NT Authority y se reinicia. Qué hago?? (SOLUCIONADO)

[Javier AJ]

Hola, necesito ayuda...tengo un problema y ya he hecho de todo, pero nada, sin resultados. Trato de resumirlo.



De vez en cuando el PC se me venía reiniciando solo, pero como era con poca frecuencia y siempre decía que era por algún controlador de dispositivo, no le había hecho mucho caso. Tenía XP con SP2 y todos los parches, así con Norton Antivirus actualizado.



Hace un par de días el PC empezó a reiniciarse solo cont¡nuamente, y al volver a arrancar ponía que se había recuperado de un error grave causado porque winlogon.exe no encontraba shlwapi.dll. Además el Norton me empezó a fallar (creo que esto tiene algo que ver con haber instalado la beta de Microsoft Antispyware; he leido en algun sitio que ha generado conflictos con Norton).



Desinstalé el Norton para volver a instalarlo, pero ya no me dejó. Ni ese, el 2003 que tenía, ni las versiones más modernas (tengo hasta las versiones Norton 2006 de prueba). Probé a instalar también el Kaspersky, el zone alarm y otros, pero no me dejaba.O se reinicaiba, o me decía que se había producido error en la instalación.



Visitando foros de microsoft y demás, deduje que podía haber algún fallo en la instalación de SP2, así que la desinstalé. El CD que tengo es de SP1a, que no me servía para reinstalar.Y como seguía reiniciándose y no podía conectar para descargar la actualización, me conecté con otro (mi portátil) y descargué el fichero grande de SP2 (260 MB); con un disco extraíble lo pasé al PC e intenté instalarlo (según boletín de Microsoft, integrando el archivo de SP2 en los archivos del CD de SP1).



Se reinstaló el sistema operativo (tanto, que he tenido que llamar por teléfono para volver a activarlo!!) y se quedó en SP1.



Desde ese momento, en cuanto arranco el ordenador, al cabo más o menos de 1 minuto sale una pantallita que dice que NT Authority\System ha iniciado el proceso de apagado, por errores en C:\Windows\system32\services.exe y algo más que no puedo leer porque el cuadro es más pequeño que el texto. A veces en lugar de services.exe hace referencia a lsass.exe, pero igual.



Cuando sucede esto, puedo detener a veces el reiniciado (con suthdown -a o cambiando la hora, que a veces no me deja), pero es igual porque las funciones están como ralentizadas, no me deja instalar nada, ni actualizar XP ni instalar el SP2. He hecho limpiezas de registro con RegSeeker, he pasado el FixBlast.exe de Symantec por si era el blaster (sin resultado), he hecho limpieza con DiskCleaner, etc. En fin, casi todo lo que se me ocurre que se puede hacer en un par de minutos que tengo cada vez que arranco el PC hasta que sale la pantallita.



Más detalles, cuando sale la pantallita, voy a Inicio y la opción de "Apagar" no está disponible, sólo la de "cerrar sesión". Tampoco es accesible el Administrador de tareas.



Así que estoy con SP1, sin antivirus y sin poder actualizar parches (alguno he podido instalar, si es pequeño, descargándolo con otro PC y traspasándolo y ejecutándolo antes de que se cierre), ni sp2, y lo peor, sin ideas y sin recursos.



Agradecería mucho vuestra ayuda.

[Javier AJ]

Por si puede ayudar, aquí va el log deHJT que me ha salido.



Logfile of HijackThis v1.99.1

Scan saved at 3:22:26, on 06/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\Archivos de programa\Microsoft Office\Office10\msoffice.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Documents and Settings\Papa\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://matrix.cscamaras.es:8080/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Mujer Activa - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnlineX Control) - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F64E035-79B8-4C39-8095-721C6B427835}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{3F64E035-79B8-4C39-8095-721C6B427835}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{3F64E035-79B8-4C39-8095-721C6B427835}: NameServer = 194.179.1.100,194.179.1.101

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll

O20 - Winlogon Notify: mloader32 - C:\WINDOWS\SYSTEM32\mloader32.dll

O23 - Service: Licencia del cliente CA (CA_LIC_CLNT) - Computer Associates - C:\Archivos de programa\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: Servidor de licencias CA (CA_LIC_SRVR) - Computer Associates - C:\Archivos de programa\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Event Log Watch (LogWatch) - Logitech, Inc. - (no file)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe





Gracias!!

[msc hotline sat]

Arranque en modo seguro, lance el HJT marque estas claves y eliminelas con FIX:



O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)



O23 - Service: Event Log Watch (LogWatch) - Logitech, Inc. - (no file)





y lance esta utilidad:





ELIAUTOR.EXE

http://www.zonavirus.com/datos/descargas/231/ELIAUTOEXE.asp





y tras reiniciar, lance un windowsupdate y comentenos el resultado, gracias



saludos



ms, 6-3-2006

[Javier AJ]

He entrado en modo seguro y he eliminado con HJT una de las claves (la O3), pero la otra (O23) no se elimina aunque lo he probado repetidas veces.



He pasado ELIAUTOREXE y aparte de eliminar algunas comparticiones de carpetas ya no válidas, no ha hecho nada más.



Sigue con la pantallita de NT Authority y el bloqueo, así que el windowsupdate se queda colgado.



Gracias!!

[msc hotline sat]

Esta 023 es una aplicacion de Logitech, que no llama a ningun fichero, propio de un spyware oculto, que debe tratar de eliminar, vea si desactivamdo la restairacion de sistema, ademas de arrancar en modo seguro, lo logra.



Y con el ELIAUTOR se han corregido las claves que indica Microsoft a tal efecto:



http://support.microsoft.com/?scid=kb;EN-US;Q318447



Y una vez corregido, si con ello no se ha resuelto el problema, cabe probar REPARAR el sistema



Para ello sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate



Voy a repasar mas a fondo el log...



Elimina esta otras dos claves que es de un ALEXA:



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



Son instaladas por Microsoft, pero eliminalas...



Luego veo dos DLL en el WINLOGON 020 que pueden contener algo escondido, Envianoslas empaquetadas en un ZIP con password VIRUS anexadas a un mail dirigido a zonavirus@satinfo.es en cuyo texto indiqyes la referencia "REF 2WINLOGON"



Los ficheros correspondientes son:



C:\WINDOWS\SYSTEM32\ldr64.dll



C:\WINDOWS\SYSTEM32\mloader32.dll



Tras recibirlas las analizaremos y te informaremos al respecto, posiblemente implementaremos su eliminacion y control en nuestras utilidades hoy mismo



A ver si con ello se pueden luego eliminar la 023 y se arragla lo del NT Authority, pues cualquier residente malware puede incordiar al sistema



saludos



ms, 6-3-2006

[Javier AJ]

Con ELIAUTOR se han corregido las claves de Shared.



He limpiado el registro de las claves señaladas (las de Alexa). He intentado REPARAR el Windows XP home desde el CD, y me dice que "el equipo está el proceso de actualización a Windows XP" y me da la opción de seguir con la instalación, de instalar de nuevo, o de arrancar la consola de recuperación. Si le digo que siga con la instalación, me dice que no encuentra los archivos temporales y que no puede seguir. Si le digo que arranque la consola, esta se arranca, pero no sé cómo seguir. Eso sí, he mirado un poco y con listsvcs y disable, he desactivado la clave O23 del registro que no se dejaba borrar.



El log ahora es:



Logfile of HijackThis v1.99.1

Scan saved at 5:18:18, on 06/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\Archivos de programa\Microsoft Office\Office10\msoffice.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Documents and Settings\Papa\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://matrix.cscamaras.es:8080/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Mujer Activa - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnlineX Control) - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F64E035-79B8-4C39-8095-721C6B427835}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS1\Services\Tcpip\..\{3F64E035-79B8-4C39-8095-721C6B427835}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CS2\Services\Tcpip\..\{3F64E035-79B8-4C39-8095-721C6B427835}: NameServer = 194.179.1.100,194.179.1.101

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll

O20 - Winlogon Notify: mloader32 - C:\WINDOWS\SYSTEM32\mloader32.dll

O23 - Service: Licencia del cliente CA (CA_LIC_CLNT) - Computer Associates - C:\Archivos de programa\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: Servidor de licencias CA (CA_LIC_SRVR) - Computer Associates - C:\Archivos de programa\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



En todo caso, el sistema sigue fallando igual y se reinicia con nt authority.



Por otra parte, os envío por email los archivos WINLOGON que me pedís. A ver si de ahí sale algo...



Muchas gracias

[msc hotline sat]

Tan pronto lleguen los tecnicos de la web de comer, en 45 minutos, se procederá a la monitorizacion de los ficheros en cuestion y seguro que encontraremos la causa.



Mientras, lanza un windowsupdate, pues te faltan todos los parches del SP2 y porteriores!!!



Esta misma tarde te diremos algo



saludos



ms, 6-3-2006

[msc hotline sat]

recibidas las muestras, el LDR64.DLL es un downloader y la otra posiblemente es el malware descargado.



Las 2 DLL son malwares



Seguirenos informando. Estamos en ello



saludos



ms, 6-3-2006

[Javier AJ]

Gracias!! Estoy ansioso!!



Mientras...no puedo lanzar el windowsupdate...se sigue "colgando" con la pantallita de NT Authority...



Saludos

[msc hotline sat]

Han resultado ser variantes del Bagle. Descarga la nueva version del ELIBAGLA, que acabamos de subir a la web, luego arranca en modo seguro y lanzala





ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp



y tras reiniciar, nos comentas el resultado, gracias



saludos



ms, 6-3-2006

[Javier AJ]

[b]IMPRESIONANTE!!!! [/b]



He pasado el ELIBAGLA, ha detectado el gusano y lo ha reparado todo. Aparentemente todo está funcionando con normalidad. Me he lanzando a hace windowsupdate y llevo más de 37 actualizaciones descargadas, y ahora empiezo con el SP2.



Por favor, dadme un par de horas antes de dar el tema por resuelto para que os confirme que todo está de nuevo OK.



Gracias infinitas. Sois los mejores!!! (me estoy inflando a clickar en los vínculos de publicidad de la web....)



En cuanto esté todo os lo confirmo

[msc hotline sat]

Pues lo celebramos, y por supuesto esperamos nos confirme la total eliminacion para proceder a darlo por solucionado



Hasta entonces



saludos



ms, 6-3-2006

[Javier AJ]

Pues efectivamente, parece que todo está bien. He podido actualizar XP a SP2 y todos sus parches, he instalado el Norton sin problema y estoy haciendo un escaneo completo del sistema.



Por si puede servir de referencia para otros usuarios, he descubierto algo que quizá esté en el origen de todo. Al parecer, un hijo mío (sí, ya soy un cuarentón..) descargó de emule un zip llamado



TuneUp_Utilities_2004_v4.1.2312_Incl_Keygen-PARADOX



El tal ZIP incluía un crack.exe que mi hijo ejecutó, aunque no consiguió instalar el TuneUp. O sea, que ahí puede estar -seguro- el origen del desastre.



Quizá como el Norton estaba "raro" (creo que por lo de Microsoft Antispyware, os paso el link de una noticia en un medio digital

[url]http://www.libertaddigital.com/noticias/noticia_1276272010.html[/url]



no fue capaz de detectar nada. Ahora ya el Norton IS2006 se lo ha cargado fulminantemente de donde estuvo.



Otra cosa: no sé si con tano intento de instalar SP2 o los antivirus diversos me habrá quedado mucha cosa inútil en el disco duro. ¿Me podéis recomendar algo para eliminar esas instalaciones fallidas?



Bueno, no tengo palabras para agradeceros vuestros consejos y sobre todo vuestra disposición y agilidad. Gracias y enhorabuena por vuestro trabajo.



Un saludo y a vuestra disposición.

[msc hotline sat]

Gracias por el link, es una noticia del mes pasado, y a diario hay falsos positivos entre anti¡virus. nuestras utilidades son tambien consideradas virus por algunos de ellos :lol: :lol: :lol:



Y satisfechos por lo indicado, damos por solucionado el problema y procedemos a cerrar el Tema



saludos



ms, 6-3-2006



NOTA: Y MUCHO CUIDADO CON LOS CRACKS !!!