Privilegios XP Home

Buenas, tengo el siguiente problema en un portátil HP con XP Home. Si quiero hacer un cambio correspondiente a un administrador me lanza el error: "no tiene suficientes privilegios para..." (entiendo que con esto basta).



Bien, el tema es que esto me sucede con la cuenta que tengo de administrador. También me sucede si arranco en modo seguro y entro con la cuenta "oculta" cuyo nombre es administrador.



Alguien sabe qué puedo hacer??



Un saludo



P.D. el tema es que tengo un problemón de recuperación de datos. En estos momentos necesito hacer una serie de cambios para ver si lo consigo, pero no puedo. Si es necesario ya os iré comentando lo demás...

Otra cosa. En qué línea(s) del registro se hace referencia a las cuentas de usuario?? Exactamente a los nombres de los usuarios y sus archivos??

Lo sabe alguien?? Es que no consigo recuperar los datos de mis documentos de uno de los usuarios...



Un saludo

Hola.



En XP Home las cosas no son iguales que en XP Pro y existe un solo administrador real que es la cuenta a la cual accedes desde el modo seguro.



Para recuperar los datos debes hacerlo desde esa cuenta haciendote propietario de la carpeta y despues agregandote a los usuarios autorizados a verla.



Aqui arriba hay un tema pegado:



Como recuperar "Mis documentos" despues de reinstalar XP Home Edition



revisalo y si te queda alguna duda pregunta.

Ya he leido todo ese tema. Pero lo que me sucede es distinto. Si yo voy al administrador de dispositivos (por ejemplo), me lanza ese error de los privilegios. Aunque lo haga desde la cuenta de administrador en modo seguro. Y no puedo cambiar nada importante.



Lo del registro no lo sabrás??





Un saludo

Si no has manipulado el registro para restringir ciertas cosas es muy probable que estés o que hayas estado infectado por algun malware. En muchos casos no es suficiente removerlo con un antivirus y hay que restaurar los cambios en el registro pero para eso hay que saber primero que malware es y que cambios realiza.



Por favor bajate el HijackThis y coloca aqui el log para ver si hay algo extraño corriendo en tu sistema y si recientemente has removido algun malware con tu antivirus trata de acordarte el nombre para averiguar que hace y como revertir todos los cambios.



Si en cambio estas tratando de recuperar los datos de algun empleado despedido es muy probable que este haya manupulado el registro para ponertelo mas dificil, en este caso lo mas rapido es reinstalar el sistema y despues recuperar los datos o pegar el disco como Slave en otro equipo y recuperarlos.

Vale, ahora vamos mejor. Te pego aquí el log del hijackthis. He borrado alguna cosa que sabía seguro lo que era:



Logfile of HijackThis v1.98.2

Scan saved at 1:12:34, on 25/8/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\system32\HPConfig.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuamgrd.exe

C:\WINDOWS\System32\carpserv.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Standard.YOUR-SH3D351T2G\Mis documentos\HijackThis.exe



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://autoconfig.cpqcorp.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe

O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstFred.ocx

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcDcToday.ocx

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD 2002 Esp\InstBanr.ocx

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD 2002 Esp\AcPreview.ocx



He pasado ad-aware y spyboot actualizados y he borrado todas las entradas que me ha encontrado (no demasiadas). Norton no detecta virus. Pero yo sé que ha habido.



Te detallo más cosas. Todo este problema viene relacionado con un post que creo escribí la semana pasada con un mensaje raro: "las directivas locales de este sistema no le permiten iniciar una sesión interactiva" (por cierto, que hay un post de leiru comentando el mismo tema). Bien, el caso es que yo ya he levantado el sistema (voy a ir detallando el cómo en ese post que ha abierto leiru, si te parece, y cierras el que abrí yo?).



Bueno, el caso es que tras conseguir entrar me encuentro con lo siguiente: Quiero recuperar los datos que había en la carpeta de mis documentos del único usuario del equipo (llamado standard). Bien, los datos de las cuentas de los usuarios se guardan en documents and settings. Si muestro todos los archivos y carpetas aparecen las siguientes carpetas: all users, default user (oculta), propietario (usuario único y actual) y ¡SORPRESA! otro archivo oculto con el nombre de Standard que era el usuario anterior, de donde yo quiero recuperar los datos. Ocupa 4608 Kb que es más o menos la información que he descubierto había en mis documentos de dicho usuario. Esto me lo muestra como archivo con el icono ese del güindos de que no reconoce el programa que lo abre. Y yo ya me pierdo...



He hecho otra cosa. Por si acertaba he creado una nueva cuenta de usuario con el nombre de standard, pero el sistema lo que hace es crear otra carpeta en documents and settings con una extensión rara. A la carpeta me la nombra Standard.YOUR-SH3D351T2G. Y el archivo oculto sigue ahí.



Entiendo que los datos siguen estando (no he formateado, no me he cargado la partición, la cantidad de información es aproximadamente la misma...), pero yo no puedo acceder a ellos.



Ahora estoy intentando descubrir en que líneas del registro está la información relacionada con las cuentas de usuario, es decir con las carpetas que aparecen en documents and settings. Mi idea es hacer referencia en dicha clave al archivo en cuestión. Creo que el tema está en la clave SAM, pero no lo termino de ver (tengo copia del registro actual por si aca).



De momento os pongo todo esto (que no es poco). Y a ver si doy con el tema.



Un saludo



P.D. Por cierto, el maldito HP este no es mío. Es de buen amigo al que un día le apareció por arte de magia este mensaje. Y tengo mis dudas de qué ha pasado. Tengo que preguntarle a leiru, pero en el caso de este portátil el güindos estaba sin activar. A parte de que ha pasado por manos del Sasser, el blaster y alguna otra cosa. La solución por allí...

Estás infectado por este gusano:



http://esp.sophos.com/virusinfo/analyses/w32rbotdx.html



y queda una entrada de registro de este otro:



http://www.trendmicro.com/vinfo/virusencyc...e=WORM_SDBOT.WY



este ultimo no parece estar activo ya que no lo veo entre los procesos pero cheka esta entrada:



O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe



y dale a fix.



Para remover el primero sigue las instrucciones de la pagina que te he colocado ya que estan en Español.



Despues de desactivar la opcion de restaurar el sistema............

Tendrá que editar las entradas modificadas.





Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.





Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.





En HKEY_LOCAL_MACHINE localice y borre las siguientes entradas:





HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \

Microsoft Updete = wuamgrd.exe





HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\

Microsoft Updete = wuamgrd.exe





Cada usuario dispone de un área en el registro de la forma HKEY_USERS\[código de usuario]\. Por cada usuario localice y borre la siguiente entrada:





HKCU\[código de usuario]\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft Updete = wuamgrd.exe





Cierre el editor del registro.





Verifique también los siguientes puntos:



Para reactivar DCOM puede modificar el registro, pero es conveniente utilizar Dcomcnfg.exe. Vea el artículo de Microsoft 825750 para más detalles.



El valor HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = "1" no permite la enumeración de cuentas y nombre s SAM. El valor predeterminado es "0", que podrá modificarlo desde el administrador de políticas locales. Vea el artículo Microsoft 246261 para más información.



Compruebe la contraseña de administrador de la red y revise la seguridad de su red.

Asegurate que tu sistema esté actualizado ya que ambos explotan vulnerabilidades de Windows para las cuales ya existen parches.



No hay razones para las cuales no puedas entrar a la carpeta del usuario, como administrador del sistema puedes tomar posesion de cualquier carpeta de cualquier instalación de Windows y despues agregarte a la lista de usuarios autorizados a entrar a la carpeta. Olvidate de hacerlo por el registro porque no tiene nada a que ver con eso, ya es cosa del sistema de archivos NTFS.



Por otro lado esta entrada que coloca el gusano:



HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous = "1"



para impedir las sesiones nulas podria estar a la base del problema anterior que has tenido cuando no podias iniciar la sesion desde ninguna cuenta puesto que ninguna tenia contraseña a pesar de que no es algo normal y no deberia influir en nada sobre las sesiones locales ni seguramente sea algo planificado por los creadores del gusano. Realmente raro :(

Gracias, ya lo he conseguido. Por fin puedo ver mis datooossssssssss.







Bueno, que estaban en una carpeta oculta por ahí de esas de sistema. Ahora a hacer una copia de los datos y después a "destrozar" el sistema operativo ese.



He estado mirando más procesos que tengo en el pc y aquí hay de todo.



Ha habido blaster, sasser, dos troyanos, los dos que me comenta alnitak, dialers y yo que sé que más. Por cierto, la clave esa del registro estaba con valor 1. Así que entiendo que el problema de las directivas locales que me daba al principio es problema de el troyano ese de los esos.



Por eso pienso decirle a mi amigo que formatee todo e instale otra vez desde cero. El registro de ese sistema está vuelta al aire...



Un saludo