Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola:

Intentemos un par de pasos:

Ve a >> Administrador de Equipos >> Usuarios Locales Y Grupos, toma una captura de pantalla y la subes en tu próximo post.

Revisa si tienes termsrv.dll en C: \ Windows \ System32

Por si la cuenta de usuario este corrupta y el task manager no la gestione como debe, crea una nueva cuenta para salir de dudas.

Información de interés:


The task manager doesn't display my name as a user, it has "test" for the user, why is this?

Logon Name Does Not Match Name in Task Manager or Under Documents and Settings Folder

Salu2.

A esta altura: que, quien, como, o para que se modifico esa dll, asumiendo con confianza que es el problema original, no me deja tranquilo luego de haber leido esto :

link 2 -- Enable Multiple Concurrent Remote Desktop Connections or Sessions in Windows XP » My Digital Life

Justamente trata de esa dll modificada para habilitar el escritorio remoto, el texto es para prestarle atencion..

Lo que tu me pedias : No aparece usuarios ni groups en Computer managmente.
Trato de abrir una consola mmc, agregar el complemento de ususrios y gupos, y me dice que no puedo hacerlo. O sea, lo que antes aparecia en computer managment, ahora no puedo cargarlo ni siquierea de la consola mmc. solo me deja desde el panel de control/cuentas.
(Te debp los screenshots, pero creeme que antes aparecian bien y ahora me patea afuera.

Y para colmo, en la imagen que esta posteada anteriormente el gmer muestra cuentas de usuarios que a menos que alguien me las explique son muy raras.


Fin del asunto :

+sfc /scannow no soluciono
+reinstalar xpsp3 tampoco
+reemplazar a mano la termsrv.dll no se hacerlo bien y no se de donde sacar una confiable. no descarta que queden otros agujeros....
+cabe la posibilidad que esto sea un riesgo (segun link del post anterior)
+si el termserv fue sustituido maliciosamente, deben haber otros riezgos quizas ocultos.

Quedo a vuestras ordenes si quisieran verificar algo mas o intentar sustituir la dll por una confiable.

Si nadie se opone, en unos dias formateare e reinstalare para evitar seguir con el riesgo de tener termsrv.dll modificada para acceso remoto, y de paso limpiar la pc.

Soy muy testarudo como lo han visto, pero realmente no quiero seguir importunando, en definitiva tengo la opcion de reinstalar.

Ahora, si existe alguien que quiera llegar al final yo sigo de largo, me dicen donde conseguir la dll, como instalarla y lo hago.

El domingo reinstalo seguramente pero me presto a cualquier ensayo que quieran =)

No puedo terminar sin antes expresarles mi admiracion no solo por vuestro conocimiento sino por la colaboracion que le prestan a personas que les son desconocidas, o anonimas. Lo bueno es que todos aprendemos.
Dice el dicho, si se comparte dinero nos queda la mitad, si se comparte conocimiendo nos queda el doble.....


Abrazo grande, sigo por la vuelta, gracias gracias y gracias.


PD: que les parece ese articulo de la modificacion del termsrv.dll..... suena peligroso y complicado o soy yo?


sldsssssssssssssssssssssssssssssssssssssssssssss

Hola

Mientras regresa Sanmar te voy poniendo información:

En el servicio Dcom Launch se descubrió un fallo critico hace ya 3 años mediante el cual se podía acceder de forma remota a un equipo como si el intruso fuera un usuario mas, es por eso que Microsoft fixeo la función inicial de este servicio, esto no conlleva que dicho elemento deje de funcionar.

La librería faltante hace referencia al sistema de asistencia remota de windows, si no la tienes la puedes reemplazar desde aquí:

termsrv.dll Descargar

Debes copiarla a System32

Para registrarla ve a Inicio, ejecutar y escribe:

Dices que en tu administrador de tareas no aparece ningún usuario.... te puedo sugerir, ya que vas a reinstalar, que pruebes a instalar Process Hacker, en la instalación acepta todo, y cuando lo tengas en pantalla ve al menú Users, aquí debe aparecer el usuario actual de la sesión que has iniciado, da opciones de que dicho usuario haga logg off, mandar mensajes a otros usuarios y mostrar las propiedades de los usuarios presentes.

En la pestaña Services aparecen todos y cada uno de los servicios del sistema asi como su estado actual, activa desde aquí los que quieras usar o fallaban en el antiguo administrador de tareas.

De igual modo te recomiendo que mires los procesos existentes en tu equipo con el, y si hay alguno sospechoso haz click derecho sobre el, pincha en Miscellaneus y luego en Upload to Virustotal, si se detecta como una amenaza potencial ejecuta la opcion Terminator contra el.en puedes administrar las conexiones entrantes y de salida de tu equipo desde la pestaña Network y si ahi alguna desconocida pincha click derecho sobre ella, pulsa en Tools y luego en Whois para obtener información de ella.

Tambien puedes cerrar las conexiones indeseadas y localizar el proceso que las origina para saber si algún archivo asociado al mismo es un malware o el servidor de un troyano.

(Doi por sentado que tienes conocimiento de Ingles)

Saludos y suerte

....sere breve ya que tengo cosas que atender....

Antes que nada, muchas gracias por los datos y por tomarte el tiempo, me son de mucha ayuda.
Te comento que tratare de reemplazar la dll a ver si soluciono, el tema es que si al termsrv le doy como parametro de arranque ntsvcs el servicio da error y no arranca. Entiendo lo que me dices del DComlaunch por lo que tratare de que quede bien.

Estoy bajando la herramienta que me indicas, luego con mas tiempo la probare.

Ni bien tenga algo lo posteo...


Mas que gracias !!!!!

Estimados:
Perdon la demora, es que todavia no pude solucionar, en realidad estoy reinstalando desde 0 ya que no encontre solucion, no me dejaba registrar la dll del termsrv , etc, etc.
El colmo fue cuando me desaparecieron carpetas en las que tenia el instalador del zone alarm, y ademas el mismo dejo de funcionar, lo llamaba y aparecia la pantalla del programa pero vacia.
O sea, me vencieron.....pero por lo menos se que algo mal habia, no eran suposiciones....las carpetas no se borran solas...

En fin , mi maquina esta en vias de funcionar dentro de poco, tendre mas cuidado y si tengo alguna novedad del tema (espero que no) se los hago saber.

Muchisimas gracias por todo, perdon no haber podido seguir la investigacion pero necesitaba tener la maquina.

De nuevo: gracias mil, nos vemos en la vuelta.


(Solucion : Reinstalacion)

Hola:

Se entiende perfectamente,

Cuando termines de formatear nos avisas como quedo todo.

Edito: Si tu IP es Estática, sería conveniente que apenas hayas Formateado te contactes con tu Proveedor de Internet y solicites se te asigne una nueva IP.

Esto en caso de que conozcan la que tienes asignada y vuelvan a meterse en tu equipo a la fuerza de nuevo.


Salu2.