tftp.exe, que tareas hace normalmente? (Solucionado)

[seespitz]

Hace unos días en administrador de tareas del w2000 apareció este programa funcionando, en coincidencia con svchost al 100% y el equipo tan lento que no servía para nada.



Entiendo que el tftp.exe tendrá algo que ver con transferencia de archivos, pero estaba haciendo algo que no le pedí, por lo que supongo que algun virus o gusano o spyware lo estaba usando.



Eso me paso varias veces, así que borré el programa tftp.exe de /system32 y de /servicepack, (lo copie con otro nombre, por las dudas).



En algun momento apareció un mensaje de error, que perdí porque sólo fue a pantalla y desapareció.



Entonces cree un programa en FORTRAN que sólo genera un archivo con la fecha y la hora, y lo copié en ambos directorios, esperando que el virus lo usara y se engañara con el señuelo. Y así fue, ya que apareció el archivo con la fecha y la hora. El AVG no detectó nada en ese momento, sí poco despues, el winhlpp32.exe, con backdoor.agent.3.u, y el wuamgrd.exe. Ambos fueron eliminados.



En un par de días el winhlpp32.exe reaparecio, tanto con el backdoor.3.u, como con el agobot.29.r en otra oprtunidad.



Me gustaría leer comentarios de los expertos sobre este tema.



Gracias.

[msc hotline sat]

Sobre el TFTP.EXE puedes ver detalles en el siguiente link:



http://ditec.um.es/laso/docs/tut-tcpip/3376c43.html



Y sobre un posible virus o spywares, baja e instala el SPYBOT y configuralo en castellano.



Luego arranca en modo seguro con funciones de red y lanza un antivirus ONLINE, como:



https://www.virustotal.com/es/



y podrás eliminar los virus que encientres, y a continuacion, en el mismo modo seguro, lanza el SPYBOT y al finalizar pulsa en SOLUCIONAR PROBLEMAS, lo cual te eliminará todos los troyanos detectados:



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



Tras todo ello, actualiza los parches de microsoft con el windowsupdate, pues muchos gaobot/agobot pueden entrar por falta de alguno de ellos (especialmente del MS04-012)



Por último indicabas haber eliminado un Agent. Si es de los que utiliza privilefios de NTFS para ocultarse, no se elimina simplemente. Mirate la utilidad ELITOTAL al respecto:



https://foros.zonavirus.com/viewtopic.php?t=1940



saludos



ms, 15-09-2004

[seespitz]

[quote="msc hotline sat"]Sobre el TFTP.EXE puedes ver detalles en el siguiente link:



http://ditec.um.es/laso/docs/tut-tcpip/3376c43.html



Y sobre un posible virus o spuwares, baja e instala el SPYBOT y configuralo en castellano.



Luego arranca en modo seguro con funciones de red y lanza un antivirus ONLINE, como:



https://www.virustotal.com/es/



y podrás eliminar los virus que encientres, y a continuacion, en el mismo modo seguro, lanza el SPYBOT y al finalizar pulsa en SOLUCIONAR PROBLEMAS, lo cual te eliminará todos los troyanos detectados:



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



Tras todo ello, actualiza los parches de microsoft con el windowsupdate, pues muchos gaobot/agobot pueden entrar por falta de alguno de ellos (especialmente del MS04-012)



Por último indicabas haber eliminado un Agent. Si es de los que utiliza privilefios de NTFS para ocultarse, no se elimina simplemente. Mirate la utilidad ELITOTAL al respecto:



https://foros.zonavirus.com/viewtopic.php?t=1940



saludos



ms, 15-09-2004[/quote]

Por lo que veo, el tftp no es muy util, y puede ser peligroso por ser my debil en cuanto a seguridad, asi que quedara renombrado.



Tengo el spybot instalado, pero ninguno de los que detecto el AVG fue detectado pro el spybot.



Trate de correr el antivirus en linea, en modo seguro con funciones de red, pero en realidad no pude conectarme, las funciones de red no estaban. Asi que lo tuve que correr en modo normal, y detecto y borro otra vez el winhlpp32.exe...



Arranque nuevamente y volvi a correr el antivirus en linea, no encontro nada esta vez.



Tambien corri el clnabot, tampoco encontro nada.



El elitotal no encontro el winhlpp32.exe, pero lo correre de vez en cuando, ahora que se que debe buscar.



Gracias.

[maura63]

No se si tendra algo que ver, pero este gaobot crea el winhlpp32.exe



http://www.vsantivirus.com/ft.htm



Te falta algun parche?



https://foros.zonavirus.com/viewtopic.php?t=796



Saludos

maura63

[seespitz]

[quote="maura63"]No se si tendra algo que ver, pero este gaobot crea el winhlpp32.exe



http://www.vsantivirus.com/ft.htm



Te falta algun parche?



https://foros.zonavirus.com/viewtopic.php?t=796



Saludos

maura63[/quote]

La direccion de vsantivirus me da error, seguro falta algo en /ft....htm



Pero al ,mneos vi que el tftp.exe es mas util a los virus y gusanos que a los usuarios de windows...



El ultimo parche que instale fue el MS04-012



Tambien corri el elirpca, no encontro nada.



Por ahora todo parece normal, si reaparece algo ya volvere por aqui.



Muchas gracias.



Saludos.

[maura63]

Vuelve a conectar con windows update pues hoy han salido parches nuevos. Si usas XP hoy tambien te aparecera el esperado SP2.



Saludos

maura63

[msc hotline sat]

Y sobre el link que te da error, el correcto es:



http://www.vsantivirus.com/gaobot-ft.htm



Pero si ya aplicaste el MS04-012, y anteriores, los posteriores son convenientes, pero no afectan a este caso. De todas formas, como te indica Maura63, aplicalos, hasta el MS04-028 de hoy.



Y cuidado con el SP2 del XP, que acarrea muchos problemas. Yo aplique la utilidad de micrisift para aplazar la instalacion de dicho SP2:



http://www.microsoft.com/en/us/default.aspxdownloads/details.aspx?FamilyId=8BCE6BBA-EA5D-4425-89C1-C1CB1CCD463C&displaylang=en



saludos



ms, 15-09-2004

[seespitz]

[quote="msc hotline sat"]Y sobre el link que te da error, el correcto es:



http://www.vsantivirus.com/gaobot-ft.htm



Pero si ya aplicaste el MS04-012, y anteriores, los posteriores son convenientes, pero no afectan a este caso. De todas formas, como te indica Maura63, aplicalos, hasta el MS04-028 de hoy.



Y cuidado con el SP2 del XP, que acarrea muchos problemas. Yo aplique la utilidad de micrisift para aplazar la instalacion de dicho SP2:



http://www.microsoft.com/en/us/default.aspxdownloads/details.aspx?FamilyId=8BCE6BBA-EA5D-4425-89C1-C1CB1CCD463C&displaylang=en



saludos



ms, 15-09-2004[/quote]

Bien, ya instale todos los parches de seguridad que encontre.



Tengo Windows 2000, el problema del SP2 de XP no me afecta.



Tambien baje y ejecute un programa dsostop2.exe



http://www.nsclean.com/dsostop.html



que me elimino el DSO-exploit que el spybot encontraba cada vez, y no podia eliminar definitivamente.



Gracias a todos.



--

[maura63]

Pues solucionado el tema lo cerramos.



Saludos

maura63