mismo problema, baje ELISTARA y el ELINOTIF.DLL. ¿Como le cargo el dll al binario de ELISTARA?.

tengo los 2 en el mismo directorio.

Pase ELISTARA y no encontro nada. Y sige saliendo la ventanita de que se va apagar el sistema en modo normal de WINXPSP2.



Gracias Por tu AYuda



Salu2

[msc hotline sat]

Con tener el ELISTARA y el ELINOTIF eb el mismo directorio, el ELISTARA ya instala y el otro en el registro y ebn el proximo reinicio es lanzado, pero si quieres lanzarlo a manom abre una sesion de DOS y ejecuta:



RUNDLL32.EXE ELINOTIF.DLL, Instala



Ten cuidado con la funcion de la DLL que debe ser igual mayusculas y minusculas, pues tienen sensiblidad, o sea " Instala "



y la carpeta debe estar en path de windows, polos por ejemplo en la de sistema



saludos



ms, 27-1-2006

[neo64_00]

Le pregunte al usuario, dice que le llego por correo.... pero ya no tiene el mail, cosa rara...

aunque a los demas que les pasa lo mismo, podrian contarnos que hicieron antes de que les saliera el error?

Gracias y saludos.

[Abraxas]

[quote="msc hotline sat"]Con tener el ELISTARA y el ELINOTIF eb el mismo directorio, el ELISTARA ya instala y el otro en el registro y ebn el proximo reinicio es lanzado, pero si quieres lanzarlo a manom abre una sesion de DOS y ejecuta:



RUNDLL32.EXE ELINOTIF.DLL, Instala



Ten cuidado con la funcion de la DLL que debe ser igual mayusculas y minusculas, pues tienen sensiblidad, o sea " Instala "



y la carpeta debe estar en path de windows, polos por ejemplo en la de sistema



saludos



ms, 27-1-2006[/quote]

Podrias ser un poco mas claro por favor, disculpa pero no te entiendo toda la explicacion.

De lo que entendi: Copie el ELISTARA. EXE y EL ELINOTIF.DLL a mi ./windows/system32/ y ejecute por un CMD RUNDLL32.EXE ELINOTIF.DLL, Instala. Bueno me sale un mensaje que dice ''No Detectado Troyano".

:(

Hice estos en modo normal y seguro alguna sugerencia???



De antemano muchas gracias

[msc hotline sat]

Ya lo haces bien, y si no lo detecta es que quizas ya no lo tienes...



Posteanos un log del HJT para saberlo:







[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]







y hagalo en modo seguro !!!. como tambien lo del ELISTARA, pues alguno se esconde en modo normal...



saludos



ms, 28-1-2006

[El_Crash]

Tengo el mismo problema con el error en services.exe, ya he probado todas las soluciones que ibais proponiendo, os mando el log del hijackthis haber si encontrais algo.



Logfile of HijackThis v1.99.1

Scan saved at 18:02:09, on 31/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\system32\crypserv.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TSIRCSRV.EXE

C:\WINDOWS\System32\DRIVERS\WtSrv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://SERVER:8080

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987509} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: TruePass LocalEPF 6,0,200,81 - https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.cab

O16 - DPF: {11BD6F81-233F-4B62-BAFB-27ECABD3CBCF} (NTR Activex 1.0.6) - http://www.inquiero.com/inquiero/mod/ntractivex106.cab

O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX 5.5 Basic) - http://www.mundofiat.com/plugins/ScriptX.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} - http://www.dialerzona.com/cuadruple.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {44C7E598-E215-11D4-BE13-CE6EE9000000} (NetOpX) - file://C:\netop\ActiveX\netopx.CAB

O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://80.34.19.200:1024/img/NetCamPlayerWeb11g.ocx

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {54088EE1-29A8-432F-9F9F-930AD760C991} (Webretina Control) - http://www.conectarahora.com/ie/WebRetinaX.ocx

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138380762108

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6ABE4BC3-7253-418E-85E8-F334A73154D3} (CSmartClient Object) - http://www.smart-clip.com/activex/SmartClip.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.mundofiat.com/plugins/MSSurVid.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://spyzerotest.ahnlab.com/cyworld/plugin/myfirewall20.cab

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

O16 - DPF: {AC119561-A462-40D8-882A-7B306E0ACE30} - http://www.123mania.com/uninstash.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O16 - DPF: {D6376DD2-C2BD-49B2-A1B1-138F869633F3} (ASPRO Installer Class) - http://acs.pandasoftware.com/activescanpro/as5/asproinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4682/mcfscan.cab

O16 - DPF: {F78C46AA-052C-40CA-9F75-65C45900070C} (Seagate SeaTools Spanish Online) - http://www.seagate.com/support/disc/asp/tools/es/bin/npseatools.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E8B8685D-9CC3-4E27-9CEC-2650105BC236}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Apache - Unknown owner - C:\FoxServ\Apache\bin\Apache.exe" -k runservice (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe

O23 - Service: EpsonBidirectionalAgent - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBAgent.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoguard.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Network Monitor - Unknown owner - (no file)

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ptssvc - Parallel Technologies, Inc. - (no file)

O23 - Service: TSI Remote Control Service (TSIRCSRV) - LapLink, Inc. - C:\WINDOWS\System32\TSIRCSRV.EXE

O23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\DRIVERS\WtSrv.exe

[msc hotline sat]

aPARTE DE OTRAS CLAVES DUDOSAS, HAY ESTAS QUE DEBEN ELIMINARSE:



(se recuerda que para eliminar claves debe arranbcarse en modo seguro, lanzar el HJT, seleccionar las claves a eliminar marcando a la izquierda de cada una de ellas y pulsar FIX)





O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} - http://www.dialerzona.com/cuadruple.cab



O23 - Service: Apache - Unknown owner - C:\FoxServ\Apache\bin\Apache.exe" -k runservice (file missing)



O23 - Service: Network Monitor - Unknown owner - (no file)



O23 - Service: ptssvc - Parallel Technologies, Inc. - (no file)







y de las sospechosasm mira si conoces, y sino elimina, :





O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987509} - C:\WINDOWS\system32\shdocvw.dll



O16 - DPF: TruePass LocalEPF 6,0,200,81 - https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.c ab



O16 - DPF: {11BD6F81-233F-4B62-BAFB-27ECABD3CBCF} (NTR Activex 1.0.6) - http://www.inquiero.com/inquiero/mod/ntractivex106.cab



O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX 5.5 Basic) - http://www.mundofiat.com/plugins/ScriptX.cab



O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab



O16 - DPF: {44C7E598-E215-11D4-BE13-CE6EE9000000} (NetOpX) - file://C:\netop\ActiveX\netopx.CAB



O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://80.34.19.200:1024/img/NetCamPlayerWeb11g.ocx



O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab



O16 - DPF: {54088EE1-29A8-432F-9F9F-930AD760C991} (Webretina Control) - http://www.conectarahora.com/ie/WebRetinaX.ocx



O16 - DPF: {6ABE4BC3-7253-418E-85E8-F334A73154D3} (CSmartClient Object) - http://www.smart-clip.com/activex/SmartClip.cab



O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://spyzerotest.ahnlab.com/cyworld/plugin/myfirewall20.cab



O16 - DPF: {AC119561-A462-40D8-882A-7B306E0ACE30} - http://www.123mania.com/uninstash.cab



O16 - DPF: {D6376DD2-C2BD-49B2-A1B1-138F869633F3} (ASPRO Installer Class) - http://acs.pandasoftware.com/activescanpro/as5/asproinst.cab



016 - DPF: {F78C46AA-052C-40CA-9F75-65C45900070C} (Seagate SeaTools Spanish Online) - http://www.seagate.com/support/disc/asp/tools/es/bin/npseatools.cab



O23 - Service: EpsonBidirectionalAgent - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBAgent.exe



O23 - Service: WinTab Service (WinTabService) - Unknown owner - C:\WINDOWS\System32\DRIVERS\WtSrv.exe





t reas ello reinicie y nos comenta los resultados como respuesta de este Tema, gracias



saludos



ms, 31-1-2006

[El_Crash]

He probado a borrar las claves ke me ponia en el HJT, he reiniciado y aun asi no va

[msc hotline sat]

La eliminacion de claves puede servir o no para el propósito, pero limpia esta parte del registro de claves maliciosas...



Sobre lo que te pasa, este Tema está abierto para las modificaciones hechas por el fichero "crack.exe", que no es ti caso, supongo, y si bien puedes hacer lo indicado con el ELINOTIF, y nos informas al respecto.



Aparte, hoy subirenos la nueva version 11.06 del ELISTARA que termina de conttrolar todos los malwares generados por la ejecucion del "crack.exe"



saludos



ms, 1-2-2006

[victorgt]

Nuevo en el foro, saludos...



Infectao hasta el alma por el jodido CRACK.EXE, desde hace dos semanas... Empleadas muchas horas en leer foros, probadas varias sugerencias. Llego el momento de participar activamente...



Desinfectao en modo seguro varias veces (panda, ELISTARA 11.06...), aparecian muchos bichos, se supone que todos "reparados"...



Actualmente, todo funciona bien, excepto, claro la pantallita de SERVICES.EXE ha fallado y me cierro en un minuto...



En mi equipo (XP PRO SP2) solo se reinicia si acepto un dialogo. Si no toco nada, aparto las ventanas de error y sigo trabajando. No se me ralentiza el sistema (o eso parece).



En modo seguro con funciones de red NO aparece. Enchufao a Internet con router todo el tiempo... Red local todo el tiempo...



A mi me entro al probar un crack de Paint Shop Pro X. El muy burro de mi solo se me ocurrio hacer doble click en CRACK.EXE. Y solo llevo 15 años trabajando con PCs... Sere animal... :oops:



Se necesita ayuda. Equipo infectao se ofrece para pruebas...

[msc hotline sat]

Prueba la nueva version del ELSITARA que acabamos de subir a esta web.





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







Con ella liquidamos todo lo que el dicgoso "crack" descargó, y respecto a lo del NT AUTHORITY SYSTEM estamos haciendo pruebas con un ELIAUTOR.EXE que hemos hecho al respecto para comprobar que no nos carguemos ningun servicio, en vase a lo indicado al respecto por microsoft:









Puedes hacerlo a mano mientras



saludos



ms, 1-2-2006

[msc hotline sat]

Prueba la nueva version del ELSITARA que acabamos de subir a esta web.





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







Con ella liquidamos todo lo que el dicgoso "crack" descargó, y respecto a lo del NT AUTHORITY SYSTEM estamos haciendo pruebas con un ELIAUTOR.EXE que hemos hecho al respecto para comprobar que no nos carguemos ningun servicio, en vase a lo indicado al respecto por microsoft:



http://support.microsoft.com/?scid=kb;EN-US;Q318447



Puedes hacerlo a mano mientras



saludos



ms, 1-2-2006

[victorgt]

Lo siento, pero...



ELISTARA 11.07 probado (junto a ELINOTIF.DLL) en modo seguro. La DLL dice "no hay troyanos". Elistara 11.07 no encuentra nada (es la tercera o cuarta vez que lo paso, la primera vez con 11.06 si que encontro bichos..).



Lo de la clave del registro...

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares

tambien lo he probado...

Habia dos entradas antiguas erroneas, pero las borre (con regedit) y no arreglo nada (ademas, MS lo documenta para W2000, no para WXP).



Otra prueba: desactive todos los programas de inicio con MSCONFIG (solo tenia unos 12). Ni caso...



Mas: no tengo ningun services.exe en los discos que no sea de 106 Kb (supongo el bueno)...



Mas: panda legal actualizao automaticamente online, no encuentra nada en modo seguro...



Parece que mi sistema ya no tiene bichos, pero sigue fallando services.exe...



Lo acojonante es que el equipo funciona bastante bien, aparte las ventanas del services.exe... Si el services.exe produce el error porque se para, y el services.exe es muy importante (tiene muchas "cosas" dentro) ¿porque me funciona relativamente bien el equipo (dominio, internet, correo,aplicaciones...)?



¿Y lo de que modo seguro con red no falle? Eso debe ser una buena pista...



Seguimos luchando... :x

[msc hotline sat]

De las preguntas que hace le diré:



Entendemos que el documento de microsoft es lo mismo para w2000 que para XP, su hermano pequeño



Y justamente al arrancar en modo seguro con funciones de red no carga todas las aplicaciones que normalmente se cargan en el inicio, solo las de sistema y las necesarias para entorno de redes, por lo cual quiere decir que hay alguna aplicacion que altera el nornal comportanmiento cuando se arranca en modo normal





y al parecer otro forero ha encontrado un ROOTKIT, no detectado mas que con Kaspersky, y eliminandolo ha solucionado el problema, y es lo que tratamos de controlar y conocer, para poderlo eliminar.



Si quiere probar con dicho antivirus e informanos del resultado ...



Y en tal caso, diganos donde detecta el intruso, para pedir la muestra a otros usuarios con el mismo problema, con la que ensayar y buscar una solucion



saludos



ms, 2-2-2006

[victorgt]

Ejecutado el ultimo Kaspersky (KS) en modo seguro, y me encuentra cosas... El famoso SYSBUS32.SYS...



Segun el KS, encontrado "Trojan Rootkit.Win32.Spb.a" en el fichero "C:\WINDOWS\SYSTEM32\DRIVERS\SYSBUS32.SYS". Lo borro con el KS...



Tambien el KS detecta y borra una entrada de registro...

KKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysbus32... que apuntaba al fichero anterior en el disco.



Tambien me pilla el famoso CRACK.EXE dentro de un ZIP. Este lo detecta como "Trojan-Downloader.Win32.Small.cgl". Lo borro con el KS...



Reinicio la maquina en modo normal y...

Casi... Me salen los mensajes de antes pero YA NO LA PANTALLITA de me cierro en un minuto. Esto parece que mejora...



Desgraciadamente, sigo teniendo entradas en el registro que apuntan a SYSBUS32, y no puedo borrarlas, me da "error al borrar la clave" desde regedit. ¿Debo usar HJT, o modo seguro o algo raro para borrarlas?



Dejo este post, voy a reinciar a ver que pasa...

[victorgt]

Completo el post anterior...



Al reiniciar, "parece" que el services.exe sigue fallando. Me saca dos mensajes consecutivos (uno en de services ha fallado, el otro el de mandar un informe de error a microsoft). Cada uno sale cuatro o cinco veces, al cerrar el anterior. Finalmente, desaparecen...



Lo mejor, miro en el Administrador de tareas y services.exe esta en ejecucion (ocupando 4 MB)... Parece que no se cierra. Los mensajes o son falsos o son de otra cosa o...



Y la ventanita de cerrarme en un minuto no ha vuelto a salir...



Parece que ya falta muy poco...

[msc hotline sat]

Si puedes recuperar de la papelera el SYSBUS32.SYS o te lo guardaste en disquete, nos lo envias y podremos reproducir el caso.



Sino, ya entendemos que se ha hecho lo posible, pero sin muestra no podemos monotorizar el proceso.



Contestanios en cualquier sentido, para seguir con el Tema o ya darlo por terminado, gracias



Realmente había bicho. pero solo Kaspersky lo detecta, por ahora. Punto para el moscovita Eugen y su equipo técnico!!!



saludos



ms, 2-2-2006

[Pindu]

Hola a tod@s! Tengo el mismo problema que el resto de la gente con el puñetero isass/services o lo que sea que es, voy a comentar mis experiencias a ver si sirven de algo. Uso Windows 2000.



-La primera vez que reinicia, el proceso es Isass.exe y comenta que se ha disparado desde \



-Las sucesivas veces el proceso que reinicia es services.exe (con la s, estoy casi seguro).



-Mi caso es aun más grave, porque despues de que me pasara una vez, reinstale el W2k con particionamiento/formateo incluidos y posteriormente le metí todos los parches de seguridad. Tras meterle los parches, lo unico que he instalado son los drivers de la tarjeta grafica y los de la tarjeta de sonido. Todo en CD original, asi que no me explico como se ha colado.



-El parche para el sasser no detecta nada. El software de mocosoft de malware tampoco detecta nada.



-En modo seguro con red me funciona todo bien. Primero pense que era el sasser y he mirado, pero ni una de las características del sasser coincide (ficheros, valores del registro, procesos, etc).



-En modo normal no me deja arrancar, aunque a veces me ha dejado quitando el cable de red, pero luego hay muchos procesos que fallan y se desactivan. No he visto un patrón claro aqui de qué procesos fallan.



-Estoy en una red con otros dos equipos que tienen XP's piratas y sin actualizar, pero ellos van perfectamente, no han tenido ningún problema. Quizás me he infectado desde ellos, pero entonces por que no les pasa nada? Nos conectamos a internet con un router del año de la pera, un Barracuda que tiene funciones de firewall y por defecto deshabilita casi todos los puertos.



-Lo que más me j**e es que estoy seguro de que no he ejecutado nada que pueda estar infectado. He intentado pasar el kaspersky online pero no me deja instalarlo en modo seguro.



En fin, a ver si descubris algo.

Salu2

[msc hotline sat]

En primer lugar, el Isass ni tiene nada que ver con el SASSER y variantes, que utiliza un desbordamiento de buffer de un fichero de sistema no virico, el LSASS.EXE, mientras que el isass.exe es un gusano cuyo nombre usan varios vbirus para engañar y confundirlo con el LSASS



Cuidado con la " i" y la "ele" inicial !!!



Si el antivirus residente no te lo detecta, lanza este ONLINE y cuentanos el resultado:



https://www.eset.es/analisis-online/



Si no detectaras nada con ello, posteanos log del HJT







[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



saludos



ms, 22-2-2006

[Pindu]

Hola. Ya conocía la diferencia entre el Isass y el Sasser, lo que digo es que en el mensajito inicial (pero solo en el primero) aparece el nombre del proceso (no sé si con I o con L, porque es un cuadro de diálogo modal). Después, en las sucesivas veces, ya empieza a decir que el proceso que lo provoca es el services.exe



Generalmente el mensajito aparece antes de que se cargue windows, así que el truco de cambiar la hora no puede hacerse. Eso sí, algunas veces deja entrar y aparece más tarde. Probé a cambiar la hora mientras estaba la cuenta atrás y no hizo nada. Hay que hacerlo antes de que empiece dicha cuenta?



El shutdown -a no lo probé.



Seguí haciendo cosas. Pasé el elistara que posteais y no me encontró nada. MIré en winnt/system32/drivers y el sysbus32.sys no está allí.



Respecto al antivirus residente, no tengo ninguno, utilizo antivirus online, pero el karspersky online no logré que me funcionara en modo seguro. La página se quedaba bloqueada, sin hacer nada ni descargar nada.



En cuanto llegue a casa (para lo cual me faltan unas 12 horas), pasaré el antivirus que me comentais y el HijackThis y lo postearé por aquí, a ver si sacamos algo en claro.



Salu2

[msc hotline sat]

Pues ten presente que se ha de tener un antivirus residente instalado, para evitar ejecutar o que intrusionen los virus y detmerlos antes de que entren en el PC. Con el ONLINE no pùedes evitar, y solo te sirve para saber lo ei ya ha entrado !!!



Y sobre el shutdown ten claro que es una fincion de windows ante un Error grave del sistema, que puede ser provocado por un desbordamiento de buffer como en el casop del Ssasser, o boen por cualquier anomañioa grave de un proceso, sea de una aplicacion o del sistema operativom sim quie tenga que tener nada que ver con virus.



Pero antes de postear el HJT, lanza el antivirus ONLINE que te hemos indicado , y nos posteas el resultado de las dos cosas.



Y no te olvides de dejar instalado un antivirus residente y mantenerlo actualizado. ES IMPRESCINDIBLE , IGUAL QUE MANTENER ACTUALIZADOS LOS PARCHES DE MICROSOFT !!!



saludos



ms, 22-2-2006

[Pindu]

Bueno, el antivirus no ha detectado nada. La salida del Hijackthis (en modo seguro, ya que en normal no me deja) es la siguiente:



Logfile of HijackThis v1.99.1

Scan saved at 20:33:43, on 22/02/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Daniel1\Escritorio\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [GhostSurfDelSatellite] C:\Archivos de programa\SpyCatcher\DeleteSatellite.exe

O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce

O4 - HKLM\..\RunOnce: [Register urlmon.dll] C:\WINNT\system32\regsvr32.exe /s C:\WINNT\system32\urlmon.dll

O4 - HKLM\..\RunOnce: [Register hlink.dll] C:\WINNT\system32\regsvr32.exe /s C:\WINNT\system32\hlink.dll

O4 - HKLM\..\RunOnce: [Register oleaut32.dll] C:\WINNT\system32\regsvr32.exe /s C:\WINNT\system32\oleaut32.dll

O4 - HKLM\..\RunOnce: [IE 3.0 RegSvr schannel.dll] C:\WINNT\system32\regsvr32.exe /s C:\WINNT\system32\schannel.dll

O4 - HKLM\..\RunOnce: [GhostSurfDelSatellite] C:\Archivos de programa\SpyCatcher\DeleteSatellite.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140550635890

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe



Lo siento pero paso de perder más tiempo con esto, voy a instalarme un XP con actualizaciones en CD. Espero que lo que he puesto sirva de ayuda para otros.



Muchas gracias por vuestro tiempo y vuestra atención.

Salu2

[Pindu]

Bueno, cuando dije que instalaba el XP para olvidarme del tema parece que hablé demasiado deprisa...



Desparticioné y volví a particionar el disco duro y lo formateé de nuevo. Instalé el XP con el cable de red desconectado y seguidamente le metí un cd con las actualizaciones hasta hace un més o así.



Instalé los drivers de la gráfica de cd original.



Luego ya puse el cable de red.



Como la cosa iba bien, se me ocurrió quitar el firewall del XP, porque alguien me dijo que suele dar problemas. Hasta este punto no había instalado antivirus todavía.



Me conecté con Iexplorer a una página de drivers para bajarme los de la tarjeta de sonido. No llegué a bajarme nada. El ordenador se quedó ralentizado, las páginas no se cargaban.



Intenté habilitar el firewall y no me dejó. Luego se colgó.



Ahora al arrancar, tanto en modo seguro como normal, como resto de opciones, antes de llegar a la pantalla de validación el ordenador se resetea...



Alguien sabe si podría tener infectado el mbr??? Porque si no no me explico, como me puede entrar tan rápido el virus y solamente a mí??? Si fuera tan dañino y tan indetectable estarían infectados millones de pc's



No entiendo nada... :(



Voy a intentar reparar la instalación desde el cd e intentaré hacer un fdisk /mbr y un fixboot, alguna idea?



Gracias por la ayuda.

[msc hotline sat]

oTRA VEZ INSTALA EL ANTIVIRUS Y LOS PARCHES ANTES DE NADA MAS !!!



Y ahora mira de arrancar en modo seguro con funciones de red y lanzar el siguiente antivirus ONLINE y nos informas:



https://www.eset.es/analisis-online/



aunque no tiene que ser necesariamente por virus. EL hardware tambien cuenta, memorias, temperatura CPU, ... etc, pero empecemos por lo facil.



saludos



ms, 23-.2-.2006