wuauclt.exe ha detectado un problema y debe cerrarse

[SoyElRiChO]

Bueno, como su nombre indica, este archivo: wuauclt.exe me da constantes problemas y me sale cada pocos segundos otra ventana de errores de este archivo.



Me he asesorado, es un archivo de actualizaciones automáticas de windows pero su tamaño no corresponde con el original con lo que probablemente sea una infección de troyano.



Lo he intentado borrar de mil formas pero nada, vuelve a estar siempre....



Intenté reinstalar los parches de microsoft desde windows update pero me era imposible.



¿Hay alguna forma de eliminar ese virus? He pensado en realizar una recuperación del sistema pero supongo que el problema persistirá...



A ver si me asesorais un poco que estoy harto del problemilla este...



Gracias por vuestra labor, un saludo :wink:

[lucl]

Hola Elricho, supongo que probaste desactivando la casilla de restaurar sistema y pasando el antivirus, si no lo hiciste, y tienes opcion de conectar a internet en modo seguro con funciones de red, prueba a hacerlo pasando este antivirus online recomendado por el foro



https://www.virustotal.com/es/



ademas prueba este otro si no es en modo seguro con funciones de red, en modo normal, supuestamente te localiza todos los bichos que tienes activos al momento



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



ademas prueba los "elis" en modo seguro



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp



dinos si te encuentran algo, y peganos el log de elistara y elitriip que te dejara en C , infosat.txt, si no te encuentran nada ya pasaremos el hijackthis pero de momento procede con eso, saludos.

[SoyElRiChO]

Hola!



Gracias Lucl, tu ayuda me ha servido de mucho :wink:



De momento he pasado Elistara y Elitrip y he conseguido eliminar algun que otro gusano...



Pronto haré las demás cosas que me has indicado. Ahora mismo estoy realizando un chequeo completo desde página de nanoscan. Después de registrar el pc, no ha encontrado nada, sin embargo, ahora estoy haciendo otro con el totalscan (que es mas completo) y va por 20% y ya lleva 190 intrusiones víricas!!

Aunque parecen permanecer de forma pasiva....



Por cierto, tengo una duda, al pasar el elitrip y el elistara, el porcentaje de ficheros analizados es el 20% aproximadamente del total. Es decir, resumiendo, me pone esto:



[img]http://img164.imageshack.us/img164/5215/zonaviruskf1.gif[/img]





Otra duda, ¿cómo puedo pasar internet en modo seguro?



Es que me has pillao en frio xD



Saludos y gracais de nuevo :lol:

[lucl]

Hola elricho, lo de los porcentajes es normal , tranquilo, y en cuanto a conectarte en modo seguro con funciones de red , lamentablemente solo puedes hacerlo si tienes router, asi que si usas modem pues no puedes. :roll: pero bueno, si el nanoscan ya te ha encontrado un monton de cosas pues adelante, lo unico peganos el log o copialo o incluso haz una captura para que veamos que te ha encontrado , saludos

[msc hotline sat]

Aclaro que con las utilidades solo analizamos los ficheros donde pueden haber los malwares, para ir mas rapidos, y fichero con extensiones no ejecutables o no procedentes, se evita analizarlos, pues si asi solo hemos analizado un 20 %, hubieramos tardado 5 veces mas en analizar el 100 % , total para nada...



Y si lo que detecta el TotalScan son cookies, no tiene n importancia, aunque sean relativas a procesos viricos. Prueba de eliminarlas facilmente con el ELITEMPO:





ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



saludos



ms, 15-04-2007

[SoyElRiChO]

ok, muchas gracias a ambos. Ahora en seguida paso el ELITIEMPO.



Aquí teneis una muestra de mi enorme zoo de virus:



[img]http://img257.imageshack.us/img257/6642/zoodevirusbq2.gif[/img]



Como veis, hay uno que aparece bastante extendido y que se encuentra en estado activo.... que mala pinta.... :?



Aqui teneis también los informes tanto de ELISTARA como de ELITRIP que pasé el viernes:



Fri Apr 13 22:18:31 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\MOTABA.HTA --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Fri Apr 13 22:19:11 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Apr 13 23:43:10 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Apr 13 23:43:33 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





Como veis, me faltan parches pero siempre aparece "WindowsUpdate incompleto". He observado una carpeta residente en mi disco duro sospechosa de ser algun malware. El elistara y el elitrip no tienen acceso a ella, y por mas que lo intento esa carpeta no desaparece, he probado recuperando el sistema pero nada, la muy ****** persiste....



Tiene como nombre:2d1ae1ee7d0d59e1decde77b8a8c



Y en su interior tiene otras dos carpetas, ambas con acceso denegado:



- 111b7b71afce1d843e5f



- Update



¿Es algo sospechoso no? ¿Qué me recomendais hacer?



Saludos y gracias de nuevo por vuestra incesable ayuda :wink:

[lucl]

Yo creo que no sea sospechoso, mide mucho? donde la tienes? cuentanos, y dinos que ha echo elitempo, saludos

[SoyElRiChO]

Sí, puede que tengas razón, ya que la carpeta ocupa 0 bytes y las 2 que tiene en su interior parece que se encuentran vacías (a pesar de no tener acceso a ellas). Se encuentra, como ya he dicho, en el disco duro, en "C\:"



El Elitiempo únicamente me ha borrado los archivos temporales de IE. Al realizar ese proceso la barra se llenaba y no ocurría nada más...



Gracias por todo chicos :wink:



EDITO: Por faltas ortográficas... :roll:

[lucl]

una cosa elricho, pasaste el elistara tambien? no nos pegaste el log, hazlo y veamos que te han echo, ademas te faltan parches importantes, buscalos aqui



https://support.microsoft.com/es-es/help/12373/windows-update-faq



saludos

[SoyElRiChO]

No sé que pasa pero la dirección que me has dejado no me funciona.... se me queda la ventana en blanco y he de finalizar tarea en la aplicación ante la imposibilidad de cerrar la ventana...



Totalmente, ya sabía la ausencia de parches importantes en mi pc, pero nunca he podido ponerlos....Lo he intentado desde la pagina de microsoft de windows update pero nada.... :roll:



Estoy desesperado con el PC... :cry:



Por cierto Lucl, llamame mejor Richo en vez de ElRicho, aunque si te gusta más ElRicho no problemo :wink:

[lucl]

Hola richo, pues es que si no tienes el windows original, jamas se te actualizara, supongo que no puedes acceder a ella porque se "atasque" , validaste windows?

intenta hacerlo desde aqui y proseguimos



https://support.microsoft.com/es-es/help/15087/windows-genuine



es que son MUY importantes los que te faltan :roll: saludos



ah y sigues sin ponernos el log de elistara....

[SoyElRiChO]

Gracias lucl



Ya he validado el windows update pero el problema persiste, la página sigue resistiendose a ser mostrada...



Aqui tienes el informe de ELISTARA



Mon Apr 16 11:31:23 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Mon Apr 16 11:31:40 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





Saludos :wink:

[lucl]

Probemos con elitriip, y si no tienes antiespias instalate el spybot, lo actualizas y lo pasas, y nos cuentas, te dejo links, saludos





http://www.zonavirus.com/descargas/elitriip.asp





http://www.zonavirus.com/descargas/spybot-sd.asp

[SoyElRiChO]

Gracias, pero parece que hay otro problema con el spybot (maldtitos problemas...^^"). Consiste en la imposibilidad de actualizarlo. Le doy a actualizar y al buscar actualizaciones me aparece una ventana de error. Por ello, no tengo ninguna actualización en la lista y no puedo descargarlas....



Aqui está el informe de ELITRIP





Mon Apr 16 15:42:41 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Mon Apr 16 15:42:57 2007

EliTriIP v3.45 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Saludos :wink: !

[Nuker]

Posteanos un log de HijackThis, en Modo Normal, elijes "scan and save log file, copias contenido de carpeta y lo pegas aqui, una vez analizado informaremos. Saludos.



HijackThis:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

[SoyElRiChO]

No sé si es esto lo que pedis pero ahí queda:



Logfile of HijackThis v1.99.1

Scan saved at 17:34:05, on 16/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

c:\Archivos de programa\Norton Internet Security\ISSVC.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

c:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\rundll32.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\dwwin.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\dwwin.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\COMPAQ~1\CONFIG~1\Temp\HijackThis.exe

c:\archivos de programa\internet explorer\iexplore.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [ccApp] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [L06EXLRD_1655531] "C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: SMC2862W-G EZ Connect g 802.11g Wireless USB Utility.lnk = C:\Archivos de programa\SMC\SMC2862W-G EZ Connect g 2.4Ghz 802.11g Wireless USB 2.0 Adapter\SMCWGUTI.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascinstie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172173848078

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1172173828500

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe



Saludos y gracias, estais ayudando a mucha gente :wink: y os lo agradecemos :D

[SoyElRiChO]

No sé por qué pero me ha posteado doble (se ha repetido mi último mensaje) aprovecho para decir que antes de que comenzara a postear en este foro, ya intenté poner los parches que me faltan pero ocurria esto:



[img]http://img179.imageshack.us/img179/9886/problemaparcheszk5.gif[/img]



Ahora ni siquiera puedo entrar en la página de windows update :cry: . En fin, tan solo era un apunte más, por si os sirve de algo...



Muchas gracias por todo, saludos :wink:

[Nuker]

Antes que nada tiene 2 Antivirus en su sistema, Avast! y Norton, desinstale uno para un mejor rendimiento de maquina, ya que el tener 2 antivirus crean conflictos entre si haciendo mas uso de memorioa y con eso lentitud.



...............



Por otro lado esta infectado con un troyano y este accesa por una vulnerabilidad, falta de parches. el virus se copia con el nombre lsasss.exe y el original debe ser lsass.exe vease en esta clave:



O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\[b]lsasss.exe[/b]



Este virus es controlado con EliStara, pero al parecer no fue detectado, lo que hará sera lo siguiente:



Eliminar esta clave en Modo Seguro, la eliminara con un Fix Checked) para esto marca la casilla de la clave:



O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe



Y luego le da Fix Checked, parte inferior.



Una vez eliminada, la envia para estudiarla, para localizarla siga la ruta:



C:\WINDOWS\system32\[b]lsasss.exe [/b]



Una vez localizada siga las instrucciones como se le indica aqui:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y una vez enviado renombrara el fichero a .vir, para esto localiza el fichero "lsasss.exe" hace click derecho sobre el, renombrar, y cambia la terminacion exe por. vir mientras sale la nueva version que controlara y eliminara el virus. Reinicia y nos comenta, se le recuerda que puede estar oculto el fichero para desocultar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Y tiene que hacer un Windows Update lo antes posible ya que eliminado el virus pero usted sin parches se le volvera a colar. Vea si renombrando el fichero lo deja accesar. Saludos.

[SoyElRiChO]

[quote="Nuker"]Eliminar esta clave en Modo Seguro, la eliminara con un Fix Checked) para esto marca la casilla de la clave:



O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe



Y luego le da Fix Checked, parte inferior. [/quote]

Perdón pero como no sé mucho aún de ordenadores no entendí bien esta frase. Mi duda es lo del Fix Checked, ¿qué es? Y, ¿el modo seguro, se realiza apretando a F8 antes del inicio del sistema no?



Espero respuesta



Un saludo, muchas gracias :wink:

[lucl]

debes usar el hijackthis para hacer fix cheked, en el log que te sale al ejecutarlo, no en el de bloc de notas, si no en el otro, abajo a la izda como te indica nuker veras fix cheked, seleccionas la clave primero y luego le pulsas ahi , eso si, arranca mejor en modo seguro para su total eliminacion, saludos



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[SoyElRiChO]

ok, ya he hecho esa parte y la eliminación de la entrada parece haver sido exitosa.


[quote="Nuker"]Una vez localizada siga las instrucciones como se le indica aqui:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y una vez enviado renombrara el fichero a .vir, para esto localiza el fichero "lsasss.exe" hace click derecho sobre el, renombrar, y cambia la terminacion exe por. vir mientras sale la nueva version que controlara y eliminara el virus. Reinicia y nos comenta, se le recuerda que puede estar oculto el fichero para desocultar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Y tiene que hacer un Windows Update lo antes posible ya que eliminado el virus pero usted sin parches se le volvera a colar. Vea si renombrando el fichero lo deja accesar. Saludos.[/quote]

Me funciona mal el explorador y no puedo acceder a mi cuenta de hotmail para enviarlo... ¿Hay alguna otra forma de enviarlo?

¿Es imprescindible enviarlo antes de cambiarle el formato al archivo o puedo hacerlo sin havéroslo enviado? ¿Todo esto lo hago en modo a prueba de fallos o en modo normal?



Por cierto, supongo que el sistema operativo será así pero he encontrado dos archivos semejantes en esa ruta, uno creado hace poco (el troyano) y otro que supongo que no tendrá nada que ver pero bueno, por si os sirve de algo:



- lsass.exe -> Fecha de creación -> 20/8/2004 -> 13,0 KB

- lsasss.exe -> Fecha de creación: 28/3/2007 -> 36,8 KB



Perdonad todas mis dudas, estareis hartos de mi ^^"



Gracias por vuestra incesable labor :wink:

[lucl]

este no lo toques!! dejalo que es bueno



- lsass.exe -> Fecha de creación -> 20/8/2004 -> 13,0 KB

el otro mandalo, renombrale antes si quiers, pero intenta mandarlo, saludos

[Nuker]

Solo se puede enviar por Internet, si tiene Router, acceda a Modo Seguro con funciones de red para enviarlo, si no puede asi. Renombre el fichero antes de enviarlo y vea si puede acceder.



Y si, los virus son asi, tratan de confundir al usuario para que sigan ocultos y no sean detectables.



El renombrado puede ser hecheo en Modo normal o Modo Seguro, solo que tendra que reiniciar para ver efectos.



Saludos

[SoyElRiChO]

ok, muchas gracias a ambos!



Otra duda/problemilla


[quote="Nuker"]Y una vez enviado renombrara el fichero a .vir, para esto localiza el fichero "lsasss.exe" hace click derecho sobre el, renombrar, y cambia la terminacion exe por. vir mientras sale la nueva version que controlara y eliminara el virus. Reinicia y nos comenta, se le recuerda que puede estar oculto el fichero para desocultar: [/quote]

Al pinchar sobre renombrar, me aparece como nombre lsasss, sin la terminación .exe y no sé como cambiar la extensión ya que si añado . vir, el archivo se quedará así:



- lsasss.vir.exe



- ¿Cómo lo puedo hacer?



Saludos y muchísimas gracias!!! :lol: :lol:

[Nuker]

Ve si pinchando con click derecho y seleccionar propiedades en vez de cambiar nombre lo pudieras hacer.

Para eso te aparecera una ventana nueva (General) ahi te saldra el nombre del archivo y abajo te dira le tipo de archivo, ahi lo cambia a.vir Y te tendra que decir archivo tipo VIR como descripcion en vez de aplicacion. Pruebalo y nos dices.

[SoyElRiChO]

Me sale esto:



Tipo de archivo: Aplicación



Descripción: Lsasss



Pero no puedo cambiarle la extensión en ningún sitio.... :?:

[Nuker]

Arriba le sale un recuadro, ahi, aunque no le salga la terminacion exe cambielo a vir y diganos que le pone en tipo de archivo una vez cambiada.

[SoyElRiChO]

a... ok's, un malentendido, ahora sí, aparece: lsasss.VIR



Voy a reiniciar a ver que tal va esto



Saludos y gracias :wink:

[SoyElRiChO]

nada, ahora tipo de archivo aparece Aplicación de nuevo.... y los problemas persisten... :cry:



Gracias por todo :wink:

[lucl]

bueno tu trata de enviarlo igual richo, asi podremos ayudarte, no desesperes!! saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334