Re: Servicios Desactivados

07/12/2005 - 08:45 por Juan | Informe spam
"Juan" <soyquiensoy@terra.com> escribió en el mensaje news:...

En primer lugar services.exe debe estar infectado pues no se debe conectar


a

Internet... el valor FirstRunDisabled debe ser lo que desactiva los
servicios, cámbiale de 1 a 0 (cero) y reinicia el sistema para ver que
efecto tiene, si se activan los servicios, elimina ese valor. Entre los
servicios que se encuentra uno que controla el teclado, otro servicio
controla el Firewall, services.exe no debe estar en C:\WINDOWS, es en
C|WINDOWS\System32 donde debe estar; buscalo en su lugar correcto y
comparalo en tamaño y propiedades con el de C:\WINDOWS\ debe decir en
propiedades\version que es de Microsoft Corporation si resulta que es de
otro proveedor deberás eliminarlo. Es probablemente este services.exe un
troyano y es lo que te ha deshabilitado los servicios. Para Estar
completamente seguro instala el Adaware SE, Spybot Search & Destroy, y el
SpywareBlaster como medida preventiva; Actualiza estos programas después


de

instalarlos y antes de correrlos. Si ninguno detecta el services.exe como
parásito tendrás que eliminarlo manualmente aunque es posible que no


puedas

eliminarlo, en ese caso deberás tomar posesión del mismo para poder
eliminarlo o hacerlo en modo seguro, para esto reinicia y pulsa la tecla


F8

al iniciar el sistema.

CÓMO: Tomar posesión de un archivo o de una carpeta
http://support.microsoft.com/defaul...-es;308421

Programas antiespionaje.
http://www.softonic.com/seccion/550/Anti-espionaje

Saludos.

-
De: "Ryon Dymo" <RyonDymo@discussions.microsoft.com>
Asunto: Re: Servicios Desactivados
Fecha: Tuesday, December 06, 2005 3:21 PM

De antemano gracias por su respuesta.
El sistema de Procedimiento Remoto esta activo e iniciado; sin embargo no
puedo habilitar el firewall de windows, el centro de seguridad, restaurar
sistema se desactiva luego de reiniciar el equipo y el teclado no funciona
con las combinaciones que usan la tecla alt, ni las tildes.
Logre instalar un nuevo firewall y me doy con la sorpresa de que el


archivo

C:\Windows\services.exe se inicia junto con windows e intenta conectarse 3


o

4 veces a Internet tratando de localizar distintos IP en cada intento de
conexion. Este programa nunca se habia iniciado antes de que empezara este
problema.

Pero los demas servicios siguen desactivados asi que aun hay mucho riesgo


de

que se filtre un virus o algo asi, tambien revise el registro de Windows y
logre llegar hasta el Centro de seguridad y todos los valores de sus
notificaciones estaban en 0, por ejemplo AntiVirusDisableNotify valor = 0,
menos la que decia FirstRunDisabled que tenia el valor 1. Creo que esos
valores son incorrectos y aun asi sean o no los valores correctos o no


debe

de haber algo, aparte del RPC, que obligue a los servicios de seguridad a
que
no se activen. Entonces ¿cual es ese servicio o registro que impide esto?
"Juan" escribió:

> Mira si tienes iniciado el servicio Llamada a procedimiento remoto; de
este
> depende el de Acceso a dispositivos de interfaz humana y muchos otros
> servicios. Es decir si el de Procedimiento remoto se detiene, también
otros
> 40 se detienen y además los que dependan de esos incluyendo el de
> Administración de cuentas de seguridad, y el Firewall, etc. nada mas


abre

el
> servicio de Llamada a procedimiento remoto y luego ve a la pestaña
> Dependencias para ver todos los servicios que resultan afectados.


Además

> lee el siguiente articulo para conocer la causa y solución del problema.
Si
> esa no resulta ser la causa es hora de escanear el sistema con el


Adaware,

> Spybot etc. pues algunos bichos deshabilitan servicios e instalan los


suyo

> propios.
>
>
>
> La aplicación de Directiva de grupo hace que se produzcan errores y
sucesos
> Userenv en los equipos que ejecutan Windows Server 2003, Windows XP o
> Windows 2000
> http://support.microsoft.com/defaul...887303#kb4
>
> Saludos
>
> -
> "Ryon Dymo" <RyonDymo@discussions.microsoft.com> escribió en el mensaje
> news:0986627E-C729-46C6-AE42-18A4FE6A84D7@microsoft.com...
> > De antemano muchas gracias por la respuesta.
> > Mi equipo ha perdido todo la seguridad que tenia. de un momento a otro
El
> > Firewall de Windows, El Firewall que tenia instalado aparte, El


servicio

> de
> > interfaz humana y otros servicios quedaron detenidos y no se quieren
> > reiniciar.
> > Abri el msconfig y los servicios estan seleccionados pero detenidos.
Abri
> > las herramientas admistrativas/servicios y encontre los mismos


servicios

> > desactivados, indique que su inicio sea automatico e intente


iniciarlos

> pero
> > aparece el error 1058 entonces ya que la interfaz humana y los


servicios

> de
> > seguridad ya no funcionan que puedo hacer para que se vuelvan a


iniciar

y
> > funcionar?
>
>
>
>



Preguntas similare

Leer las respuestas

#1 Ryon Dymo
10/12/2005 - 22:15 | Informe spam
De antemano gracias por su respuesta
Bueno ya instale los 3 antispyware y dos de ellos detectaron a services.exe
como espia, tambien detectaron otras infecciones y registros alterados o
agregados que no debian de existir. Tambien me volvi propietario de Windows
Del disco duro C del mismo programa services.exe y nada el Sistema lo sigue
iniciando a pesar de que en los permisos indique que se le deniegue el acceso
total, y no lo puedo finalizar por que el Administrador de tareas de Windows
dice que es Un proceso de sistema critico y que el administrador de tareas no
puede finalizar ese proceso. No solamente eso sino que al reiniciar el equipo
3 registros se agregan automaticamente aun no se porque. Y como ya habia
dicho los antispyware detectaron a services.exe como programa maligno pero no
lo podian eliminar porque estaba siendo usado por otro programa o usuario
(supongo que el sistema). Entonces como hago para convertir un programa que
es un "proceso critico de sistema" en un simple archivo? para poder
finalizarlo y eliminarlo de una vez por todas. o existe otra solucion?
"Juan" escribió:


"Juan" escribió en el mensaje news:...
> En primer lugar services.exe debe estar infectado pues no se debe conectar
a
> Internet... el valor FirstRunDisabled debe ser lo que desactiva los
> servicios, cámbiale de 1 a 0 (cero) y reinicia el sistema para ver que
> efecto tiene, si se activan los servicios, elimina ese valor. Entre los
> servicios que se encuentra uno que controla el teclado, otro servicio
> controla el Firewall, services.exe no debe estar en C:\WINDOWS, es en
> C|WINDOWS\System32 donde debe estar; buscalo en su lugar correcto y
> comparalo en tamaño y propiedades con el de C:\WINDOWS\ debe decir en
> propiedades\version que es de Microsoft Corporation si resulta que es de
> otro proveedor deberás eliminarlo. Es probablemente este services.exe un
> troyano y es lo que te ha deshabilitado los servicios. Para Estar
> completamente seguro instala el Adaware SE, Spybot Search & Destroy, y el
> SpywareBlaster como medida preventiva; Actualiza estos programas después
de
> instalarlos y antes de correrlos. Si ninguno detecta el services.exe como
> parásito tendrás que eliminarlo manualmente aunque es posible que no
puedas
> eliminarlo, en ese caso deberás tomar posesión del mismo para poder
> eliminarlo o hacerlo en modo seguro, para esto reinicia y pulsa la tecla
F8
> al iniciar el sistema.
>
> CÓMO: Tomar posesión de un archivo o de una carpeta
> http://support.microsoft.com/defaul...-es;308421
>
> Programas antiespionaje.
> http://www.softonic.com/seccion/550/Anti-espionaje
>
> Saludos.
>
> -
> De: "Ryon Dymo"
> Asunto: Re: Servicios Desactivados
> Fecha: Tuesday, December 06, 2005 3:21 PM
>
> De antemano gracias por su respuesta.
> El sistema de Procedimiento Remoto esta activo e iniciado; sin embargo no
> puedo habilitar el firewall de windows, el centro de seguridad, restaurar
> sistema se desactiva luego de reiniciar el equipo y el teclado no funciona
> con las combinaciones que usan la tecla alt, ni las tildes.
> Logre instalar un nuevo firewall y me doy con la sorpresa de que el
archivo
> C:\Windows\services.exe se inicia junto con windows e intenta conectarse 3
o
> 4 veces a Internet tratando de localizar distintos IP en cada intento de
> conexion. Este programa nunca se habia iniciado antes de que empezara este
> problema.
>
> Pero los demas servicios siguen desactivados asi que aun hay mucho riesgo
de
> que se filtre un virus o algo asi, tambien revise el registro de Windows y
> logre llegar hasta el Centro de seguridad y todos los valores de sus
> notificaciones estaban en 0, por ejemplo AntiVirusDisableNotify valor = 0,
> menos la que decia FirstRunDisabled que tenia el valor 1. Creo que esos
> valores son incorrectos y aun asi sean o no los valores correctos o no
debe
> de haber algo, aparte del RPC, que obligue a los servicios de seguridad a
> que
> no se activen. Entonces ¿cual es ese servicio o registro que impide esto?
> "Juan" escribió:
>
> > Mira si tienes iniciado el servicio Llamada a procedimiento remoto; de
> este
> > depende el de Acceso a dispositivos de interfaz humana y muchos otros
> > servicios. Es decir si el de Procedimiento remoto se detiene, también
> otros
> > 40 se detienen y además los que dependan de esos incluyendo el de
> > Administración de cuentas de seguridad, y el Firewall, etc. nada mas
abre
> el
> > servicio de Llamada a procedimiento remoto y luego ve a la pestaña
> > Dependencias para ver todos los servicios que resultan afectados.
Además
> > lee el siguiente articulo para conocer la causa y solución del problema.
> Si
> > esa no resulta ser la causa es hora de escanear el sistema con el
Adaware,
> > Spybot etc. pues algunos bichos deshabilitan servicios e instalan los
suyo
> > propios.
> >
> >
> >
> > La aplicación de Directiva de grupo hace que se produzcan errores y
> sucesos
> > Userenv en los equipos que ejecutan Windows Server 2003, Windows XP o
> > Windows 2000
> > http://support.microsoft.com/defaul...887303#kb4
> >
> > Saludos
> >
> > -
> > "Ryon Dymo" escribió en el mensaje
> > news:
> > > De antemano muchas gracias por la respuesta.
> > > Mi equipo ha perdido todo la seguridad que tenia. de un momento a otro
> El
> > > Firewall de Windows, El Firewall que tenia instalado aparte, El
servicio
> > de
> > > interfaz humana y otros servicios quedaron detenidos y no se quieren
> > > reiniciar.
> > > Abri el msconfig y los servicios estan seleccionados pero detenidos.
> Abri
> > > las herramientas admistrativas/servicios y encontre los mismos
servicios
> > > desactivados, indique que su inicio sea automatico e intente
iniciarlos
> > pero
> > > aparece el error 1058 entonces ya que la interfaz humana y los
servicios
> > de
> > > seguridad ya no funcionan que puedo hacer para que se vuelvan a
iniciar
> y
> > > funcionar?
> >
> >
> >
> >
>
>
>



Respuesta Responder a este mensaje
#2 Juan
10/12/2005 - 23:06 | Informe spam
Debes buscar el Services.exe (el del sistema) en la carpeta del sistema, con
ese conocimiento no importa lo que diga el cuadro del sistema respecto a no
poder eliminar el troyano disfrazado de services.exe... no me queda claro si
intentaste eliminarlo con los programas antiespias; si así fue y no se pudo
reinicia el equipo en modo seguro pulsando la tecla F8 al reinicio y ve al
botón Inicio\Ejecutar\pestaña inicio si se encuentran ahí tanto el
sevices.exe(bicho) como los 3 procesos de registro, demárcalos y corre el
HijackThis.. Después de marcar y eliminar con el HijackThis ese mismo
programa hace respaldos de lo que elimina así que debes también eliminar los
respaldos para que no se restauren; haz eso pulsando el boton Config... y
despues Backups... selecciona los spyware y eliminalos. Si tienes alguna
dificultad, todavía en Modo Seguro ve a donde se encuentra el spyware y
elimínalo manualmente, en modo seguro no se podrá resistir, ignora el
mensaje del sistema pues debe ser confusión, estando el programa
services.exe genuino en su carpeta del sistema no debe ocurrir nada
anormal.

Adicionalmente para eliminar lo que pueda quedar en el registro, ve a
Inicio\Ejecutar y escribe regedit.msc y acepta y busca en clave Run de todas
las ramas del registro de HKEY_LOCAL_MACHINE, HKEY_LOCAL_USER y HKEY_USERS
siguiendo la misma ruta en cada una de las ramas, la ruta es

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run es esta
ultima rama sigue la misma ruta en todas las subclaves hasta la clave Run

En Local Machine encontraras el valor predeterminado y varios procesos del
sistema como puede ser al antivirus, la barra de accesos de Office, e
messenger, CTFMON.EXE todos estos valores no los toques, después de estos
todo lo que aparezca es considerado sospechoso y debe ser eliminado.

Habiendo eliminado todos los spyware apaga el equipo (no es reinicio)
enseguida desconecta la corriente del equipo, pulsa el botón de encendido y
mantenlo pulsado por 10 segundos, reconecta la corriente y enciende el
equipo.

Es probable que todo esto lo solucione pero debes seguir al pie de la letra
las instrucciones.

Descarga del HijackThis desde la primer pagina de preferencia, es la ultima
versión.
http://www.wilkinsonpc.com.co/free/hijackthis.html
http://www.spywareinfo.com/~merijn/
http://www.majorgeeks.com/download3155.html

Saludos.
-
"Ryon Dymo" escribió en el mensaje
news:
De antemano gracias por su respuesta
Bueno ya instale los 3 antispyware y dos de ellos detectaron a


services.exe
como espia, tambien detectaron otras infecciones y registros alterados o
agregados que no debian de existir. Tambien me volvi propietario de


Windows
Del disco duro C del mismo programa services.exe y nada el Sistema lo


sigue
iniciando a pesar de que en los permisos indique que se le deniegue el


acceso
total, y no lo puedo finalizar por que el Administrador de tareas de


Windows
dice que es Un proceso de sistema critico y que el administrador de tareas


no
puede finalizar ese proceso. No solamente eso sino que al reiniciar el


equipo
3 registros se agregan automaticamente aun no se porque. Y como ya habia
dicho los antispyware detectaron a services.exe como programa maligno pero


no
lo podian eliminar porque estaba siendo usado por otro programa o usuario
(supongo que el sistema). Entonces como hago para convertir un programa


que
es un "proceso critico de sistema" en un simple archivo? para poder
finalizarlo y eliminarlo de una vez por todas. o existe otra solucion?
"Juan" escribió:

>
> "Juan" escribió en el mensaje news:...
> > En primer lugar services.exe debe estar infectado pues no se debe


conectar
> a
> > Internet... el valor FirstRunDisabled debe ser lo que desactiva los
> > servicios, cámbiale de 1 a 0 (cero) y reinicia el sistema para ver que
> > efecto tiene, si se activan los servicios, elimina ese valor. Entre


los
> > servicios que se encuentra uno que controla el teclado, otro servicio
> > controla el Firewall, services.exe no debe estar en C:\WINDOWS, es en
> > C|WINDOWS\System32 donde debe estar; buscalo en su lugar correcto y
> > comparalo en tamaño y propiedades con el de C:\WINDOWS\ debe decir en
> > propiedades\version que es de Microsoft Corporation si resulta que es


de
> > otro proveedor deberás eliminarlo. Es probablemente este services.exe


un
> > troyano y es lo que te ha deshabilitado los servicios. Para Estar
> > completamente seguro instala el Adaware SE, Spybot Search & Destroy, y


el
> > SpywareBlaster como medida preventiva; Actualiza estos programas


después
> de
> > instalarlos y antes de correrlos. Si ninguno detecta el services.exe


como
> > parásito tendrás que eliminarlo manualmente aunque es posible que no
> puedas
> > eliminarlo, en ese caso deberás tomar posesión del mismo para poder
> > eliminarlo o hacerlo en modo seguro, para esto reinicia y pulsa la


tecla
> F8
> > al iniciar el sistema.
> >
> > CÓMO: Tomar posesión de un archivo o de una carpeta
> > http://support.microsoft.com/defaul...-es;308421
> >
> > Programas antiespionaje.
> > http://www.softonic.com/seccion/550/Anti-espionaje
> >
> > Saludos.
> >
> > -
> > De: "Ryon Dymo"
> > Asunto: Re: Servicios Desactivados
> > Fecha: Tuesday, December 06, 2005 3:21 PM
> >
> > De antemano gracias por su respuesta.
> > El sistema de Procedimiento Remoto esta activo e iniciado; sin embargo


no
> > puedo habilitar el firewall de windows, el centro de seguridad,


restaurar
> > sistema se desactiva luego de reiniciar el equipo y el teclado no


funciona
> > con las combinaciones que usan la tecla alt, ni las tildes.
> > Logre instalar un nuevo firewall y me doy con la sorpresa de que el
> archivo
> > C:\Windows\services.exe se inicia junto con windows e intenta


conectarse 3
> o
> > 4 veces a Internet tratando de localizar distintos IP en cada intento


de
> > conexion. Este programa nunca se habia iniciado antes de que empezara


este
> > problema.
> >
> > Pero los demas servicios siguen desactivados asi que aun hay mucho


riesgo
> de
> > que se filtre un virus o algo asi, tambien revise el registro de


Windows y
> > logre llegar hasta el Centro de seguridad y todos los valores de sus
> > notificaciones estaban en 0, por ejemplo AntiVirusDisableNotify valor


= 0,
> > menos la que decia FirstRunDisabled que tenia el valor 1. Creo que


esos
> > valores son incorrectos y aun asi sean o no los valores correctos o no
> debe
> > de haber algo, aparte del RPC, que obligue a los servicios de


seguridad a
> > que
> > no se activen. Entonces ¿cual es ese servicio o registro que impide


esto?
> > "Juan" escribió:
> >
> > > Mira si tienes iniciado el servicio Llamada a procedimiento remoto;


de
> > este
> > > depende el de Acceso a dispositivos de interfaz humana y muchos


otros
> > > servicios. Es decir si el de Procedimiento remoto se detiene,


también
> > otros
> > > 40 se detienen y además los que dependan de esos incluyendo el de
> > > Administración de cuentas de seguridad, y el Firewall, etc. nada mas
> abre
> > el
> > > servicio de Llamada a procedimiento remoto y luego ve a la pestaña
> > > Dependencias para ver todos los servicios que resultan afectados.
> Además
> > > lee el siguiente articulo para conocer la causa y solución del


problema.
> > Si
> > > esa no resulta ser la causa es hora de escanear el sistema con el
> Adaware,
> > > Spybot etc. pues algunos bichos deshabilitan servicios e instalan


los
> suyo
> > > propios.
> > >
> > >
> > >
> > > La aplicación de Directiva de grupo hace que se produzcan errores y
> > sucesos
> > > Userenv en los equipos que ejecutan Windows Server 2003, Windows XP


o
> > > Windows 2000
> > > http://support.microsoft.com/defaul...887303#kb4
> > >
> > > Saludos
> > >
> > > -
> > > "Ryon Dymo" escribió en el


mensaje
> > > news:
> > > > De antemano muchas gracias por la respuesta.
> > > > Mi equipo ha perdido todo la seguridad que tenia. de un momento a


otro
> > El
> > > > Firewall de Windows, El Firewall que tenia instalado aparte, El
> servicio
> > > de
> > > > interfaz humana y otros servicios quedaron detenidos y no se


quieren
> > > > reiniciar.
> > > > Abri el msconfig y los servicios estan seleccionados pero


detenidos.
> > Abri
> > > > las herramientas admistrativas/servicios y encontre los mismos
> servicios
> > > > desactivados, indique que su inicio sea automatico e intente
> iniciarlos
> > > pero
> > > > aparece el error 1058 entonces ya que la interfaz humana y los
> servicios
> > > de
> > > > seguridad ya no funcionan que puedo hacer para que se vuelvan a
> iniciar
> > y
> > > > funcionar?
> > >
> > >
> > >
> > >
> >
> >
> >
>
>
>
Respuesta Responder a este mensaje
#3 Ryon Dymo
11/12/2005 - 17:25 | Informe spam
De antemano muchas gracias por la respuesta

Bueno ya intenté de esta forma y tampoco se puede eliminar ese bicho.
Cuando lo intento eliminar manualmente aparece un mensaje de tipo parada
critica que dice:
"No se puede eliminar services: Esta siendo usado por otra persona o
programa.
Cierre todos los programas que puedan estar utilizando este archivo e
intentelo de nuevo."

Y cuando abro el "Administrador de tareas de Windows" dice que el nombre del
usuario que abrio ese archivo es "SYSTEM", (que supuestamente tiene prohibido
el acceso a este archivo), y cuando lo intento cerrar aparece un mensaje que
dice:

"Este es un proceso de sistema critico. El administrador de tareas no puede
finalizar este proceso."

Y no lo puedo finalizar.

Cuando inicio en Modo a prueba de fallos sucede lo mismo.

Tambien hubo un error en ese programa, y salio ese tipico letrero de windows
que anuncia que se va a cerrar un determinado programa en este caso
services.exe

Cuando sucedio eso aproveche para eliminarlo, abri windows y como todavia
habia dejado ese mensaje activo Windows no se mostraba estaba parpadeando a
cada rato como si estuviera presionando F5. Entonces di clic en No enviar
informes y luego por fin el directorio c:\windows estuvo normal asi que
rapidamente elimine el archivo services.exe y se borro; pero asi como se
borro volvio a aparecer y en menos de 5 segundos ya estaba de nuevo iniciado
por SYSTEM y en el directorio C:\WINDOWS.

Entonces que queda por hacer asi aunque lo elimine de nuevo se va cargar por
SYSTEM, si reinicio el equipo va a aparecer de nuevo junto con su copia
"fservices.exe" que se encuentra en C:WINDOWS\system32.
Cuando abro el editor de registro no existe o al menos no se muestra:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Y en las claves
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Solo esta el antivirus y el antispyware que instale. no aparecen los demas
programas que se inician.

Entonces lo unico seria indicar a Windows que este no es un archivo critico
de sistema y que no se debe de iniciar junto con el explorer.exe ni con
Windows.
¿Y como podria hacer eso? Debe de existir forma alguna ya que si ese
programa se auto registro como proceso critico de sistema debe de haber
alguna forma de deshacer esto. ¿Como podria hacer esto?¿O que deberia hacer
ahora?

"Juan" escribió:

Debes buscar el Services.exe (el del sistema) en la carpeta del sistema, con
ese conocimiento no importa lo que diga el cuadro del sistema respecto a no
poder eliminar el troyano disfrazado de services.exe... no me queda claro si
intentaste eliminarlo con los programas antiespias; si así fue y no se pudo
reinicia el equipo en modo seguro pulsando la tecla F8 al reinicio y ve al
botón Inicio\Ejecutar\pestaña inicio si se encuentran ahí tanto el
sevices.exe(bicho) como los 3 procesos de registro, demárcalos y corre el
HijackThis.. Después de marcar y eliminar con el HijackThis ese mismo
programa hace respaldos de lo que elimina así que debes también eliminar los
respaldos para que no se restauren; haz eso pulsando el boton Config... y
despues Backups... selecciona los spyware y eliminalos. Si tienes alguna
dificultad, todavía en Modo Seguro ve a donde se encuentra el spyware y
elimínalo manualmente, en modo seguro no se podrá resistir, ignora el
mensaje del sistema pues debe ser confusión, estando el programa
services.exe genuino en su carpeta del sistema no debe ocurrir nada
anormal.

Adicionalmente para eliminar lo que pueda quedar en el registro, ve a
Inicio\Ejecutar y escribe regedit.msc y acepta y busca en clave Run de todas
las ramas del registro de HKEY_LOCAL_MACHINE, HKEY_LOCAL_USER y HKEY_USERS
siguiendo la misma ruta en cada una de las ramas, la ruta es

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run es esta
ultima rama sigue la misma ruta en todas las subclaves hasta la clave Run

En Local Machine encontraras el valor predeterminado y varios procesos del
sistema como puede ser al antivirus, la barra de accesos de Office, e
messenger, CTFMON.EXE todos estos valores no los toques, después de estos
todo lo que aparezca es considerado sospechoso y debe ser eliminado.

Habiendo eliminado todos los spyware apaga el equipo (no es reinicio)
enseguida desconecta la corriente del equipo, pulsa el botón de encendido y
mantenlo pulsado por 10 segundos, reconecta la corriente y enciende el
equipo.

Es probable que todo esto lo solucione pero debes seguir al pie de la letra
las instrucciones.

Descarga del HijackThis desde la primer pagina de preferencia, es la ultima
versión.
http://www.wilkinsonpc.com.co/free/hijackthis.html
http://www.spywareinfo.com/~merijn/
http://www.majorgeeks.com/download3155.html

Saludos.
-
"Ryon Dymo" escribió en el mensaje
news:
> De antemano gracias por su respuesta
> Bueno ya instale los 3 antispyware y dos de ellos detectaron a
services.exe
> como espia, tambien detectaron otras infecciones y registros alterados o
> agregados que no debian de existir. Tambien me volvi propietario de
Windows
> Del disco duro C del mismo programa services.exe y nada el Sistema lo
sigue
> iniciando a pesar de que en los permisos indique que se le deniegue el
acceso
> total, y no lo puedo finalizar por que el Administrador de tareas de
Windows
> dice que es Un proceso de sistema critico y que el administrador de tareas
no
> puede finalizar ese proceso. No solamente eso sino que al reiniciar el
equipo
> 3 registros se agregan automaticamente aun no se porque. Y como ya habia
> dicho los antispyware detectaron a services.exe como programa maligno pero
no
> lo podian eliminar porque estaba siendo usado por otro programa o usuario
> (supongo que el sistema). Entonces como hago para convertir un programa
que
> es un "proceso critico de sistema" en un simple archivo? para poder
> finalizarlo y eliminarlo de una vez por todas. o existe otra solucion?
> "Juan" escribió:
>
> >
> > "Juan" escribió en el mensaje news:...
> > > En primer lugar services.exe debe estar infectado pues no se debe
conectar
> > a
> > > Internet... el valor FirstRunDisabled debe ser lo que desactiva los
> > > servicios, cámbiale de 1 a 0 (cero) y reinicia el sistema para ver que
> > > efecto tiene, si se activan los servicios, elimina ese valor. Entre
los
> > > servicios que se encuentra uno que controla el teclado, otro servicio
> > > controla el Firewall, services.exe no debe estar en C:\WINDOWS, es en
> > > C|WINDOWS\System32 donde debe estar; buscalo en su lugar correcto y
> > > comparalo en tamaño y propiedades con el de C:\WINDOWS\ debe decir en
> > > propiedades\version que es de Microsoft Corporation si resulta que es
de
> > > otro proveedor deberás eliminarlo. Es probablemente este services.exe
un
> > > troyano y es lo que te ha deshabilitado los servicios. Para Estar
> > > completamente seguro instala el Adaware SE, Spybot Search & Destroy, y
el
> > > SpywareBlaster como medida preventiva; Actualiza estos programas
después
> > de
> > > instalarlos y antes de correrlos. Si ninguno detecta el services.exe
como
> > > parásito tendrás que eliminarlo manualmente aunque es posible que no
> > puedas
> > > eliminarlo, en ese caso deberás tomar posesión del mismo para poder
> > > eliminarlo o hacerlo en modo seguro, para esto reinicia y pulsa la
tecla
> > F8
> > > al iniciar el sistema.
> > >
> > > CÓMO: Tomar posesión de un archivo o de una carpeta
> > > http://support.microsoft.com/defaul...-es;308421
> > >
> > > Programas antiespionaje.
> > > http://www.softonic.com/seccion/550/Anti-espionaje
> > >
> > > Saludos.
> > >
> > > -
> > > De: "Ryon Dymo"
> > > Asunto: Re: Servicios Desactivados
> > > Fecha: Tuesday, December 06, 2005 3:21 PM
> > >
> > > De antemano gracias por su respuesta.
> > > El sistema de Procedimiento Remoto esta activo e iniciado; sin embargo
no
> > > puedo habilitar el firewall de windows, el centro de seguridad,
restaurar
> > > sistema se desactiva luego de reiniciar el equipo y el teclado no
funciona
> > > con las combinaciones que usan la tecla alt, ni las tildes.
> > > Logre instalar un nuevo firewall y me doy con la sorpresa de que el
> > archivo
> > > C:\Windows\services.exe se inicia junto con windows e intenta
conectarse 3
> > o
> > > 4 veces a Internet tratando de localizar distintos IP en cada intento
de
> > > conexion. Este programa nunca se habia iniciado antes de que empezara
este
> > > problema.
> > >
> > > Pero los demas servicios siguen desactivados asi que aun hay mucho
riesgo
> > de
> > > que se filtre un virus o algo asi, tambien revise el registro de
Windows y
> > > logre llegar hasta el Centro de seguridad y todos los valores de sus
> > > notificaciones estaban en 0, por ejemplo AntiVirusDisableNotify valor
= 0,
> > > menos la que decia FirstRunDisabled que tenia el valor 1. Creo que
esos
> > > valores son incorrectos y aun asi sean o no los valores correctos o no
> > debe
> > > de haber algo, aparte del RPC, que obligue a los servicios de
seguridad a
> > > que
> > > no se activen. Entonces ¿cual es ese servicio o registro que impide
esto?
> > > "Juan" escribió:
> > >
> > > > Mira si tienes iniciado el servicio Llamada a procedimiento remoto;
de
> > > este
> > > > depende el de Acceso a dispositivos de interfaz humana y muchos
otros
> > > > servicios. Es decir si el de Procedimiento remoto se detiene,
también
> > > otros
> > > > 40 se detienen y además los que dependan de esos incluyendo el de
> > > > Administración de cuentas de seguridad, y el Firewall, etc. nada mas
> > abre
> > > el
> > > > servicio de Llamada a procedimiento remoto y luego ve a la pestaña
> > > > Dependencias para ver todos los servicios que resultan afectados.
> > Además
> > > > lee el siguiente articulo para conocer la causa y solución del
problema.
> > > Si
> > > > esa no resulta ser la causa es hora de escanear el sistema con el
> > Adaware,
> > > > Spybot etc. pues algunos bichos deshabilitan servicios e instalan
los
> > suyo
> > > > propios.
> > > >
> > > >
> > > >
> > > > La aplicación de Directiva de grupo hace que se produzcan errores y
> > > sucesos
> > > > Userenv en los equipos que ejecutan Windows Server 2003, Windows XP
o
> > > > Windows 2000
> > > > http://support.microsoft.com/defaul...887303#kb4
> > > >
> > > > Saludos
> > > >
> > > > -
> > > > "Ryon Dymo" escribió en el
mensaje
> > > > news:
> > > > > De antemano muchas gracias por la respuesta.
> > > > > Mi equipo ha perdido todo la seguridad que tenia. de un momento a
otro
> > > El
> > > > > Firewall de Windows, El Firewall que tenia instalado aparte, El
> > servicio
> > > > de
> > > > > interfaz humana y otros servicios quedaron detenidos y no se
quieren
> > > > > reiniciar.
> > > > > Abri el msconfig y los servicios estan seleccionados pero
detenidos.
> > > Abri
> > > > > las herramientas admistrativas/servicios y encontre los mismos
> > servicios
> > > > > desactivados, indique que su inicio sea automatico e intente
> > iniciarlos
> > > > pero
> > > > > aparece el error 1058 entonces ya que la interfaz humana y los
> > servicios
> > > > de
> > > > > seguridad ya no funcionan que puedo hacer para que se vuelvan a
> > iniciar
> > > y
> > > > > funcionar?
> > > >
> > > >
> > > >
> > > >
> > >
> > >
> > >
> >
> >
> >







Respuesta Responder a este mensaje
#4 Juan
11/12/2005 - 20:29 | Informe spam
Comienza por el programa antispyware que instalaste; ¿cuál es el nombre de
ese programa?, (El que dices aparece en el registro) ningún programa
antispyware de los que te recomendé aparece ni debe aparecer en el registro;
Si es alguno otro se puede tratar de algún programa malicioso que pueda ser
el responsable del services.exe.

Verifica ese antispyware aquí: En esta lista al menos hay siete considerados
como sospechosos,
http://www.vsantivirus.com/lista-nospyware.htm

Enseguida desconecta la linea de Internet para evitar cualquier conexión que
el bicho pueda tener a "su casa" y habiendo identificado el antispyware,
habiéndolo eliminado o asegurado que no es de peligro, toma posesión del
services.exe y aíslalo por completo de los derechos heredados en la pestaña
Seguridad, y marca todas las casillas (recuadros) en Denegar (permisos) y
además quita SYSTEM de entre los usuarios con acceso al programa, enseguida
cámbiale el nombre al services.exe por algún como por ejemplo virus.exe y
elimínalo ya sea manualmente o por medio del HijackThis (eliminando el
respaldo que se haya creado), y apaga el equipo como te dije antes pulsando
el botón de encendido por 10 segundos sin la corriente, si no hay buen
resultado prueba con otro programa y/o escanda en línea con el antivirus
Kaspersky, prueba diferentes combinaciones cambiándole el nombre al services
por nombres de virus o spyware conocidos para ver si algún programa es capaz
de eliminarlo y en modo seguro para lograr mejor resultado.

CÓMO: Tomar posesión de un archivo o de una carpeta
http://support.microsoft.com/defaul...-es;308421

Usa un antivirus en-línea como el Kaspersky. (y actualiza el tuyo)
http://www.kaspersky.com/virusscanner

Cuéntanos lo que resulte.

Saludos.

-
"Ryon Dymo" escribió en el mensaje
news:
De antemano muchas gracias por la respuesta

Bueno ya intenté de esta forma y tampoco se puede eliminar ese bicho.
Cuando lo intento eliminar manualmente aparece un mensaje de tipo parada
critica que dice:
"No se puede eliminar services: Esta siendo usado por otra persona o
programa.
Cierre todos los programas que puedan estar utilizando este archivo e
intentelo de nuevo."

Y cuando abro el "Administrador de tareas de Windows" dice que el nombre


del
usuario que abrio ese archivo es "SYSTEM", (que supuestamente tiene


prohibido
el acceso a este archivo), y cuando lo intento cerrar aparece un mensaje


que
dice:

"Este es un proceso de sistema critico. El administrador de tareas no


puede
finalizar este proceso."

Y no lo puedo finalizar.

Cuando inicio en Modo a prueba de fallos sucede lo mismo.

Tambien hubo un error en ese programa, y salio ese tipico letrero de


windows
que anuncia que se va a cerrar un determinado programa en este caso
services.exe

Cuando sucedio eso aproveche para eliminarlo, abri windows y como todavia
habia dejado ese mensaje activo Windows no se mostraba estaba parpadeando


a
cada rato como si estuviera presionando F5. Entonces di clic en No enviar
informes y luego por fin el directorio c:\windows estuvo normal asi que
rapidamente elimine el archivo services.exe y se borro; pero asi como se
borro volvio a aparecer y en menos de 5 segundos ya estaba de nuevo


iniciado
por SYSTEM y en el directorio C:\WINDOWS.

Entonces que queda por hacer asi aunque lo elimine de nuevo se va cargar


por
SYSTEM, si reinicio el equipo va a aparecer de nuevo junto con su copia
"fservices.exe" que se encuentra en C:WINDOWS\system32.
Cuando abro el editor de registro no existe o al menos no se muestra:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Y en las claves
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Solo esta el antivirus y el antispyware que instale. no aparecen los demas
programas que se inician.

Entonces lo unico seria indicar a Windows que este no es un archivo


critico
de sistema y que no se debe de iniciar junto con el explorer.exe ni con
Windows.
¿Y como podria hacer eso? Debe de existir forma alguna ya que si ese
programa se auto registro como proceso critico de sistema debe de haber
alguna forma de deshacer esto. ¿Como podria hacer esto?¿O que deberia


hacer
ahora?

"Juan" escribió:

> Debes buscar el Services.exe (el del sistema) en la carpeta del sistema,


con
> ese conocimiento no importa lo que diga el cuadro del sistema respecto a


no
> poder eliminar el troyano disfrazado de services.exe... no me queda


claro si
> intentaste eliminarlo con los programas antiespias; si así fue y no se


pudo
> reinicia el equipo en modo seguro pulsando la tecla F8 al reinicio y ve


al
> botón Inicio\Ejecutar\pestaña inicio si se encuentran ahí tanto el
> sevices.exe(bicho) como los 3 procesos de registro, demárcalos y corre


el
> HijackThis.. Después de marcar y eliminar con el HijackThis ese mismo
> programa hace respaldos de lo que elimina así que debes también eliminar


los
> respaldos para que no se restauren; haz eso pulsando el boton Config...


y
> despues Backups... selecciona los spyware y eliminalos. Si tienes


alguna
> dificultad, todavía en Modo Seguro ve a donde se encuentra el spyware y
> elimínalo manualmente, en modo seguro no se podrá resistir, ignora el
> mensaje del sistema pues debe ser confusión, estando el programa
> services.exe genuino en su carpeta del sistema no debe ocurrir nada
> anormal.
>
> Adicionalmente para eliminar lo que pueda quedar en el registro, ve a
> Inicio\Ejecutar y escribe regedit.msc y acepta y busca en clave Run de


todas
> las ramas del registro de HKEY_LOCAL_MACHINE, HKEY_LOCAL_USER y


HKEY_USERS
> siguiendo la misma ruta en cada una de las ramas, la ruta es
>
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
>
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
>
> HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run es


esta
> ultima rama sigue la misma ruta en todas las subclaves hasta la clave


Run
>
> En Local Machine encontraras el valor predeterminado y varios procesos


del
> sistema como puede ser al antivirus, la barra de accesos de Office, e
> messenger, CTFMON.EXE todos estos valores no los toques, después de


estos
> todo lo que aparezca es considerado sospechoso y debe ser eliminado.
>
> Habiendo eliminado todos los spyware apaga el equipo (no es reinicio)
> enseguida desconecta la corriente del equipo, pulsa el botón de


encendido y
> mantenlo pulsado por 10 segundos, reconecta la corriente y enciende el
> equipo.
>
> Es probable que todo esto lo solucione pero debes seguir al pie de la


letra
> las instrucciones.
>
> Descarga del HijackThis desde la primer pagina de preferencia, es la


ultima
> versión.
> http://www.wilkinsonpc.com.co/free/hijackthis.html
> http://www.spywareinfo.com/~merijn/
> http://www.majorgeeks.com/download3155.html
>
> Saludos.
> -
> "Ryon Dymo" escribió en el mensaje
> news:
> > De antemano gracias por su respuesta
> > Bueno ya instale los 3 antispyware y dos de ellos detectaron a
> services.exe
> > como espia, tambien detectaron otras infecciones y registros alterados


o
> > agregados que no debian de existir. Tambien me volvi propietario de
> Windows
> > Del disco duro C del mismo programa services.exe y nada el Sistema lo
> sigue
> > iniciando a pesar de que en los permisos indique que se le deniegue el
> acceso
> > total, y no lo puedo finalizar por que el Administrador de tareas de
> Windows
> > dice que es Un proceso de sistema critico y que el administrador de


tareas
> no
> > puede finalizar ese proceso. No solamente eso sino que al reiniciar el
> equipo
> > 3 registros se agregan automaticamente aun no se porque. Y como ya


habia
> > dicho los antispyware detectaron a services.exe como programa maligno


pero
> no
> > lo podian eliminar porque estaba siendo usado por otro programa o


usuario
> > (supongo que el sistema). Entonces como hago para convertir un


programa
> que
> > es un "proceso critico de sistema" en un simple archivo? para poder
> > finalizarlo y eliminarlo de una vez por todas. o existe otra solucion?
> > "Juan" escribió:
> >
> > >
> > > "Juan" escribió en el mensaje news:...
> > > > En primer lugar services.exe debe estar infectado pues no se debe
> conectar
> > > a
> > > > Internet... el valor FirstRunDisabled debe ser lo que desactiva


los
> > > > servicios, cámbiale de 1 a 0 (cero) y reinicia el sistema para ver


que
> > > > efecto tiene, si se activan los servicios, elimina ese valor.


Entre
> los
> > > > servicios que se encuentra uno que controla el teclado, otro


servicio
> > > > controla el Firewall, services.exe no debe estar en C:\WINDOWS, es


en
> > > > C|WINDOWS\System32 donde debe estar; buscalo en su lugar correcto


y
> > > > comparalo en tamaño y propiedades con el de C:\WINDOWS\ debe decir


en
> > > > propiedades\version que es de Microsoft Corporation si resulta que


es
> de
> > > > otro proveedor deberás eliminarlo. Es probablemente este


services.exe
> un
> > > > troyano y es lo que te ha deshabilitado los servicios. Para Estar
> > > > completamente seguro instala el Adaware SE, Spybot Search &


Destroy, y
> el
> > > > SpywareBlaster como medida preventiva; Actualiza estos programas
> después
> > > de
> > > > instalarlos y antes de correrlos. Si ninguno detecta el


services.exe
> como
> > > > parásito tendrás que eliminarlo manualmente aunque es posible que


no
> > > puedas
> > > > eliminarlo, en ese caso deberás tomar posesión del mismo para


poder
> > > > eliminarlo o hacerlo en modo seguro, para esto reinicia y pulsa la
> tecla
> > > F8
> > > > al iniciar el sistema.
> > > >
> > > > CÓMO: Tomar posesión de un archivo o de una carpeta
> > > > http://support.microsoft.com/defaul...-es;308421
> > > >
> > > > Programas antiespionaje.
> > > > http://www.softonic.com/seccion/550/Anti-espionaje
> > > >
> > > > Saludos.
> > > >
> > > > -
> > > > De: "Ryon Dymo"
> > > > Asunto: Re: Servicios Desactivados
> > > > Fecha: Tuesday, December 06, 2005 3:21 PM
> > > >
> > > > De antemano gracias por su respuesta.
> > > > El sistema de Procedimiento Remoto esta activo e iniciado; sin


embargo
> no
> > > > puedo habilitar el firewall de windows, el centro de seguridad,
> restaurar
> > > > sistema se desactiva luego de reiniciar el equipo y el teclado no
> funciona
> > > > con las combinaciones que usan la tecla alt, ni las tildes.
> > > > Logre instalar un nuevo firewall y me doy con la sorpresa de que


el
> > > archivo
> > > > C:\Windows\services.exe se inicia junto con windows e intenta
> conectarse 3
> > > o
> > > > 4 veces a Internet tratando de localizar distintos IP en cada


intento
> de
> > > > conexion. Este programa nunca se habia iniciado antes de que


empezara
> este
> > > > problema.
> > > >
> > > > Pero los demas servicios siguen desactivados asi que aun hay mucho
> riesgo
> > > de
> > > > que se filtre un virus o algo asi, tambien revise el registro de
> Windows y
> > > > logre llegar hasta el Centro de seguridad y todos los valores de


sus
> > > > notificaciones estaban en 0, por ejemplo AntiVirusDisableNotify


valor
> = 0,
> > > > menos la que decia FirstRunDisabled que tenia el valor 1. Creo que
> esos
> > > > valores son incorrectos y aun asi sean o no los valores correctos


o no
> > > debe
> > > > de haber algo, aparte del RPC, que obligue a los servicios de
> seguridad a
> > > > que
> > > > no se activen. Entonces ¿cual es ese servicio o registro que


impide
> esto?
> > > > "Juan" escribió:
> > > >
> > > > > Mira si tienes iniciado el servicio Llamada a procedimiento


remoto;
> de
> > > > este
> > > > > depende el de Acceso a dispositivos de interfaz humana y muchos
> otros
> > > > > servicios. Es decir si el de Procedimiento remoto se detiene,
> también
> > > > otros
> > > > > 40 se detienen y además los que dependan de esos incluyendo el


de
> > > > > Administración de cuentas de seguridad, y el Firewall, etc. nada


mas
> > > abre
> > > > el
> > > > > servicio de Llamada a procedimiento remoto y luego ve a la


pestaña
> > > > > Dependencias para ver todos los servicios que resultan


afectados.
> > > Además
> > > > > lee el siguiente articulo para conocer la causa y solución del
> problema.
> > > > Si
> > > > > esa no resulta ser la causa es hora de escanear el sistema con


el
> > > Adaware,
> > > > > Spybot etc. pues algunos bichos deshabilitan servicios e


instalan
> los
> > > suyo
> > > > > propios.
> > > > >
> > > > >
> > > > >
> > > > > La aplicación de Directiva de grupo hace que se produzcan


errores y
> > > > sucesos
> > > > > Userenv en los equipos que ejecutan Windows Server 2003, Windows


XP
> o
> > > > > Windows 2000
> > > > > http://support.microsoft.com/defaul...887303#kb4
> > > > >
> > > > > Saludos
> > > > >
> > > > > -
> > > > > "Ryon Dymo" escribió en el
> mensaje
> > > > > news:
> > > > > > De antemano muchas gracias por la respuesta.
> > > > > > Mi equipo ha perdido todo la seguridad que tenia. de un


momento a
> otro
> > > > El
> > > > > > Firewall de Windows, El Firewall que tenia instalado aparte,


El
> > > servicio
> > > > > de
> > > > > > interfaz humana y otros servicios quedaron detenidos y no se
> quieren
> > > > > > reiniciar.
> > > > > > Abri el msconfig y los servicios estan seleccionados pero
> detenidos.
> > > > Abri
> > > > > > las herramientas admistrativas/servicios y encontre los mismos
> > > servicios
> > > > > > desactivados, indique que su inicio sea automatico e intente
> > > iniciarlos
> > > > > pero
> > > > > > aparece el error 1058 entonces ya que la interfaz humana y los
> > > servicios
> > > > > de
> > > > > > seguridad ya no funcionan que puedo hacer para que se vuelvan


a
> > > iniciar
> > > > y
> > > > > > funcionar?
> > > > >
> > > > >
> > > > >
> > > > >
> > > >
> > > >
> > > >
> > >
> > >
> > >
>
>
>
>
>
>
>
Respuesta Responder a este mensaje
#5 Juan
11/12/2005 - 20:44 | Informe spam
Correccion: "En esta lista al menos hay siete considerados como
sospechosos", debí decir; Si el programa antispyware al que haces mención
aparece en la lista de Vsantivirus debes desinstalarlo de inmediato, y
escanear el sistema con otro programa sea el Adaware o el Spybot pues ese
tipo de programas sospechosos por lo regular dejan "algo" al ser
desinstalados. Aunque de la lista no todos los programas se hayan
demostrado que sean malware, es mejor tomarlos como tales por el riesgo que
representan.

http://www.vsantivirus.com/lista-nospyware.htm

-
"Juan" escribió en el mensaje
news:#X1pEko$
Comienza por el programa antispyware que instalaste; ¿cuál es el nombre de
ese programa?, (El que dices aparece en el registro) ningún programa
antispyware de los que te recomendé aparece ni debe aparecer en el


registro;
Si es alguno otro se puede tratar de algún programa malicioso que pueda


ser
el responsable del services.exe.

Verifica ese antispyware aquí: En esta lista al menos hay siete


considerados
como sospechosos,
http://www.vsantivirus.com/lista-nospyware.htm

Enseguida desconecta la linea de Internet para evitar cualquier conexión


que
el bicho pueda tener a "su casa" y habiendo identificado el antispyware,
habiéndolo eliminado o asegurado que no es de peligro, toma posesión del
services.exe y aíslalo por completo de los derechos heredados en la


pestaña
Seguridad, y marca todas las casillas (recuadros) en Denegar (permisos) y
además quita SYSTEM de entre los usuarios con acceso al programa,


enseguida
cámbiale el nombre al services.exe por algún como por ejemplo virus.exe y
elimínalo ya sea manualmente o por medio del HijackThis (eliminando el
respaldo que se haya creado), y apaga el equipo como te dije antes


pulsando
el botón de encendido por 10 segundos sin la corriente, si no hay buen
resultado prueba con otro programa y/o escanda en línea con el antivirus
Kaspersky, prueba diferentes combinaciones cambiándole el nombre al


services
por nombres de virus o spyware conocidos para ver si algún programa es


capaz
de eliminarlo y en modo seguro para lograr mejor resultado.

CÓMO: Tomar posesión de un archivo o de una carpeta
http://support.microsoft.com/defaul...-es;308421

Usa un antivirus en-línea como el Kaspersky. (y actualiza el tuyo)
http://www.kaspersky.com/virusscanner

Cuéntanos lo que resulte.

Saludos.

-
"Ryon Dymo" escribió en el mensaje
news:
> De antemano muchas gracias por la respuesta
>
> Bueno ya intenté de esta forma y tampoco se puede eliminar ese bicho.
> Cuando lo intento eliminar manualmente aparece un mensaje de tipo parada
> critica que dice:
> "No se puede eliminar services: Esta siendo usado por otra persona o
> programa.
> Cierre todos los programas que puedan estar utilizando este archivo e
> intentelo de nuevo."
>
> Y cuando abro el "Administrador de tareas de Windows" dice que el nombre
del
> usuario que abrio ese archivo es "SYSTEM", (que supuestamente tiene
prohibido
> el acceso a este archivo), y cuando lo intento cerrar aparece un mensaje
que
> dice:
>
> "Este es un proceso de sistema critico. El administrador de tareas no
puede
> finalizar este proceso."
>
> Y no lo puedo finalizar.
>
> Cuando inicio en Modo a prueba de fallos sucede lo mismo.
>
> Tambien hubo un error en ese programa, y salio ese tipico letrero de
windows
> que anuncia que se va a cerrar un determinado programa en este caso
> services.exe
>
> Cuando sucedio eso aproveche para eliminarlo, abri windows y como


todavia
> habia dejado ese mensaje activo Windows no se mostraba estaba


parpadeando
a
> cada rato como si estuviera presionando F5. Entonces di clic en No


enviar
> informes y luego por fin el directorio c:\windows estuvo normal asi que
> rapidamente elimine el archivo services.exe y se borro; pero asi como se
> borro volvio a aparecer y en menos de 5 segundos ya estaba de nuevo
iniciado
> por SYSTEM y en el directorio C:\WINDOWS.
>
> Entonces que queda por hacer asi aunque lo elimine de nuevo se va cargar
por
> SYSTEM, si reinicio el equipo va a aparecer de nuevo junto con su copia
> "fservices.exe" que se encuentra en C:WINDOWS\system32.
> Cuando abro el editor de registro no existe o al menos no se muestra:
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> Y en las claves
> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> Solo esta el antivirus y el antispyware que instale. no aparecen los


demas
> programas que se inician.
>
> Entonces lo unico seria indicar a Windows que este no es un archivo
critico
> de sistema y que no se debe de iniciar junto con el explorer.exe ni con
> Windows.
> ¿Y como podria hacer eso? Debe de existir forma alguna ya que si ese
> programa se auto registro como proceso critico de sistema debe de haber
> alguna forma de deshacer esto. ¿Como podria hacer esto?¿O que deberia
hacer
> ahora?
>
> "Juan" escribió:
>
> > Debes buscar el Services.exe (el del sistema) en la carpeta del


sistema,
con
> > ese conocimiento no importa lo que diga el cuadro del sistema respecto


a
no
> > poder eliminar el troyano disfrazado de services.exe... no me queda
claro si
> > intentaste eliminarlo con los programas antiespias; si así fue y no se
pudo
> > reinicia el equipo en modo seguro pulsando la tecla F8 al reinicio y


ve
al
> > botón Inicio\Ejecutar\pestaña inicio si se encuentran ahí tanto el
> > sevices.exe(bicho) como los 3 procesos de registro, demárcalos y corre
el
> > HijackThis.. Después de marcar y eliminar con el HijackThis ese mismo
> > programa hace respaldos de lo que elimina así que debes también


eliminar
los
> > respaldos para que no se restauren; haz eso pulsando el boton


Config...
y
> > despues Backups... selecciona los spyware y eliminalos. Si tienes
alguna
> > dificultad, todavía en Modo Seguro ve a donde se encuentra el spyware


y
> > elimínalo manualmente, en modo seguro no se podrá resistir, ignora el
> > mensaje del sistema pues debe ser confusión, estando el programa
> > services.exe genuino en su carpeta del sistema no debe ocurrir nada
> > anormal.
> >
> > Adicionalmente para eliminar lo que pueda quedar en el registro, ve a
> > Inicio\Ejecutar y escribe regedit.msc y acepta y busca en clave Run de
todas
> > las ramas del registro de HKEY_LOCAL_MACHINE, HKEY_LOCAL_USER y
HKEY_USERS
> > siguiendo la misma ruta en cada una de las ramas, la ruta es
> >
> > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
> >
> > HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
> >
> > HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run es
esta
> > ultima rama sigue la misma ruta en todas las subclaves hasta la clave
Run
> >
> > En Local Machine encontraras el valor predeterminado y varios procesos
del
> > sistema como puede ser al antivirus, la barra de accesos de Office, e
> > messenger, CTFMON.EXE todos estos valores no los toques, después de
estos
> > todo lo que aparezca es considerado sospechoso y debe ser eliminado.
> >
> > Habiendo eliminado todos los spyware apaga el equipo (no es reinicio)
> > enseguida desconecta la corriente del equipo, pulsa el botón de
encendido y
> > mantenlo pulsado por 10 segundos, reconecta la corriente y enciende el
> > equipo.
> >
> > Es probable que todo esto lo solucione pero debes seguir al pie de la
letra
> > las instrucciones.
> >
> > Descarga del HijackThis desde la primer pagina de preferencia, es la
ultima
> > versión.
> > http://www.wilkinsonpc.com.co/free/hijackthis.html
> > http://www.spywareinfo.com/~merijn/
> > http://www.majorgeeks.com/download3155.html
> >
> > Saludos.
> > -
> > "Ryon Dymo" escribió en el


mensaje
> > news:
> > > De antemano gracias por su respuesta
> > > Bueno ya instale los 3 antispyware y dos de ellos detectaron a
> > services.exe
> > > como espia, tambien detectaron otras infecciones y registros


alterados
o
> > > agregados que no debian de existir. Tambien me volvi propietario de
> > Windows
> > > Del disco duro C del mismo programa services.exe y nada el Sistema


lo
> > sigue
> > > iniciando a pesar de que en los permisos indique que se le deniegue


el
> > acceso
> > > total, y no lo puedo finalizar por que el Administrador de tareas de
> > Windows
> > > dice que es Un proceso de sistema critico y que el administrador de
tareas
> > no
> > > puede finalizar ese proceso. No solamente eso sino que al reiniciar


el
> > equipo
> > > 3 registros se agregan automaticamente aun no se porque. Y como ya
habia
> > > dicho los antispyware detectaron a services.exe como programa


maligno
pero
> > no
> > > lo podian eliminar porque estaba siendo usado por otro programa o
usuario
> > > (supongo que el sistema). Entonces como hago para convertir un
programa
> > que
> > > es un "proceso critico de sistema" en un simple archivo? para poder
> > > finalizarlo y eliminarlo de una vez por todas. o existe otra


solucion?
> > > "Juan" escribió:
> > >
> > > >
> > > > "Juan" escribió en el mensaje news:...
> > > > > En primer lugar services.exe debe estar infectado pues no se


debe
> > conectar
> > > > a
> > > > > Internet... el valor FirstRunDisabled debe ser lo que desactiva
los
> > > > > servicios, cámbiale de 1 a 0 (cero) y reinicia el sistema para


ver
que
> > > > > efecto tiene, si se activan los servicios, elimina ese valor.
Entre
> > los
> > > > > servicios que se encuentra uno que controla el teclado, otro
servicio
> > > > > controla el Firewall, services.exe no debe estar en C:\WINDOWS,


es
en
> > > > > C|WINDOWS\System32 donde debe estar; buscalo en su lugar


correcto
y
> > > > > comparalo en tamaño y propiedades con el de C:\WINDOWS\ debe


decir
en
> > > > > propiedades\version que es de Microsoft Corporation si resulta


que
es
> > de
> > > > > otro proveedor deberás eliminarlo. Es probablemente este
services.exe
> > un
> > > > > troyano y es lo que te ha deshabilitado los servicios. Para


Estar
> > > > > completamente seguro instala el Adaware SE, Spybot Search &
Destroy, y
> > el
> > > > > SpywareBlaster como medida preventiva; Actualiza estos programas
> > después
> > > > de
> > > > > instalarlos y antes de correrlos. Si ninguno detecta el
services.exe
> > como
> > > > > parásito tendrás que eliminarlo manualmente aunque es posible


que
no
> > > > puedas
> > > > > eliminarlo, en ese caso deberás tomar posesión del mismo para
poder
> > > > > eliminarlo o hacerlo en modo seguro, para esto reinicia y pulsa


la
> > tecla
> > > > F8
> > > > > al iniciar el sistema.
> > > > >
> > > > > CÓMO: Tomar posesión de un archivo o de una carpeta
> > > > > http://support.microsoft.com/defaul...-es;308421
> > > > >
> > > > > Programas antiespionaje.
> > > > > http://www.softonic.com/seccion/550/Anti-espionaje
> > > > >
> > > > > Saludos.
> > > > >
> > > > > -
> > > > > De: "Ryon Dymo"
> > > > > Asunto: Re: Servicios Desactivados
> > > > > Fecha: Tuesday, December 06, 2005 3:21 PM
> > > > >
> > > > > De antemano gracias por su respuesta.
> > > > > El sistema de Procedimiento Remoto esta activo e iniciado; sin
embargo
> > no
> > > > > puedo habilitar el firewall de windows, el centro de seguridad,
> > restaurar
> > > > > sistema se desactiva luego de reiniciar el equipo y el teclado


no
> > funciona
> > > > > con las combinaciones que usan la tecla alt, ni las tildes.
> > > > > Logre instalar un nuevo firewall y me doy con la sorpresa de que
el
> > > > archivo
> > > > > C:\Windows\services.exe se inicia junto con windows e intenta
> > conectarse 3
> > > > o
> > > > > 4 veces a Internet tratando de localizar distintos IP en cada
intento
> > de
> > > > > conexion. Este programa nunca se habia iniciado antes de que
empezara
> > este
> > > > > problema.
> > > > >
> > > > > Pero los demas servicios siguen desactivados asi que aun hay


mucho
> > riesgo
> > > > de
> > > > > que se filtre un virus o algo asi, tambien revise el registro de
> > Windows y
> > > > > logre llegar hasta el Centro de seguridad y todos los valores de
sus
> > > > > notificaciones estaban en 0, por ejemplo AntiVirusDisableNotify
valor
> > = 0,
> > > > > menos la que decia FirstRunDisabled que tenia el valor 1. Creo


que
> > esos
> > > > > valores son incorrectos y aun asi sean o no los valores


correctos
o no
> > > > debe
> > > > > de haber algo, aparte del RPC, que obligue a los servicios de
> > seguridad a
> > > > > que
> > > > > no se activen. Entonces ¿cual es ese servicio o registro que
impide
> > esto?
> > > > > "Juan" escribió:
> > > > >
> > > > > > Mira si tienes iniciado el servicio Llamada a procedimiento
remoto;
> > de
> > > > > este
> > > > > > depende el de Acceso a dispositivos de interfaz humana y


muchos
> > otros
> > > > > > servicios. Es decir si el de Procedimiento remoto se detiene,
> > también
> > > > > otros
> > > > > > 40 se detienen y además los que dependan de esos incluyendo el
de
> > > > > > Administración de cuentas de seguridad, y el Firewall, etc.


nada
mas
> > > > abre
> > > > > el
> > > > > > servicio de Llamada a procedimiento remoto y luego ve a la
pestaña
> > > > > > Dependencias para ver todos los servicios que resultan
afectados.
> > > > Además
> > > > > > lee el siguiente articulo para conocer la causa y solución del
> > problema.
> > > > > Si
> > > > > > esa no resulta ser la causa es hora de escanear el sistema con
el
> > > > Adaware,
> > > > > > Spybot etc. pues algunos bichos deshabilitan servicios e
instalan
> > los
> > > > suyo
> > > > > > propios.
> > > > > >
> > > > > >
> > > > > >
> > > > > > La aplicación de Directiva de grupo hace que se produzcan
errores y
> > > > > sucesos
> > > > > > Userenv en los equipos que ejecutan Windows Server 2003,


Windows
XP
> > o
> > > > > > Windows 2000
> > > > > >


http://support.microsoft.com/defaul...887303#kb4
> > > > > >
> > > > > > Saludos
> > > > > >
> > > > > > -
> > > > > > "Ryon Dymo" escribió en


el
> > mensaje
> > > > > > news:
> > > > > > > De antemano muchas gracias por la respuesta.
> > > > > > > Mi equipo ha perdido todo la seguridad que tenia. de un
momento a
> > otro
> > > > > El
> > > > > > > Firewall de Windows, El Firewall que tenia instalado aparte,
El
> > > > servicio
> > > > > > de
> > > > > > > interfaz humana y otros servicios quedaron detenidos y no se
> > quieren
> > > > > > > reiniciar.
> > > > > > > Abri el msconfig y los servicios estan seleccionados pero
> > detenidos.
> > > > > Abri
> > > > > > > las herramientas admistrativas/servicios y encontre los


mismos
> > > > servicios
> > > > > > > desactivados, indique que su inicio sea automatico e intente
> > > > iniciarlos
> > > > > > pero
> > > > > > > aparece el error 1058 entonces ya que la interfaz humana y


los
> > > > servicios
> > > > > > de
> > > > > > > seguridad ya no funcionan que puedo hacer para que se


vuelvan
a
> > > > iniciar
> > > > > y
> > > > > > > funcionar?
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > >
> > > > >
> > > > >
> > > >
> > > >
> > > >
> >
> >
> >
> >
> >
> >
> >



Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida