 Autor
|
Tema: Problema al cerrar o localizar un proceso en Windows XP SP3. (Leído 6,093 veces)
|
beholdthe
 Desconectado
Mensajes: 2.736
|
Ayer estuve en casa de un amigo que me llamo porque tiene un problema con su PC de sobremesa.
Tiene instalado XP Home Edition.
Me dijo que desde hace días se le apagaba el ordenador cada 5 minutos.
Cuando estuve allí vi que tenia (o se ejecutaba) una Aplicación llamada "Cuenta atrás". Desde el Administrador de tareas la seleccione y le di a Ir al proceso.
El proceso se llama "apagado.exe" y al intentar finalizarlo me dice que no me deja, sale el típico mensaje de "operación no permitida".
Entonces pensé que era por un problema de privilegios, pero es que el usuario que estaba utilizando (el nombre de mi amigo) es Administrador de equipo.
Como se que el usuario Administrador tiene mas privilegios, le pregunte si sabia la pass del administrador, y me dijo que no (Formateado en una tienda, le hicieron lo que les dio la gana, etc) por lo que tuve que seguir intentándolo con su usuario.
Utilizar la cuenta de Administrador no es problema, dado que se como "MACHACARLA" o dejarla en blanco, y luego poner la pass que yo quiera, pero lo que me mosquea es que:
1- En agregar o quitar programas no aparece nada RARO instalado, así que lo que sea, supongo que trabaje de manera oculta.
¿Entrando en modo seguro aparecería? (Ayer no me dio tiempo a probar todo)
2- ¿Donde puedo ver si han modificado los privilegios de ese usuario con ese proceso en cuestión u otros procesos, acciones, etc? ¿Con la cuenta de Administrador tendría el mismo problema el próximo día que vaya?
3- Tenia en otro PC una carpeta compartida (películas, música) que le hice yo hace tiempo, pero ahora al intentar entrar en ese otro PC y ver las carpetas compartidas, etc, tampoco me deja y vuelve a salir el mensajito de "operación no permitida", como si también se hubieran modificado esos privilegios.
¿Cual seria la mejor manera de volver a dar todo tipo de privilegios a ese usuario (repito que es administrador de equipo) y de LOCALIZAR Y ELIMINAR dicho proceso?
|
|
|
|
« Última modificación: 15 Enero 2013, 21:11 pm por beholdthe »
|
En línea
|
|
|
|
beholdthe
Desconectado
Mensajes: 2.736
|
Sigo con la historia... He probado a entrar como Administrador en modo a prueba de fallos, y tampoco vi nada RARO instalado. Eso si, aquí no sale el proceso, solo cuando utilizo la cuenta de mi amigo. Como no me dejaba cerrar dicho proceso como Administrador de equipo, decidí hacer el viejo truco de utilizar el usuario SYSTEM mediante consola. Una vez conseguí mi consola con SYSTEM, ejecute TSKILL explorer.exe. El resultado fue sorprendente, dado que no reconocía el proceso explorer,exe. Probé con algo mas simple, abrí un bloc de notas e intente cerrar el proceso con TSKILL notepad.exe, pero el resultado fue el mismo, no reconocía notepad.exe. Bastante mosqueado, probé a cerrar mediante el PID, y esta vez si, cuando ejecute TSKILL 1772 (el PID del explorer.exe) este se cerro, pero a los 2 segundos se abrió de nuevo el sólito  algo que con el XP profesional que yo tengo no sucede. Pero por lo menos si ejecuto el comando, pero cual fue mi sorpresa al poner tskill 540 para cerrar el proceso APAGARDO.EXE... PUES QUE ME DICE QUE TENGO EL ACCESO DENEGADO!!!!! Pero si estoy utilizando la cuenta SYSTEM!!!!! No se muy bien por donde seguir la verdad, porque formatear no quiero, y el menos.
|
|
|
|
« Última modificación: 15 Enero 2013, 21:31 pm por beholdthe »
|
En línea
|
|
|
|
|
|
dato000
Desconectado
Mensajes: 3.034
|
Eso no es un programa, es un servicio o peor, un registro, inicia con modo seguro y ejecuta hijackthis y muy importante que revises ese informe para saber cual es el fucking servicio.
Puedes pasarle lo de siempre, malwarebytes, ccleaner, no se algo, hasta podrias pasarle clamtk desde una sesión live de linux porque efectivamente, es un virus muy molesto que no te da tiempo para buscarlo.
Intentaste crear un usuario diferente con control total? si tambien se ejecuta directamente, es porque efectivamente es un registro de más que se ejecuta programado. hijackthis es la solución, pero hay que saber leer el registro y verificar correctamente cuales son los servicios y registros que estan en ejecución.
Eso de Apagado.exe es solo un nombre, pero si quieres evitar el formateo, debes detectar la fuente.
|
|
|
|
|
En línea
|
|
|
|
beholdthe
Desconectado
Mensajes: 2.736
|
Intentaste crear un usuario diferente con control total?
Hola Dato000, que tal? Si, cree otro usuario administrador, y en ese no se ejecuta, al igual que con la cuenta ADMINISTRADOR que tampoco aparece. Gracias por responder.
|
|
|
|
|
En línea
|
|
|
|
dato000
Desconectado
Mensajes: 3.034
|
Hola Dato000, que tal?
Si, cree otro usuario administrador, y en ese no se ejecuta, al igual que con la cuenta ADMINISTRADOR que tampoco aparece.
Gracias por responder.
seeee mira, tienes que ejecutar esa sesión en modo seguro, esta alojado en los registros temporales de la maquina o resguardado en alguna parte del area de acceso local de la maquina que es ejecutada cuando se inicia sesión. CCleaner y todos los programas que ya conoces, usalos en modo seguro, y viejo, pasale el hijackthis y ponlo por aqui, no se tanto pero tratare de colaborarte, hay otros foros en los que hay verdaderos expertos analizando logs de hijackthis, google es tu respuesta, al menos, una que puedes consultar para que sepas evaluar un chequeo de servicios y registros.
|
|
|
|
|
En línea
|
|
|
|
3mp3z@ndo
Desconectado
Mensajes: 51
|
Busca en HKEY_CURRENT_USER, ó directamente en el registro busca apagado.exe y con un poco de suerte das con la clave de autoinicio, si no la encuentras puedes utilizar Autoruns de Sysinternals (te recomiendo descargar la suite completa) y lo buscas el apagado.exe con el autoruns.
Probablemente con eso sea suficiente aunque para matar el proceso puedes utilizar Process Explorer (también de Sysinternals) y verificar si está corriendo como servicio, si puedes detenerlo, etc..., por otra parte si no está corriendo como servicio es muy probable que tenga un handle abierto y de ahí que no puedas terminar el proceso.
Busca los handles abiertos con el mismo Process Explorer ó con la herramienta handles del mismo pack de Sysinternals.
Un saludo
|
|
|
|
|
En línea
|
|
|
|
beholdthe
Desconectado
Mensajes: 2.736
|
Pero no se yo si me dejara matar el proceso asi, date cuenta lo que dije del usuario SYSTEM. Cuando vi que me ponia acceso denegado me quede... Gracias por contestar. |
|
|
|
|
En línea
|
|
|
|
3mp3z@ndo
Desconectado
Mensajes: 51
|
Bueno, normalmente cerrando los handles que hayan abiertos hacia ese proceso, eliminando cualquier mutex que haya creado y desactivando el autoinicio deberia ser suficiente, si no te quieres complicar demasiado te aconsejo que arranques desde un RescueCD (Kaspersky o avira funcionan bastante bien), actualizas, escaneas y eliminas.
Creo que con eso sería suficiente, aún así para quedaros más tranquilos después puedes pasarle en modo seguro el MalwareBytes actualizado, no creo que te aguante ese "tratamiento".
Un saludo
|
|
|
|
|
En línea
|
|
|
|
dato000
Desconectado
Mensajes: 3.034
|
Pufff la solución definitiva es el formateo.
Pero no se trata de eso, pasale esos antivirus y más, debes detectar desde donde esta ese inmundo malware.
|
|
|
|
|
En línea
|
|
|
|
|
 |
