CUENTA DESCONOCIDA S-1-15-21-366533195

Iniciado por Yehowah, 19 Junio 2010, 22:35 PM

0 Miembros y 1 Visitante están viendo este tema.

Yehowah

Hola:
Tengo Windows Vista con servipack 2 y uso AVG antivirus.
He visto que en Propiedades->Seguridad de muchos de mis archivos y carpetas, me aprece una "CUENTA DESCONOCIDA S-1-15-21-366533195 -364908539".
Buscando en Google he visto de todo, que es un troyano, que puede ser de una cuenta eliminada, que no deja ejecutar determinados programas, etc.
Bueno a lo que vamos ¿como puedo eliminarla?
Saludos

Novlucker

Por si acaso revisa las cuentas con PsGetSid, pero si parece rara :-\

Por otra parte, botón derecho sobre MI PC > Administrar > Administración del equipo > Herramientas del sistema > Usuarios y grupos locales > Usuarios, ahí puedes revisar los usuarios :P

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Yehowah

Hola:
Gracias por la respuesta.

No sé como revisar las cuentas con PsGetSid.

En Administracion del equipo no me aparece la dichosa cuenta desconocida, solo me aprecen: Administrador (deshabilitada), la mia y Invitado (dehabilitada).

Saludos.

:huh:

madpitbull_99

Cita de: yehowah en 20 Junio 2010, 10:28 AM
Hola:
Gracias por la respuesta.

No sé como revisar las cuentas con PsGetSid.

En Administracion del equipo no me aparece la dichosa cuenta desconocida, solo me aprecen: Administrador (deshabilitada), la mia y Invitado (dehabilitada).

Saludos.

:huh:

Mira intenta poniendo este comando en la consola : control userpasswords2 y deberian salirte las cuentas que tiene tu sistema.



«Si quieres la paz prepárate para la guerra» Flavius Vegetius


[Taller]Instalación/Configuración y Teoría de Servicios en Red

Yehowah

En todos los sitios que miro los usuarios y grupos son los que tienen que ser, excepto en Propiedades->Seguridad de casi todos los archivos que es donde aparece la CUENTA DESCONOCIDA...

Gracias.

winroot

#5
yo hace tiempo tenía el mismo problema.
abrí el regedit, fui a edición>buscar
puse el id de la cuenta, y borre todas las keys que  contenían ese id.
claro que, antes de hacer esto hice un backup del registro.

por si acaso, pasa algún antirootkit como ser gmer.

si  sospechas de un troyano, puedes usar  cport de nirsoft para ver   los sockets de tu pc.

creo que hay  cuentas que  las usan algunos servicios de windows como el de index server .
en este caso, antes de hacer  algo  desactiva este  tipo de  servicios desde services.msc.
por último, decir que desde cmd dispones de las utilidades net user, y net localgroup.
la tool que menciona novlucker nunca la he usado, ahora  veo como se usa y edito.
saludos!!
edito:
la tool es de  commandline, copia el archivo a el disco c, abri un cmd desde inicio>ejecutar>cmd y escribe:
cd /d c:\
psgetsid
listo!
pd:
no entiendo bien lo que hace, amí solo me  mostró el id del user actual (winroot\administrador),  aunque me imagino que muestra todos los id, y en mi pc no hay otro usuario.
abre inicio>ejecutar>regedit
abre edición y selecciona buscar.
escribe ese id de la  cuenta, y pon aquí las keys donde aparece.
igual, sigo con la idea de que sería bueno que pases un antirootkit.
saludos!
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

Novlucker

Si, la tool que le había recomendado es por línea de comandos, si le pasas como parámetro un SID te devuelve el usuario, y si le pasas un usuario te devuelve un SID, sino /h :P

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein