Foro de elhacker.net

Ayer estuve en casa de un amigo que me llamo porque tiene un problema con su PC de sobremesa.

Tiene instalado XP Home Edition.

Me dijo que desde hace días se le apagaba el ordenador cada 5 minutos.
Cuando estuve allí vi que tenia (o se ejecutaba)  una Aplicación llamada "Cuenta atrás". Desde el Administrador de tareas la seleccione y le di a Ir al proceso.
El proceso se llama "apagado.exe" y al intentar finalizarlo me dice que no me deja, sale el típico mensaje de "operación no permitida".
Entonces pensé que era por un problema de privilegios,  pero es que el usuario que estaba utilizando (el nombre de mi amigo) es Administrador de equipo.
Como se que el usuario Administrador tiene mas privilegios, le pregunte si sabia la pass del administrador, y me dijo que no (Formateado en una tienda, le hicieron lo que les dio la gana, etc) por lo que tuve que seguir intentándolo con su usuario.
Utilizar la cuenta de Administrador no es problema, dado que se como "MACHACARLA" o dejarla en blanco, y luego poner la pass que yo quiera, pero lo que me mosquea es que:

1- En agregar o quitar programas no aparece nada RARO instalado, así que lo que sea, supongo que trabaje de manera oculta.
¿Entrando en modo seguro aparecería?  (Ayer no me dio tiempo a probar todo)

2- ¿Donde puedo ver si han modificado los privilegios de ese usuario con ese proceso en cuestión u otros procesos, acciones, etc? ¿Con la cuenta de Administrador tendría el mismo problema el próximo día que vaya?

3- Tenia en otro PC una carpeta compartida (películas, música) que le hice yo hace tiempo, pero ahora al intentar entrar en ese otro PC y ver las carpetas compartidas, etc, tampoco me deja y vuelve a salir el mensajito de "operación no permitida", como si también se hubieran modificado esos privilegios.

¿Cual seria la mejor manera de volver a dar todo tipo de privilegios a ese usuario (repito que es administrador de equipo) y de LOCALIZAR Y ELIMINAR dicho proceso?

Sigo con la historia...
He probado a entrar como Administrador en modo a prueba de fallos, y tampoco vi nada RARO instalado.
Eso si, aquí no sale el proceso, solo cuando utilizo la cuenta de mi amigo.

Como no me dejaba cerrar dicho proceso como Administrador de equipo, decidí hacer el viejo truco de utilizar el usuario SYSTEM mediante consola.
Una vez conseguí mi consola con SYSTEM, ejecute TSKILL explorer.exe.
El resultado fue sorprendente, dado que no reconocía el proceso explorer,exe.
Probé con algo mas simple, abrí un bloc de notas e intente cerrar el proceso con TSKILL notepad.exe, pero el resultado fue el mismo, no reconocía notepad.exe.
Bastante mosqueado,  probé a cerrar mediante el PID, y esta vez si, cuando ejecute TSKILL 1772 (el PID del explorer.exe) este se cerro, pero a los 2 segundos se abrió de nuevo el sólito  :o :o  algo que con el XP profesional que yo tengo no sucede.
Pero por lo menos si ejecuto el comando, pero cual fue mi sorpresa al poner tskill 540 para cerrar el proceso APAGARDO.EXE...  PUES QUE ME DICE QUE TENGO EL ACCESO DENEGADO!!!!!   :o :o  Pero si estoy utilizando la cuenta SYSTEM!!!!!

No se muy bien por donde seguir la verdad, porque formatear no quiero, y el menos.

Por lo visto este debe de ser un caso (dado el numero de comentarios) de extrema dificultad...   :laugh: :laugh: :laugh:

Eso no es un programa, es un servicio o peor, un registro, inicia con modo seguro y ejecuta hijackthis y muy importante que revises ese informe para saber cual es el fucking servicio.

Puedes pasarle lo de siempre, malwarebytes, ccleaner, no se algo, hasta podrias pasarle clamtk desde una sesión live de linux porque efectivamente, es un virus muy molesto que no te da tiempo para buscarlo.

Intentaste crear un usuario diferente con control total? si tambien se ejecuta directamente, es porque efectivamente es un registro de más que se ejecuta programado. hijackthis es la solución, pero hay que saber leer el registro y verificar correctamente cuales son los servicios y registros que estan en ejecución.

Eso de Apagado.exe es solo un nombre, pero si quieres evitar el formateo, debes detectar la fuente.

Hola Dato000, que tal?
Si, cree otro usuario administrador, y en ese no se ejecuta, al igual que con la cuenta ADMINISTRADOR que tampoco aparece.
Gracias por responder.

seeee mira, tienes que ejecutar esa sesión en modo seguro, esta alojado en los registros temporales de la maquina o resguardado en alguna parte del area de acceso local de la maquina que es ejecutada cuando se inicia sesión.

CCleaner y todos los programas que ya conoces, usalos en modo seguro, y viejo, pasale el hijackthis y ponlo por aqui, no se tanto pero tratare de colaborarte, hay otros foros en los que hay verdaderos expertos analizando logs de hijackthis, google es tu respuesta, al menos, una que puedes consultar para que sepas evaluar un chequeo de servicios y registros.

Busca en HKEY_CURRENT_USER, ó directamente en el registro busca apagado.exe y con un poco de suerte das con la clave de autoinicio, si no la encuentras puedes utilizar Autoruns de Sysinternals (te recomiendo descargar la suite completa) y lo buscas el apagado.exe con el autoruns.

Probablemente con eso sea suficiente aunque para matar el proceso puedes utilizar Process Explorer (también de Sysinternals) y verificar si está corriendo como servicio, si puedes detenerlo, etc..., por otra parte si no está corriendo como servicio es muy probable que tenga un handle abierto y de ahí que no puedas terminar el proceso.

Busca los handles abiertos con el mismo Process Explorer ó con la herramienta handles del mismo pack de Sysinternals.

Un saludo

Pero no se yo si me dejara matar el proceso asi, date cuenta lo que dije del usuario SYSTEM.
Cuando vi que me ponia acceso denegado me quede...    :o :o :o :o :o
Gracias por contestar.

Bueno, normalmente cerrando los handles que hayan abiertos hacia ese proceso, eliminando cualquier mutex que haya creado y desactivando el autoinicio deberia ser suficiente, si no te quieres complicar demasiado te aconsejo que arranques desde un RescueCD (Kaspersky o avira funcionan bastante bien), actualizas, escaneas y eliminas.

Creo que con eso sería suficiente, aún así para quedaros más tranquilos después puedes pasarle en modo seguro el MalwareBytes actualizado, no creo que te aguante ese "tratamiento".

Un saludo

Pufff la solución definitiva es el formateo.

Pero no se trata de eso, pasale esos antivirus y más, debes detectar desde donde esta ese inmundo malware.

Al final me tocara ir a formatearselo, y tirarme unas horitas instalando, actualizando, etc...  ya sabéis, lo de siempre.
Así de paso se lo limpio bien y con suerte por una temporada me deja tranquilo.  :xD :xD :xD :xD

Muchas gracias por responder e intentar ayudar.

Dale un formateo de bajo nivel porque no falta que haya un cluster maluquito... :silbar: :silbar:

Hola Beholthe si no has formateado puedes probar Process Hacker como administrador de tareas, revisa las "Propiedades" del proceso y en la pestaña General tienes un boton "Permissions". Ahí tienes todos los permisos aplicados en todas las cuentas.
Si la casilla está bloqueada y no te deja destildar el tipo de permisos, en "Opciones avanzadas" pestaña "Permisos" puedes aplicar cambios, eliminar permisos o cuentas.
Revisando las demás pestañas de las propiedades puedes ver los Servicios, en Enviroment tienes las rutas en disco de los ejecutables implicados, en Modules también. En Token-Advanced también puedes ver/modificar los permisos de las cuentas utilizadas.
No se si es a lo que te refieres.

Ese proceso puede estar controlado por un rootkit. Tools como GMer, SpyDLLRemover, pueden ayudarte a localizarlos.
Tuluka Kernel Inspector y XueTR también muestran muchos datos y tiene bastantes opciones, sobre procesos y servicios.

Saludos.

Pues voy a probarlo, aunque luego lo formatee, pero por curiosidad.
Muchas gracias a todos por vuestras respuestas.