Spysheriff

[annitta]

Hola a todos!

Tengo un grave problema con mi PC que no puedo solucionar: cada 3min aprox mi PC se reinicia, me sale la típica pantalla azul diciendo: Se ha encontrado un problema y Windows ha sido apagado....

Y luego como información técnica:

stop: 0x0000008E(0x0000005,0xF6EB461D,0xF3D4A4A20,0x0000000)

system32:lzx32.sys -Address F6F....



Bueno, por lo que he leído en este foro el problema podría ser por Spyware (tenía instalado el Panda 2007, pero he encontrado una carpeta en c:/Programfiles con el nombre de SpySheriff....)



En fin, mi problema es que he siguido los pasos que proponéis para eliminar Spysheriff, pero el apagar restaurar sistema me ignora, es decir, Windows XP me lo deja aplicar, pero a los 3min se me vuelve a apagar el sistema. He probado de entrar en modo a prueba de fallos, que es la única manera que no se me apague el PC, pero se me cuelga y es imposible hacer nada :(

¿Puede ser SpySheriff? ¿Cómo evito los reinicios?



Muchísimas gracias!!!

[lucl]

Hola mira para tu problema de apagado abre inicio y ejecutar y teclea:



SHUTDOWN -a



cuando tengas tiempo suficiente pasa el elistara y elitriip por si acaso no sea que tengas algun troyano suelto, nos pegas el log que te genere en c, suerte.

[annitta]

Hola lucl!

Primero de todo gracias por tu ayuda, pero no consigo solucionar el problema del apagado:

He probado lo que me has dicho, con el SHUTDOWN -a (uso windowsXP) me aparece una pequeña ventana negra que desaparece y a los 3 min aparece la odiosa pantalla azul con letras blancas, se realiza un volcado de memoria y se me apaga el PC...

Así me es imposible pasar o instalar un antivirus :S



No sé qué hacer. El problema principal es que no sé porque me aparece periódicamente la pantalla en azul y como conseguir evitar que mi PC se apague solo :(

[lucl]

me da a mi el palpito de que tengas un troyano en tu pc, mira de restaurar sistema para ver si puedes evitar los reinicios, otra cosa que yo intentaria seria instalar un buen portero, ejemplo zonealarm, claro esta que primero de todo deberias tratar de parar los reinicios, pero ¿porque no lo intentas? si restauras a una fecha anterior , igual te puedes bajar el firewall y si es un bicho desde luego el te lo bloqueara y nos dara margen para atraparlo, es que hay un troyano que genera esto al ejecutarse

c:\windows\system32\LZX32.SYS
asi que bueno sigue probando y cuentanos, te dejo el link del zonealarm que es muy efectivo

http://www.zonavirus.com/descargas/zone ... dition.asp

[annitta]

Hola,



si el problema es que ya no sé que probar para evitar que mi PC se apague :(



De momento he probado lo siguiente:

1) entrar en modo depurado -> evita que si apague, pero bloquea el sistema, es decir, me es imposible pasar ningún antivirus, instalar ningun programa ni hacer nada de nada...



2) lo de SHUTDOWN -a desde ejecutar -> no hace caso...



3)Apagar el restaurar el sistema (desde inicio-> MiPC-> ver info sitema, etc) -> nada, sigue apagandose...



¿Qué más puedo probar? :?



Gracias, gracias, gracias

[lucl]

restaurar sistema a una fecha valida anterior? no apagarlo, si no restaurarlo. intentalo, saludos.

[lucl]

buscar esto y si lo tienes mandarlo a tomar por riau?

c:\windows\system32\LZX32.SYS

seguimos pensando... otra cosa, puedes descargarte el hijackthis? si es asi hazlo y pásalo please.

http://www.zonavirus.com/descargas/tren ... ckthis.asp

yo es que a cabezona puis....

[annitta]

Buenas otra vez,



Supongo que te referirás a pulsar F8 en iniciar y seleccionar la opción La última configuración buena conocida (en WindowsXP) apretando. Bueno esto es lo que he hecho yo y nada :( continúa igual... No tengo ni idea de porqué ignora estas opciones...



Mil gracias igualmente.

[lucl]

pasa el hijackthis, descarga y cuando lo ejecutes dale a "do system scan a ...etc" y peganos el log resultante mediante la opcion copiar pegar, saludos.

[annitta]

A ver, este es el resultado de hijackthis lo pasteo todo:

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\msasvc.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 1200\SagemMonitor.exe
C:\Archivos de programa\Support.com\bin\tgcmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {64AC5916-D02A-7BF7-9160-06CCFCD1636E} - C:\WINDOWS\system32\itbwqwf.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SagemMonitor] C:\Archivos de programa\SAGEM\SAGEM F@st 1200\SagemMonitor.exe
O4 - HKLM\..\Run: [hcenter] "C:\Archivos de programa\Support.com\bin\tgcmd.exe" /server /startmonitor 
O4 - HKLM\..\Run: [czpeexk.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\manolo\Configuración local\Datos de programa\czpeexk.dll",rzqlgze
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB460844-F829-411A-B32F-6B976E98812C}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

[annitta]

A lo del fichero lz32.sys te confirmo que no existe, al menos no está en la carpeta C:\windows\system32... pero sí que está lz32.dll, pero creo que esto es correcto, no?

[annitta]

No tengo mucha idea de spywares, pero me da la sensación que el savedump.exe no es nada bueno :S ¿Lo puedo eliminar?

[lucl]

Hola, si, teoricamente ese es correcto, debes poner tambien la cabecera del hijackthis, es importante !! mientras analizaremos el log de hijackthis, saludos.

[annitta]

sorry, no me había dado cuenta!!! te lo vuelvo a pegar todo.

Logfile of HijackThis v1.99.1
Scan saved at 13:17:36, on 27/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\msasvc.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 1200\SagemMonitor.exe
C:\Archivos de programa\Support.com\bin\tgcmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {64AC5916-D02A-7BF7-9160-06CCFCD1636E} - C:\WINDOWS\system32\itbwqwf.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SagemMonitor] C:\Archivos de programa\SAGEM\SAGEM F@st 1200\SagemMonitor.exe
O4 - HKLM\..\Run: [hcenter] "C:\Archivos de programa\Support.com\bin\tgcmd.exe" /server /startmonitor 
O4 - HKLM\..\Run: [czpeexk.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\manolo\Configuración local\Datos de programa\czpeexk.dll",rzqlgze
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB460844-F829-411A-B32F-6B976E98812C}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

[msc hotline sat]

Este fichero es de un troyano:

https://www.bleepingcomputer.com/startu ... 15548.html

Luego miraré de analizar el log

[annitta]

Es posible, de hecho el error que me da es system32:lzx32.sys, lo que no entiendo es porque no aparece el archivo lzx32.sys dentreo de c:\windows\system32 ....

[msc hotline sat]

Lo debió eliminar algun anti bichos...

Envianos este fichero para analizar
C:\WINDOWS\system32\msasvc.exe

y elimina esta clave de momento:

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

recordar: viewtopic.php?f=2&t=45334

saludos
ms, 27-01-2007

[annitta]

No me deja enviar ningún .exe, ¿Cómo os lo envío?

[annitta]

sorry, ya lo he enviado,



gracias, muchísimas gracias por vuestra ayuda!!!

[annitta]

Ahh, por cierto, ya he eliminado esta entrada.



O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

[msc hotline sat]

Pues es un cazapasswords !!!

McAfee lo detecta como PWS, y lo pasamos a controlar con la version del ELISTARA de hoy 13.21 que podrás probar esta tarde > 20h

Entonces:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saudos
ms, 29.01.2007