Urgente, Problema con sesiones

Foro referente al sistema operativo Windows XP
berti70
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 13 Abr 2009, 04:44
Contactar:

Urgente, Problema con sesiones

Mensajepor berti70 » 13 Abr 2009, 05:01

Hola, espero ser claro con mi relato: Se me presento un problema al iniciar tres de las cuatro sesiones que tengo en mi computadora. el sistema inicia perfecto hasta la pantalla con las cuatro sesiones, al entrar en una de las 3 sesiones que fallan el sistema me inicia con la apariencia de una sesion recien creada y crea carpetas de documentos nuevas. Creando en la carpeta de documentos and setting una carpeta de usuario nueva con el mismo nombre del usuario real y el agregado del nombre del equipo ejemplo noelia y la otra noelia-bh89c97. El sistema lo que realiza al abrir la sesion redigire a esta carpeta la cual he borrado, desde la sesion que funciona bien, pero al intentar abnir nuevamnete me vuelve a crear esa misma carpeta, por el momento corri varios antivirus pero el problema continua por lo que no se si es una falla del sistema o algun virus que no an detectado los antivirus. Quizas me serviria conocer que comando se encarga de realizar la tarea de crear esas carpetas y ver si esta infectado. Desde ya muchas gracias y espero su ayuda.

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Urgente, Problema con sesiones

Mensajepor Souto » 13 Abr 2009, 22:17

Bienvenido al foro.
Descarga de esta página
http://www.trendsecure.com/portal/en-US ... s/download
la aplicación "Trend Micro HijackThis". La instalas la ejecutas, pulsas sobre la pestaña "Do a system scan and save a logfile".
Rematada la comprobación, se abrirá un archivo de texto, lo seleccionas todo y lo pegas en este foro.


Saludos
Qui dove il mare luccica e tira forte il vento

berti70
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 13 Abr 2009, 04:44
Contactar:

Re: Urgente, Problema con sesiones

Mensajepor berti70 » 14 Abr 2009, 00:57

hola te paso el log de hijack espero te sea util y desde ya agradesco tu interes por el problema.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:00:28 p.m., on 13/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar imagen a biblioteca de fotos - file://C:\Archivos de programa\MGI\MGI PhotoSuite III SE\Temp\MGI00000.html
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Archivos de programa\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//k ... nicode.cab
O16 - DPF: {4A116A80-85B6-4299-A018-A717FD7AC66A} (AXIDMDCP Class) - http://video.wbla.com/cab/IDMFlash.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install ... stallX.CAB
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

--
End of file - 6162 bytes

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Urgente, Problema con sesiones

Mensajepor Souto » 14 Abr 2009, 11:07

El log , a mi entender, está limpio. Sin embargo el comportamiento del sistema sugiere la presencia de malware. Es por esto que te sugiero:
Descarga la versión trial de Malwarebytes
http://www.malwarebytes.org/
y realiza un análisis completo de tu equipo

Saludos
Qui dove il mare luccica e tira forte il vento

berti70
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 13 Abr 2009, 04:44
Contactar:

Re: Urgente, Problema con sesiones

Mensajepor berti70 » 15 Abr 2009, 18:37

hola souto, te paso y el log de mbam, te cuento que esto ya lo hice en un foro de spyware ya que no pudimos eliminar las entradas en los registros que se detallan en el log ademas en el log de spybot tengo un par de entradas mas, todas de fun webproducts y Adware.MyWebSearch. Luego me comenzo el problema de sistema que te cuento anteriormente con los usuarios y ahi me aconsejaron consultar en un foro de windows. Desde ya muchas gracias.


Malwarebytes' Anti-Malware 1.35
Versión de la Base de Datos: 1929
Windows 5.1.2600 Service Pack 2

15/04/2009 12:55:19 a.m.
mbam-log-2009-04-15 (00-55-09).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 229551
Tiempo transcurrido: 32 minute(s), 18 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 13
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2eff3cf7-99c1-4c29-bc2b-68e057e22340} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{53ced2d0-5e9a-4761-9005-648404e6f7e5} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7473d296-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d9fffb27-d62a-4d64-8cec-1ff006528805} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{0d26bc71-a633-4e71-ad31-eadc3a1b6a3a} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{3e720450-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{621feacd-8857-43a6-ae26-451d670d5370} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c8cecde3-1ae1-4c4a-ad82-6d5b00212144} (Adware.MyWebSearch) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Urgente, Problema con sesiones

Mensajepor Souto » 15 Abr 2009, 19:14

Quieres decir que el Malwarebytes no es capaz de meter en cuarentena esas entradas?

Copia en bloc de notas el texto que más abajo te pongo en azul. Guárdalo en Escritorio con cualquier nombre (Run, por ejemplo); pero antes de dar en Guardar como pulsa sobre Tipo para que en lugar de *.txt muestre Todos los archivos. Ahora, ya sí, lo guardas como Run.bat
Doble clic sobre ese archivo y se mostrará un texto. Cópialo y pégalo en el foro

C:\Windows\system32\reg.exe query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /s>>Run.txt
start notepad Run.txt



Saludos
Qui dove il mare luccica e tira forte il vento

berti70
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 13 Abr 2009, 04:44
Contactar:

Re: Urgente, Problema con sesiones

Mensajepor berti70 » 17 Abr 2009, 05:26

hola souto, disculpa que tarde pero el sistema me anda muy, mal no me dejaba pegar la linea de comando para crear el archivo .bat. Hoy despues recuperar el windows por lo menos me dejo copiar y pegar, pero el problema con los usuarios continua, te paso el resultado del archivo. Muchas gracias por la ayuda.

C:\Windows\system32\reg.exe query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /s>>Run.txt
start notepad Run.txt
! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
NBJ REG_SZ "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
swg REG_SZ C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Urgente, Problema con sesiones

Mensajepor Souto » 17 Abr 2009, 12:24

Arranca el equipo en "Modo seguro" (pulsar F8 nada más encenderlo, para que se muestren esas opciones). Arranca con la cuenta Administrador, pasa de nuevo el Malwarebytes y una vez concluido da en Eliminar detectados (ó lo que ponga, no lo recuerdo).

Saludos
Qui dove il mare luccica e tira forte il vento

berti70
Usuario linuxero
Usuario linuxero
Mensajes: 5
Registrado: 13 Abr 2009, 04:44
Contactar:

Re: Urgente, Problema con sesiones

Mensajepor berti70 » 17 Abr 2009, 19:39

hola souto, pase el mban escaner completo por primera vez en modo a prueba de fallo, elimine las entradas y despues hice un scan rapido y salen las salidas igualmente, te paso el log. Ademas ejecute nuevamente el archivo run.bat tambien te paso el resultado , un abrazo y gracias.




C:\Windows\system32\reg.exe query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /s>>Run.txt
start notepad Run.txt
! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
NBJ REG_SZ "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
swg REG_SZ C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
NBJ REG_SZ "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
swg REG_SZ C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
NBJ REG_SZ "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
swg REG_SZ C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe


---------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.35
Versión de la Base de Datos: 1929
Windows 5.1.2600 Service Pack 2

15/04/2009 12:55:19 a.m.
mbam-log-2009-04-15 (00-55-09).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 229551
Tiempo transcurrido: 32 minute(s), 18 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 13
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2eff3cf7-99c1-4c29-bc2b-68e057e22340} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{53ced2d0-5e9a-4761-9005-648404e6f7e5} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7473d296-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d9fffb27-d62a-4d64-8cec-1ff006528805} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{0d26bc71-a633-4e71-ad31-eadc3a1b6a3a} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{3e720450-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{621feacd-8857-43a6-ae26-451d670d5370} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{c8cecde3-1ae1-4c4a-ad82-6d5b00212144} (Adware.MyWebSearch) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)


Volver a “Windows XP / X64”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 6 invitados