perdon a todos

[pit23]

la verdad es que no era mi intencion, hacer eso ni mucho menos, uno esta espero a esas horas de la noche, y no pense, solo actue.

la verdad es que me ayudais mucho y me siento mal por haberos hecho eso.

de los errores se aprende, vivir para tropezar,

no os preocupeis mi vecina tiene lo mismo a mi me lo paso ella, os prometo las muestras muy pronto

por haberme ayudado tanto

los siento de verdad

[msc hotline sat]

Entiendo que fue un mal entendido, pero si te indiqué que con SC STOP WNKRN <enter> detuvieras el servicio o con un NETSTOP si mas no, y todo para poder ver el fichero, con un ATTRIB y podernoslo enviar, que lo elimines sin enviarnoslo para analizar, ha sentado mal !



Ha sido como hacer la zancadilla cuando se tiene la pelota y la porteria delante... TARJETA !!! :cry:



Si antes de ver la luz hubieras formateado, por cansarte, no hubiera sentado tan mal, pero cuando nos parece tenerlo al alcance...



Ya pasará, pero de entrada hemos perdido las pistas, aunque parece confIrmarse que se trata de un RootKit no controlado y peludo ! Y SI AUN LO HUBIERAS SOLUCIONADO DEL TODO, pero ni eso ...



Si nos envias las muestras de la vecina, las analizaremos a ver si podemos controlarlo y solucionarlo totalmente.



saludos



ms, 9-11-2007

[pit23]

si instalo run reg en el de mi vecina me sacara la root oculta del fichero y podre encontralo?

sin eliminar

[msc hotline sat]

No conozco como trabaja el RUNREG, solo se que borró el fichero, asi que yo no lo utilizaria para que no se repitiera el hecho. Por esto te indiqué que detuvieras el servicio con el NETSTOP o con un SC STOP , desde una ventana al DOS, y asi poder ver y copiar el fichero, o bien arrancando en consola de recuperacion, con el CDROM de instalacion.



Ya indiqué que la pagina del RUNREG te la ofrecí no para que lo usaras sino porque en ella vi contrastada la hipotesis de que era un ROOTKIT.



saludos



ms, 9-11-2007

[pit23]

es raro, porque todos mis males vinieron a raiz de pasar mi pen por su ordenador, fui pase el hi y no aprecen las entradas 023 de kernlx86 ni srsvc osea nada.

[msc hotline sat]

Está hablando del ordenador suyo o del de su vecina ???



ms.



nota: supongo que será un RootKit, asi que igual no puedes verlo. Por si acaso desde una ventana al DOS deten dicho servicio entrando:



SC STOP WNKRN <enter>



y mira si tras ello los ves.



Recuerda enviarnos muestras para poder analizarlos. ms.

[pit23]

no me aparecen, ni con el hit no me detecta ninguna de las entradas.

estoy hablando del ordenador de mi vecina.

el mio creo que va un poco lento porque el windows media player 11

consume muchos recursos lo desistalare y punto. seguire buscando kernlx86 en el ordenador de mi vecina, repito mi infeccion viene de conectar mi pen a su ordenador

[msc hotline sat]

Pues pasale al de tu vecina el ELISTARA y si aparece algun autorun.inf nos posteas su contenido, ademas del infosat.txt



saludos



ms, 18-11-2007

[msc hotline sat]

A pesar de no haber recibido aun ninguna muestra tuya, como sea que otros clientes de SATINFO y demas nos reportan continuamente nuevas muestras de sospechosos y hoy han habido varios con nuevos Rootkit de Bagles y otros que pudieran ser el de marras, aunque bien es verdad que estan de moda y pueden ser de otra familia, pero por si acaso, pruebalos

saludos
ms, 19-11-2007