AYUDA URGENTE POR FAVOR (SOLUCIONADO)

[Gamof]

Hola, tengo un servidor en mi empresa con w2k y cuando inicio y le doy a login de sesion me aparece la barra de tareas medio segundo y desaparece, se queda sin iconos y la pantalla en azul pero no hace nada de nada, lo unico que puedo hacer es ejecutar administrador de tareas, asi que le pase el elistar y el elitrip pero no encontro gran cosa, lo inicie a modo prueba de fallos y pasa lo mismo, no puedo escanearlo ni hacer nada de nada, tampoco puedo ejecutar iexplorer porque lo cierra automaticamente, a ver si alguien me puede echar una mano un saludo y muchisimas gracias

P.D.: le pude meter el msconfig por red y ejecutarlo y quitarle todo del inicio pero nada sigue igual, tambien he intentando esanearlo por red pero me dice que no puede que no tengo permisos :(

[msc hotline sat]

Pues arranque en modo seguro con finciones de red, como administrador, y lance este AV ONLINE:





[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]





Y nos cuenta el resultado, gracias



De los 250.000 virus conocidos actualmente, hay uno que necesitamos arrancar sin cargar el EXPLORER, lo cual hariamos arrancando en modo seguro en solo simbolo de sistema u asi podemos lanzar nuestra utilidad ELIBAGLA, pues si arrancamos en modo normal nos quedamos sin iconos... como parece es su caso ???





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



saludos



ms, 20-12-2006

[Gamof]

tanto en modo seguro como modo normal no me deja ejecutar el explorer ni nada, solo puedo ejecutar cosas mediante el administrador de tareas y en caso de ejecutar el iexplorer no me lo abre me lo cierra inmediatamente

[msc hotline sat]

Y lo que le he dicho de arrancar en modo seguro con solo simbolo de sistema y ejecutar el ELIBAGLA ?



ms.

[Gamof]

voy a ello enseguida te contesto, un saludo.

[Gamof]

lo grabe en otro pc en un cd y lo he ejecutado en el ordenador desde el administrador de tareas, de momento esta pasando pero no detecta nada de nada :(

[Gamof]

nada, no me ha detectado nada, que desesperante :(

[Gamof]

alguna idea?

[msc hotline sat]

lA CUESTION ES ARRANCAR EN MODO SEGURO CON SOLO SIMBOLO DE SISTYEMA PARA NO CARGAR EL explorer.exe-...



Bieno,. si asi con el ELIBAGLA no se detecta nada, es porque no es el BAGLE, solo era una posibilidad entre 250.000 ... pero muy posible



Pues arrancando en la forma indicada, copia el HJT en una carpeta que abras al respecto y ejecutalo desde allí, y nos posteas el log como respuesta de este Tema:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 20-12-2006

[Gamof]

Logfile of HijackThis v1.99.1

Scan saved at 10:11:21, on 20/12/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\Archivos de programa\LogMeIn\RaMaint.exe

C:\Archivos de programa\LogMeIn\LogMeIn.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\taskmgr.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [E-Color Registration] C:\Program Files\E-Color\Registration\SonnReg.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [DVDBitSet] "C:\Archivos de programa\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI

O4 - HKLM\..\Run: [DVDTray] "C:\Archivos de programa\HP CD-DVD\Umbrella\DVDTray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\winlogon.exe -stealth

O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINNT\FVProtect.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [CANON DR2080C SVC] rundll32.exe DR2KSVC.dll,EntryPointUserMessage

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\LogMeInSystray.exe"

O4 - HKLM\..\Run: [ActiveScan Antivirus] ActiveScan.exe

O4 - HKLM\..\Run: [Security Center] 1sass.exe

O4 - HKLM\..\RunServices: [ActiveScan Antivirus] ActiveScan.exe

O4 - HKCU\..\Run: [ActiveScan Antivirus] ActiveScan.exe

O4 - HKCU\..\RunServices: [ActiveScan Antivirus] ActiveScan.exe

O4 - Startup: Quick Data Copy.lnk = C:\Documents and Settings\Administrador\Mis documentos\D.MARCIAL\ARCHIVOS\QDCTray.exe

O4 - Global Startup: Adaptec SCSI Explorer.lnk = C:\Archivos de programa\Adaptec\EZ-SCSI 6.0\scsitraymaster.exe

O4 - Global Startup: Colorific.lnk = C:\Program Files\E-Color\Colorific\hgcctl95.exe

O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\LogMeIn.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

[msc hotline sat]

Pues salta a la vista un Netsky



Descarga y prueba el ELINETSA:





ELINETSA:

http://www.zonavirus.com/datos/descargas/96/ELINETSA.asp



Y nos posteas el contenido del dfochero que crea en c:\infosat.txt poara ver el resultado del proceso, gracias





Esto en plan de emergencia, y si tras reiniciar persiste alguna anomalia mas, dinoslo en cualquier caso



saludos



ms, 20-12-2006

[Gamof]

ok estoy pasando la utilidad y en efecto me ha salido que ha eliminado el netsky, esta escaneando ficheros, en cuanto acebe reinicio y te cuento

[msc hotline sat]

Well done !



ms.

[Gamof]

Eliminado el netsky y pasada la utilidad pero nada, sigue igual

[msc hotline sat]

Bieno, pero con un virus menos, seguimos analizando el HJT a fondo, pero vigila con tu antivirus, el que sea, que no estña controlando este birus que ya es un clasico !



seguimos...

[Gamof]

Es que es algo extrañisimo, a ver me explico login del w2k

le doy a ok

y inmediatamente me fijo que de la pantalla azul que tengo delante pasa a un azul un poquito mas oscuro como si delante del escritorio se metiese un fondo encima, seguidamente aparece la barra de tareas menos de medio segundo y desaparece, ahora viene lo bueno, que yo por ejemplo ejecuto cualquier utilidad desde el administrador de tareas y al minimizar no va abajo del todo sino que se queda a la altura justa donde va si estuviese visible la barra de tareas, es como si la barra estuviera y fuese invisible, no se si me he explicado bien xD, un saludo y muchas gracias, sigo luchando yo por aqui en espera que saqueis algo mas de ese hjt :(

[msc hotline sat]

Pues si señor, tiene cantidad de sospechosos con picardias en su nombre, tipicas de malwares.



Estos ficheros son atípicos, envianos muestra para analizar:



C:\Archivos de programa\LogMeIn\RaMaint.exe



C:\Archivos de programa\LogMeIn\LogMeIn.exe



C:\Program Files\E-Color\Registration\SonnReg.exe



C:\Archivos de programa\LogMeIn\LogMeInSystray.exe"



ActiveScan.exe



1sass.exe (ojo que el primer digito es un uno, no una L del normal LSASS !!!)



ActiveScan.exe



C:\Documents and Settings\Administrador\Mis documentos\D.MARCIAL\ARCHIVOS\QDCTray.exe



C:\Archivos de programa\Adaptec\EZ-SCSI 6.0\scsitraymaster.exe





RECORDAR: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Tras analizarlos informaremos...



saludos



ms, 20-12-2006

[Gamof]

Bueno, al final cogi el disco duro scsi lo saque lo meti en otro ordenador lo escanee con el nod y le quite todos los archivos infectados, el caso es que lo meti y reinstale el w2k completo y ha quedado perfecto, un saludo y muchas gracias por dar este gran soporte :)

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 21-12-2006