| radiohead |  |
|
2005-07-11 22:09 - Respuestas: 10 - Tema nº: 37913
gracias a todos por contestar. he buscado en google pero la verdad es que no me he aclarado. voy a intentar seguir los pasos que me ha marcado Rahel (muchas gracias) y os digo cómo me ha ido...
saludos | |
|
|
| radiohead | |
|
Re: Cómo utilizar hijackThis? - 2005-07-12 03:06 - Respuesta 7
hola de nuevo...he hecho todo lo que me dijiste Rahel y la verdad es que me ha ido bastante bien. al menos ahora funciona mejor el equipo y no está tan ralentizado como antes... pero sigo teniendo el problema con lsasrv.exe
la carpeta la consigo borrar pero en el administrador de tareas de windows no me deja terminar el proceso de lsasrv.exe
lo intento pero lo único que hace es cambiar de posición a lo largo de la lista y cuando reinicio vuelve a estar el archivo lsasrv.exe despues de eliminarlo
de todas maneras muchas gracias por ayudarme
| |
|
|
| tordanxa |  |
|
Re: Cómo utilizar hijackThis? - 2005-07-12 16:47 - Respuesta 8
Para eliminar el archivo lsasrv.exe intenta lo siguiente.
Inicia el HIjackThis pero selecciona Misc Tools, verás un apartado que pone algo así como Delete file on reboot, selecciona el archivo a borrar y cuando reinicies debería eliminarlo.
Otra cosa, pega de nuevo el log a ver si ya está bien.
Saludos | |
|
|
| Xufa |  |
|
Re: Cómo utilizar hijackThis? - 2005-07-12 17:01 - Respuesta 9
Para conocimiento general.
El exe que cita radiohead es una copia del gusano Mydoom.BN que se transmite a través del correo creando ciertas entradas en el registro de Windows así como diversos archivos.
Toda la información de referencia puede encontrarse en:
__
http://www.linkeliminadophandaxxx/virus_info/enciclopedia/verficha.aspx?lst=det&idvirus=65721
__
Incluida la solución para su eliminación; Panda Active Scan.
Suerte con el bicho.
PD: ¡Ojo no confundir el exe con la dll del mismo nombre!. El lsasrv.exe es el malo mientras que la lsasrv.dll forma parte del sistema operativo de Microsoft Windows. ¡No vayamos a liarla!
[ Este mensaje fué editado por: Xufa_63 el 12-07-2005 a las 17:07]
[ Este mensaje fué editado por: Xufa_63 el 12-07-2005 a las 17:09] | |
|
|
| radiohead | |
|
Re: Cómo utilizar hijackThis? - 2005-07-13 02:39 - Respuesta 10
hola de nuevo
he probado con delete file on reboot pero sigue sin eliminarlo. la unica diferencia es que antes salía en minusculas lsasrv.exe y ahora en mayusculas LSASRV.EXE
voy a probar con el panda y os digo cómo me ha ido
os pego el log
gracias, saludos
Logfile of HijackThis v1.99.1
Scan saved at 2:22:12, on 13/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\CTsvcCDA.exe
D:\WINDOWS\image.exe
D:\WINDOWS\System32\VsTaskMngr.exe
D:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe
D:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe
D:\Archivos de programa\WinZip\WZQKPICK.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\LSASRV.EXE
D:\Archivos de programa\WinRAR\WinRAR.exe
D:\DOCUME~1\Patty\CONFIG~1\Temp\Rar$EX00.984\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jazztel.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKCU\..\Run: [Creative MediaSource Go] D:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmtrans.html
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: WIN32 (image) - Unknown owner - D:\WINDOWS\image.exe
O23 - Service: Intel Centrino2 - Unknown owner - D:\WINDOWS\System32\VsTaskMngr.exe
O23 - Service: Local Security Authority Server (LSA Server) - Unknown owner - D:\WINDOWS\System32\LSASRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
| |
|
|
|
