Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: cmunozm en 13 de Mayo de 2004, 06:22:22 pm
-
Pues bien, si el Sasser hace que se te reinicie el ordenador continuamente, a mi me ocurre todo lo contrario, cuando le doy al botón de apagar, en las opciones disponibles, no me sale ni reiniciar, ni apagar sistema. Estoy ya desesperado, porque además, entrando con la cuenta de administrador, me dice que no tengo privilegios para instalar dispositivos. Entiendo que algo me ha modificado el registro desactivando los privilegios del administrador, pero no encuentro por ningún lado la solución. Tengo un Windows 2000
-
Con el permiso de los presentes me lo llevo a Spyware para analizar. Si no es, lo devuelvo... ;)
-
Haz lo que debas, sinceramente es que no se si es un Spyware (que puede serlo) o qué. Gracias por tu preocupación.
-
Por favor, de mis enlaces en la firma bajate el Ad-aware y actualizalo haciendo un click en el icono del Globo terráqueo y siguiendo las instrucciones. El último archivo de referencia es el 01R303, que es lo que tiene que sugerirte el programa.
Realizá un escaneo full con el Ad-aware como se indica en http://www.daboweb.com/phpBB2/viewtopic.php?t=2443, y luego publicá los resultados (el log) aquí mismo. El log lo vas a encontrar en el directorio C:\Archivos de programa\Lavasoft\Ad-aware 6\Logs, y tiene en su nombre fecha y hora de escaneo. Lo abrís y lo copiás íntegro aquí. Puede que te demande más de un post, tenés que fijarte cada vez si terminó de copiarse.
Espero tu respuesta.
-
Querido amigo, paso a postearte los logs del AdWare. Son dos porque hice un scan sin actualizar el programa.
Me sorprende que me haya encontrado tantas cosas porque suelo ejecutar con frecuencia el software "Spybot" y no me encontraba nada.
Te dejo los links para no hacer el post demasiado extenso.
http://213.96.114.133/lava/log1.txt
http://213.96.114.133/lava/log2.txt
También voy a postearte un par de capturas de la configuración del Ad-Ware puesto que no me ha permitido seleccionar todas las opciones que comentabas en las instrucciones. Lo pongo por si pudiera ser relevante.
(http://213.96.114.133/lava/cap1.jpg)
(http://213.96.114.133/lava/cap2.jpg)
Un saludo y gracias de nuevo.
-
Sin entrar en discusiones sin sentido, a mi no me sorprende dado que el SB llevaba tiempo sin actualizarse, mientras que el Ad-aware viene con una frecuencia de actualizaciones muy alta.
Me supongo que lo hallado en el segundo log también lo has puesto en cuarentena (o eliminado). Si no es así, podés hacerlo.
Ahora vas a bajar el HijackThis de http://www.spywareinfo.com/~merijn/files/HijackThis.exe, que es la última versión. Ponelo en su propia carpeta, por ejemplo C:\HijackThis, abrilo y presioná Scan. Una vez que haya terminado presioná Save log, guardá el log en la misma carpeta del HT y copialo y pegalo aquí, completo.
Espero tu respuesta.
-
Pues si es cierto lo que dices, creo que me pasaré al Ad-Ware, puesto que parece evidente sus mejores resultados.
Aquí tienes el log del Hijack. He eliminado todas las entradas del Ad-Ware, pero del Hijack espero que me digas algo.
Un saludo.
Logfile of HijackThis v1.97.7
Scan saved at 10:29:18, on 14/05/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\System32\LXSUPMON.EXE
C:\WINNT\system32\lexpps.exe
C:\WINNT\system32\internat.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\MailWasher Pro\MailWasher.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
D:\mail\Calypso3\Calypso.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrador.CEREBRITO\Configuración local\Archivos temporales de Internet\Content.IE5\C0IALY07\HijackThis[1].exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iblnews.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ibrujula.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil (HKLM)
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... (HKLM)
O9 - Extra button: Referencia (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: PILLS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38097.3095949074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F9D0E0-3EFD-41AE-B9F2-932D91115B99}: NameServer = 195.235.113.3,195.235.96.90
-
Yo lo veo límpio...
¿Fuiste a Microsoft a ver qué hay? Por mi parte dame un ratito que voy a averiguarte lo que sea.
-
Después de limpiar los registros con el Adware, ya puedo apagar el ordenador, pero sigo sin permisos en las cuentas que tienen privilegios administrativos.
-
Entonces, al menos en lo que respecta al cierre de la máquina SÍ era un problema de malware. Ya comenté esto, estoy esperando una respuesta por lo otro. Tal vez me hagan algunas preguntas, así que en cuanto las tenga las publico.
A mi me sucede algo "similar": cada vez que quiero cerrar la máquina, debo hacerlo DOS veces. La primera cierra algunos programas y se detiene. Con la segunda termino de cerrar todo... :shock:
-
Bueno, eso que dices que te pasa, a mi me ha ocurrido alguna vez, pero la verdad es que lo achacaba a un fallo del Windows, como ya sabemos lo bien que funciona... En fin, si averigüas algo te lo agradeceré mucho.
-
Bueno, acá tengo una respuesta del usuario appetiser, en los foros de soporte de Lavasoft:
Open Control Panel, open Administrative Tools, double click on Local Security Policy Object
This will launch a MS management console window. Navigate in this window on the left hand side to local policies then user rights assignment. click on this and in the window on the right scroll down to Load and unload device drivers
Make sure that the administrators group is authorized to do this. If not double click on this and click the add user or group to add the appropriate entry.
if you can not find local security policy object under control panel use the run command and enter secpol.msc
Ahora la voy a traducir, pero por las dudas la comenté en su versión original así no quedan dudas acerca de su contenido.
Abrí el Panel de Control, allí abrí Herramientas Administrativas, doble click en el objeto Políticas de Seguridad Local
Esto lanzará la ventana de la consola de administración de MS. Navegá en esta ventana a la izquierda hasta políticas locales, luego asignación de derechos de usuario. Hacé click en este y en la ventana de la derecha bajá hasta Cargar y descargar dispositivos
Asegurate que el grupo de administradores esté autorizado a hacer esto. Si no hacé doble click en este y click en agregar usuario o grupo para agregar la entrada apropiada.
Si no podés encontrar el objeto Políticas de Seguridad Local en el panel de control usá el comando Ejecutar... y entrá secpol.msc (+ Enter).
A ver si esto funciona...
-
Querido amigo, fué esa la solución. Todo funcionando correctamente.
1000 gracias y espero que este post sirva a otros que les pueda ocurrir lo mismo, que me consta no he sido el único.
-
hola:
Me alegro que lo solucionases cmunozm.
Desde luego la cadena no tiene desperdicio. Vaya currada y vaya paciencia amigos...
Un saludo
-
¡Me alegra que lo hayas solucionado! :D
A propósito, appetiser ahora es LavaXpert (fue "ascendido" ;) )...
-
A propósito, appetiser ahora es LavaXpert (fue "ascendido" )
Transmítele nuestras felicitaciones Fats.
Un saludo