Tema: Mi ordenador no se apaga

[cmunozm]

Pues bien, si el Sasser hace que se te reinicie el ordenador continuamente, a mi me ocurre todo lo contrario, cuando le doy al botón de apagar, en las opciones disponibles, no me sale ni reiniciar, ni apagar sistema. Estoy ya desesperado, porque además, entrando con la cuenta de administrador, me dice que no tengo privilegios para instalar dispositivos. Entiendo que algo me ha modificado el registro desactivando los privilegios del administrador, pero no encuentro por ningún lado la solución. Tengo un Windows 2000

[FatsGordon]

Con el permiso de los presentes me lo llevo a Spyware para analizar. Si no es, lo devuelvo...

[cmunozm]

Haz lo que debas, sinceramente es que no se si es un Spyware (que puede serlo) o qué. Gracias por tu preocupación.

[FatsGordon]

Por favor, de mis enlaces en la firma bajate el Ad-aware y actualizalo haciendo un click en el icono del Globo terráqueo y siguiendo las instrucciones. El último archivo de referencia es el 01R303, que es lo que tiene que sugerirte el programa.

Realizá un escaneo full con el Ad-aware como se indica en http://www.daboweb.com/phpBB2/viewtopic.php?t=2443, y luego publicá los resultados (el log) aquí mismo. El log lo vas a encontrar en el directorio C:\Archivos de programa\Lavasoft\Ad-aware 6\Logs, y tiene en su nombre fecha y hora de escaneo. Lo abrís y lo copiás íntegro aquí. Puede que te demande más de un post, tenés que fijarte cada vez si terminó de copiarse.

Espero tu respuesta.

[cmunozm]

Querido amigo, paso a postearte los logs del AdWare. Son dos porque hice un scan sin actualizar el programa.

Me sorprende que me haya encontrado tantas cosas porque suelo ejecutar con frecuencia el software "Spybot" y no me encontraba nada.

Te dejo los links para no hacer el post demasiado extenso.
http://213.96.114.133/lava/log1.txt
http://213.96.114.133/lava/log2.txt

También voy a postearte un par de capturas de la configuración del Ad-Ware puesto que no me ha permitido seleccionar todas las opciones que comentabas en las instrucciones. Lo pongo por si pudiera ser relevante.




Un saludo y gracias de nuevo.

[FatsGordon]

Sin entrar en discusiones sin sentido, a mi no me sorprende dado que el SB llevaba tiempo sin actualizarse, mientras que el Ad-aware viene con una frecuencia de actualizaciones muy alta.

Me supongo que lo hallado en el segundo log también lo has puesto en cuarentena (o eliminado). Si no es así, podés hacerlo.

Ahora vas a bajar el HijackThis de http://www.spywareinfo.com/~merijn/files/HijackThis.exe, que es la última versión. Ponelo en su propia carpeta, por ejemplo C:\HijackThis, abrilo y presioná Scan. Una vez que haya terminado presioná Save log, guardá el log en la misma carpeta del HT y copialo y pegalo aquí, completo.

Espero tu respuesta.

[cmunozm]

Pues si es cierto lo que dices, creo que me pasaré al Ad-Ware, puesto que parece evidente sus mejores resultados.

Aquí tienes el log del Hijack. He eliminado todas las entradas del Ad-Ware, pero del Hijack espero que me digas algo.

Un saludo.

Logfile of HijackThis v1.97.7
Scan saved at 10:29:18, on 14/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\System32\LXSUPMON.EXE
C:\WINNT\system32\lexpps.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\MailWasher Pro\MailWasher.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
D:\mail\Calypso3\Calypso.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrador.CEREBRITO\Configuración local\Archivos temporales de Internet\Content.IE5\C0IALY07\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iblnews.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ibrujula.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil (HKLM)
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... (HKLM)
O9 - Extra button: Referencia (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: PILLS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38097.3095949074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F9D0E0-3EFD-41AE-B9F2-932D91115B99}: NameServer = 195.235.113.3,195.235.96.90

[FatsGordon]

Yo lo veo límpio...

¿Fuiste a Microsoft a ver qué hay? Por mi parte dame un ratito que voy a averiguarte lo que sea.

[cmunozm]

Después de limpiar los registros con el Adware, ya puedo apagar el ordenador, pero sigo sin permisos en las cuentas que tienen privilegios administrativos.

[FatsGordon]

Entonces, al menos en lo que respecta al cierre de la máquina SÍ era un problema de malware. Ya comenté esto, estoy esperando una respuesta por lo otro. Tal vez me hagan algunas preguntas, así que en cuanto las tenga las publico.

A mi me sucede algo "similar": cada vez que quiero cerrar la máquina, debo hacerlo DOS veces. La primera cierra algunos programas y se detiene. Con la segunda termino de cerrar todo... :shock: