Ayer estaba reiniciando mi computadora y todo normal, hasta que trate de logearme y no pude hacerlo con mi nombre de usuario. Trate de hacerlo con el nombre de otro usuario, y tampoco. Al fin pude logearme con el password del administrador.
Hasta ahi, era algo extraño pero lo que en verdad me asombro fue que a la hora de entrar al administrador de usuarios no encontre ninguno de los usuarios que yo tenia creados. ¡Y en cambio encontre otros: adminshibing, shanlu y system32$!
No he encontrado informacion a este respecto. No se si es un spyware o virus o troyano... hasta podria ser una falla del sistema operativo.
Utilizo Windows 2000 server.
Si alguien tiene algun comentario, se los agradecere muchisimo.
Saludos

Hola eperez

Te damos la bienvenida al foro de InfoSpyware, recuerda pasar por Windows Update regularmente y mantener tu sistema actualizado, sigue este Tutorial paso a paso, pasale tu antivirus actualizado ( te recomiendo el Kaspersky o el Nod32 ),pasale al menos dos de estos Antivirus Online (menos el panda), luego le pasas el RegSeeker para limpiar el registro, limpia la papelera y si con ello no se soluciona tu problema descarga Hijackthis 1.99.1 siguiendo las indicaciones del enlace y nos posteas un log en este mismo mensaje


Esperamos que nos cuentes como te fue...

saludos

Buenas tardes,

Ya segui el tutorial y no logro encontrar "la enfermedad".

Lo primero que hice fue eliminar los usuarios extraños y volver a dar de alta los que si utilizo.

Le corri el antivirus BitDefender. Tambien los antivirus en linea de Trend Micro y Symantec. Y el antispyware de Microsoft. Ninguno encontro nada peligroso.

Tambien corri el SpyBot en modo a prueba de fallos. Nada.

Descargue e instale el antivirus AVG.

Corri el RegSeeker y encontro varias extensiones sin utilizar y varios registros de archivos que no existen. Yo creo que esto sucede por el cambio de usuarios.

Y por el ultimo, corri el Hijackthis (lo subire al foro de Hijackthis 1.99.1)... Aunque en realidad yo ya no me siento segura con la maquina asi, la voy a formatear y tendre mas cuidado en mantener al dia varias herramientas de seguridad.

Muchisimas gracias.

Hola,

Hace unas dos semanas, cuando intente logearme en mi computadora no pude hacerlo con mi nombre de usuario. Entre con el password del administrador y cuando fui al administrador de usuarios me di cuenta de que mi usuario y otros que tenia dados de alta ya no estaban. En cambio habia otros muy extraños: adminshibing, shanlu y system32$

Lo primero que hice fue eliminar los usuarios extraños y volver a dar de alta los usuarios que si utilizo.

He utilizado varias herramientas y no he encontrado nada grave:
- BitDefender
- AntiSpyware de Microsoft
- Trend Micro en linea
- Symantec en linea
- SpyBot iniciando en modo a prueba de fallos
- AVG
- El RegSeeker encontro varias extensiones sin utilizar y varios archivos o rutas que no existen

Como no encuentro nada raro, anexo el log del HijackThis 1.99.1, aunque no se si lo mejor sea formatear la maquina.

Utilizo Windows 2000 server.

Muchas gracias.

---------

Logfile of HijackThis v1.99.1
Scan saved at 02:44:16 p.m., on 19/09/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\System32\termsrv.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\llssrv.exe
F:\WINNT\system32\ntfrs.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\Program Files\TELMEX\Prodigy Infinitum\app\TangoService.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
F:\WINNT\System32\inetsrv\inetinfo.exe
F:\WINNT\System32\msdtc.exe
F:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
F:\WINNT\system32\Dfssvc.exe
F:\WINNT\Explorer.EXE
F:\WINNT\system32\S3apphk.exe
F:\Program Files\Common Files\Real\Update_OB\realsched.exe
F:\Program Files\Microsoft AntiSpyware\gcasServ.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
F:\PROGRA~1\TELMEX\PRODIG~1\app\TangoManager.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\Program Files\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - F:\WINNT\system32\nzdd.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3apphk] S3apphk.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDNewsAgent] F:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [TangoManager] F:\PROGRA~1\TELMEX\PRODIG~1\app\TANGOM~1.EXE
O4 - HKLM\..\Run: [gcasServ] "F:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "F:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = F:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O12 - Plugin for .mid: F:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .spop: F:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3299935F-2C5A-499A-9908-95CFFF6EF8C1} (Quicksilver Class) - http://scpwkb.ops.placeware.com/etc/place/KILO/SCKpws-c2/5.1.2.150/lib/quicksilver.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/es-mx/4,0,0,90/mcinsctl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37240.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.3.1_07) - ftp://ftp2.sat.gob.mx/asistencia_servicio_ftp/programas/dem04/j2re-1_3_1_07-windows-i586-i.exe
O16 - DPF: {B24F0664-7DDA-40B6-B38C-A4FD68DE8685} (CentraDownloaderCtl Class) - http://prod1.centra.com/SiteRoots/main/Install/CentraDownloader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B4CB50E4-0309-4906-86EA-10B6641C8392} - https://www.onlinet.com.mx/extender.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://trendmicro.webex.com/client/v_mywebex/webex/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bajio.onlinet.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bajio.onlinet.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bajio.onlinet.com
O20 - Winlogon Notify: ckpNotify - F:\WINNT\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - F:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: Tango Service (TangoService) - Unknown owner - F:\Program Files\TELMEX\Prodigy Infinitum\app\TangoService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - F:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - F:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Hola, tu log esta limpio y seguramente es un problema del mismo Win por lo que si tenes la posibilidad de formatear es la mejor opción.

damos el tema por finalizado.

Salu2