llamada a procedimiento remoto??? ("SOLUCIONADO")

ahi · Mensaje por **ahi** » 04 Nov 2006, 23:56

otro problema :roll: :roll: :roll: . a ver como os explico....

ya hace unos dias me ha salido un mensaje de que el sistema se va a apagar:sale una ventana que tiene como titulo "apagar sistema" y que no se puede cerrar que me dice que guarde todo y me da 60 segundos para guardar. debajo sale un cuadro en el que pone: el sistema se debe reiniciar por que la llamada a procedimiento remoto(rpc)ha acabado inesperadamente. mientras estaba en la cuenta atras el firewall me dice que "services.exe" esta intentandose conectarse a internet. la bloquee en vista a ser el posible virus. ya me ha salido varias veces y me preocupa lo que pueda ser. tambien quiero saber si he hecho bien en bloquear "servicer.exe"

ahi · Mensaje por **ahi** » 04 Nov 2006, 23:59

ahora pego el log del hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 23:02:57, on 04/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\services.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\eMule\emule.exe

C:\Documents and Settings\alferes\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159800508889

O17 - HKLM\System\CCS\Services\Tcpip\..\{14132F41-BA1B-4CD4-A341-FBE108E83A6B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2BBF45-C93D-4D5B-B363-F4794B125964}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{93638915-4170-4DDF-9B2C-B5DB9D1DF2CE}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{D695021A-337C-41B2-A8CE-5B5F04EC8C3B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{DEE6E860-58D4-4FB8-89A5-63B3ED0E607A}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{14132F41-BA1B-4CD4-A341-FBE108E83A6B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{14132F41-BA1B-4CD4-A341-FBE108E83A6B}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth System Drivers (Btsdriv) - Unknown owner - C:\WINDOWS\system32\btsdriv.exe (file missing)

O23 - Service: Services an controller settings - Unknown owner - C:\WINDOWS\services.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: Network Provision Managing Service (xmlprovman) - Unknown owner - C:\WINDOWS\system32\provsvc.exe (file missing)

Mensaje por **msc hotline sat** » 05 Nov 2006, 09:24

De entrada lo que dices de "tambien quiero saber si he hecho bien en bloquear "servicer.exe"

correcto, pues de "servicer" no ha de haber ninguno--- otra cosa es services... aunque los hay malwares

Voy a ver el log:

Le faltan parches de microsoft: Faltan todos los del SP2 y posteriores- Lance windowsupdate !!!

Al no estar en la carpeta de sistema, este puede ser un troyano

C:\WINDOWS\services.exe

Envienos muestra del muismo

y puede eliminar estas claves:

O23 - Service: Services an controller settings - Unknown owner - C:\WINDOWS\services.exe

recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Pero lance el ELITRIIP que seguramente ya se lo detectará y eliminará: (posiblemente sea un PRORAT, pero el AVAST y el SuperAntispyware que tiene instalado, se estan luciendo !)

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 5-11-2006

ahi · Mensaje por **ahi** » 05 Nov 2006, 10:59

a ver... cuando dije "servicer.exe" queria decir "services.exe" pero no el del sistema sino el de la carpeta WINDOWS. que ya he eliminado por completo. quisiera saber si con eso ya he acabado con el problema de el apagado del sistema.

Mensaje por **msc hotline sat** » 05 Nov 2006, 11:27

No se puede saber sin analizar la muestra pedida.

El nombre del fichero no conlleva que su contenido haya de ser el que suponemos, por esto pedimos muestras y luego implementamos las cadenas de deteccion en nuestras utilidades, y si las encuentran dentro de los ficheros, bingo !

Si la has eliminado con el ELITRIIP, ya habra corregido la clave correspondiente, sino hazloi a mano, conforme indicado.

Y siempre es mejor eliminar los bichos con las utilidades porque si los detectan, señal que las hemos analizado, y las claves expuestas en el HJT son una minima parte del registro, y las que modifican los bichos que no se ven, como la qie impide ña avyualizacion del windowsupdate, o restringen ejecucion de ejecutables o desactivan residentes de seguridad... estas no las corriges con el HJT...

Si no lo has hecho, lanza el ELITRIIP, hará lo que sepa que tenga que hacer, aunque no informemos de ello

saludos

ms. 5-11-2006

ahi · Mensaje por **ahi** » 05 Nov 2006, 15:13

a ver parece ser que yo no veo el programa pero sigue ahi así que os mando muestras(me lo pidió el ELITRIIP) y su log:

Sat Nov 04 22:11:50 2006

EliTriIP v2.70 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

ALERTA. WindowsUpdate Incompleto.

Sun Nov 05 14:12:29 2006

EliTriIP v2.70 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SERVICES.EXE.Muestra EliTriIP v2.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

ALERTA. WindowsUpdate Incompleto.

ya me direis si es malicioso o no

actualizacvion: no me lo deja enviar porque dice que tiene un virus.(que razon lleva)

ahi · Mensaje por **ahi** » 05 Nov 2006, 15:28

ahora he visto otro programa (localizado por el firewall que tambien se intenta conectar) llamado "iexplore.exe" y situado en "C\WINDOWS" que debo hacer???

ahi · Mensaje por **ahi** » 11 Nov 2006, 23:14

un poco de informacion util.(despues de algun tiempo investigando). a ver tengo 4 procesos "svchost.exe". de los cuales uno de ellos se me lleva el 98 o 99 % de la cpu. y que no deja de llevarse esa memoria auque desconectes de internet. si lo intento terminar me sale el mensaje por el cual empezé el tema. voy a ver cual es su direccion e intentar eliminarlo (siempre y cuando sea falso) en el inicio del sistema. ya os contaré.

Mensaje por **msc hotline sat** » 12 Nov 2006, 09:20

El SVCHOST lanzado desde la carpeta de sistema es el lanzador de tareas de windos y es normal que haya varios

Y tambien es "normal" lo que dices del uso de CPU al 90 % por falta de parches !!!

Actualiza con un windowsupdate

saludos

ms, 12-11-2006

nota: mientras el ELISTARA y el ELITRIIP te digan "ALERTA. WindowsUpdate Incompleto" faltará un windowsupdate ...

ahi · Mensaje por **ahi** » 12 Nov 2006, 16:38

uff como si fuese tan facil ya tengo un tema abierto al respecto. no puedo actualizar. de todas formas el mensajede llamada a procedimiento remoto ya lo he arreglado: lo primero que he hecho ha sido abrir en inicio/ejecutar y teclear "services.msc" cuando se ha abierto el administrador de servicios he buscado "llamada a procedimiento remoto" y he cambiado en las propiedades que cuando ocurra un error no haga nada así que creo que ya esta todo solucionado.

Mensaje por **msc hotline sat** » 12 Nov 2006, 17:34

Solucionado cerrando los ojos para no ver y asi no enterarse ???

No lo veo asi, pero si tu lo consideras solucionado, procedemos a cerrar el Tema

Cuando puedas ACTUALIZA LOS PARCHES CON UN WINDOWSUPDATE

saludos

ms, 12-11-2006