Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: weeping_willow en 7 Abril 2010, 18:30 pm


Título: Como elimino"nt authority system shutdown"
Publicado por: weeping_willow en 7 Abril 2010, 18:30 pm
Buen dia gracias a cualquiera que pueda ayudarme.
Hace 2 dias me aparece el cartel "nt authority/ system shutdown" y se reinicia elequipo,empezo asi y al cabo de unas horas ni el monitor se enciende!!!!! Previo colapso de la imagen del monitor realice algunos pasos, reinicie en modo seguro con f8 y pase una herramienta que lei servia para limpiar el bicho pero no encontro nada. Tambien segui una serie de pasos  que encontre desactivando restaurar sistema y demas pero no funciono. El antivirus no termino el scan porque se paraliza todo.
Todavia funciona la conexion inalambrica por tanto estoy en la portatil escribiendo esto, no se que hacer sin monitor no puedo amagar a nada!! En esa compu tengo toda la conexion web sin contar documentos re importantes de mi trabajo y de tramites que no puedo perder. 
Ayuda por favor!!! Mi compu tiene xp home edition con media center y sp 3
el antivirus es nod 32. Tengo los cds de recuperacion por si hacen falta.
 Por favor este es asunto de urgencia, muchas gracias
Weeping

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: el-brujo en 7 Abril 2010, 19:26 pm
Posiblemente tienes un virus llamado Blaster.

Baja esta herramienta y la ejecutas:

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixBlast.exe

Más info:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: weeping_willow en 7 Abril 2010, 19:48 pm
Cita de: weeping_willow en  7 Abril 2010, 18:30 pm
al cabo de unas horas ni el monitor se enciende!!!!!
el - brujo, en estos momentos estoy utilizando una notebook porque elmonitor de la PC no enciende al iniciarla, ni siquiera en Modo Seguro... por tanto no puedo navegar ni bajar archivos, ni nada que se le parezca...

 :huh:

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: el-brujo en 7 Abril 2010, 19:56 pm
entonces es algo más grave.... si no aparece nada por pantalla es que la gráfica está estropeada o algo similar. ¿Aparece la Bios por pantalla? ¿hace ruido el ordenador al iniciarlo?

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: winroot en 7 Abril 2010, 20:47 pm
hola

cuando prendes la pc el monitor arranca?
osea si el monitor se apaga cuando arranca windows  o cuando apenas prendes la pc.

igual, creo que tendras que usar un livecd de xp o el knopix, crear otra particion,  pasar lo importante a esa particion y formatear el c.

de todos modos, esto ya se esta tornando en windows y en hardware, mas que en seguridad :D
saludos

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: weeping_willow en 9 Abril 2010, 18:46 pm
Primero que nada agradezco la ayuda y me disculpo por no haberme manifestado antes aquí, pero este problema me ha tenido bastante ocupada...

Superé lo del monitor y la gráfica se encuentra bien, ya que este se prendió y bajé la herramienta fixblast.exe, y en Modo Seguro (sin conexión a internet) la  pasé y ésta no encontró ninguna infección. Luego scanee con Nod 32, Spybot y CCleaner, los cuales no encontraron nada ni solucionaron nada.
Cuando inicio la PC anda todo bien, pero luego comienza a ponerse lenta y a veces se congela todo.. otras veces, cuando inicio la PC no tengo conexión.
Después de haber hecho todo esto, sólo una vez más me saltó el cartel "nt authority system shutdown" amenazando con reiniciar a lo cual fuí a "Ejecutar" e ingresé "Shutdown -a" y eso me libró de que se reiniciara.

Evidentemente aún tengo la PC infectada, pero ninguna de las herramientas ha encontrado dicha infección y por tanto no puedo librarme de ella.

Habrá alguna solución en ésta tierra para mi PC!!?? :-\


Ya no sé que hacer

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: Novlucker en 9 Abril 2010, 18:52 pm
Dejanos un log de hijackthis  (http://free.antivirus.com/hijackthis/)a ver que encontramos :P

Saludos

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: weeping_willow en 9 Abril 2010, 20:52 pm
Buenas, la cosa se complico y luego de tratar de encender la pc varias veces no teniamos imagen por pantalla ni siquiera en modo seguro asique tuvimos que usar el pc recovery que trae hp presionando f10 en el inicio, hay algunos cambios pero al menos ahora puedo escribir aca.
Por la recuperacion se elimino el sp3 y alguna que otra cosa mas que no mata. Tendremos que buscar varias herramientas para protegernos y algun que otro update para windows.
Mil gracias a todos, casi colapsamos del enojo!! ha! espero que no me enganche otro de esos agujeros de seguridad .... gracias

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: Novlucker en 9 Abril 2010, 21:04 pm
Bueno, si no tuvieron más remedio :-\

Saludos

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: weeping_willow en 10 Abril 2010, 06:05 am
Igual pas'e el Hijackthis, aqui esta el log

Citar
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57:44 AM, on 4/10/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jucheck.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Panasonic\MotionSD STUDIO\SD_Browser\AutoLauncher.exe
C:\Program Files\Updates from HP\309731\Program\Updates from HP.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://shop.trendmicro.com/tmasy/eol.html?X=300&Y=300&WIDTH=690&HEIGHT=480
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: HP view - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1noarp
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: MotionSD STUDIO - SD Browser auto start -.lnk = C:\Program Files\Panasonic\MotionSD STUDIO\SD_Browser\AutoLauncher.exe
O4 - Global Startup: Updates from HP.lnk = C:\Program Files\Updates from HP\309731\Program\Updates from HP.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

--
End of file - 5965 bytes


Como siempre les agradezco la ayuda!

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: Novlucker en 10 Abril 2010, 07:12 am
Nada raro! ;)

Saludos

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: weeping_willow en 17 Abril 2010, 01:03 am
Gracias por revisar..
Igual tengo un problemin, y este es que se me reinicia la PC, y no tengo la menor idea el porque...

:¬¬

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: laura3 en 26 Julio 2010, 20:47 pm
hola soy nueva y no se muy bien como funciona esto.
es que me ha salido NT authority system32. windows system32 isass.exe y he ejecutado el fixblast pero me dice esto You do not have Administrator rights to run the tool.
Please contact your Network Administrator for more information.
 gracias

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: Novlucker en 26 Julio 2010, 20:49 pm
En que sistema operativo? Vista o Win 7 verdad?

Botón derecho sobre el ejecutable, y ejecutar como Administrador

Saludos

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: laura3 en 26 Julio 2010, 21:24 pm
no, es el xp.bueno que sepas que estoy muy verde en estos temas.
gracias

Título: Re: Como elimino"nt authority system shutdown"
Publicado por: laura3 en 26 Julio 2010, 21:35 pm
a se me olvidaba .e hecho mal poniendo inicio,ejecutar,shutdown -a para poder tener el ordenador encendido?¿
y eso de ejecutar como administrador ni idea.perdona por no saber mucho del tema.
muchas gracias


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines