Ante todo, un saludo al foro. Por lo que he visto hasta el momento, que no ha sido mucho, veo que el foro es muy activo, cosa muy importante y que además se encuentra muy actualizado. Felicidades a todos los que lo haceis posible.
Os cuento mi caso para ver si podeis echarme una manita (aunque sea al cuello). En el tiempo que llevo utilizando ordenadores, que ya es bastante, nunca antes me habia sucedido nada igual. Resulta que en casa tenemos 3 equipos muy similares (2 Pentium IV a 2.00 y 1.40 Ghz y un AMD). Desde hace un par de meses, los tres equipos se reinician aleatoriamente sin dar ningun mensaje de aviso. En todos ellos tengo las siguientes configuraciones:
- Windows XP actualizado con servipack 2 y actualizado con todos los parches de seguridad existentes al día de la fecha (7-12-2004).
- Como antivirus, el Karspersky Anti-virus Personal 5.0.121 actualizado al dia de la fecha (7-12-2004).
- Como Firewall, el Kerio Personal Firewall.
Estamos conectados directamente a Internet mediante conexión de cablemodem de auna.
Las conclusiones a las que he llegado son:
- Primeramente pensé en un virus. Despues de actualizar al máximo mi antivirus realicé un analisis total de los equipos sin encontrar nada. Posteriormente, realice varios analisis online (Panda ActiveScan y Bitdefender) pero ninguno de ellos me encontraron ningun bicho conocido.
- Descartada la primera opción, pensé que podía ser un fallo de suministro eléctrico (una bajada de tensión, que la regleta estuviera mala, etc....), pero me di cuenta que teniendo 2 equipos funcionando al mismo tiempo, uno se reiniciaba y el otro no lo hacía al mismo tiempo, con lo que descarté esta 2ª hipótesis.
- He descartado que sea un fallo de hardware, porque me suena muy extraño que se hayan ido 3 ventiladores, 3 memorias, etc..... o algun dispositivo similar en los 3 equipos al mismo tiempo.
Lo que me desconcierta de todo esto, es que el equipo que tengo en la oficina está configurado igual que los equipos de casa, solo que se conecta a Internet por medio de ADSL y no tiene el Kerio instalado y, sin embargo, no se reinicia.
Cuando el ordenador se reinicia, el único mensaje que me da Windows XP es que el sistema se ha recuperado de un error grave, pero nada más.
A ver si alguno de los presentes, puede aconsejarme los pasos a seguir para averiguar el problema y poder solucionarlo.
Espero vuestras respuestas. Gracias anticipadas y un saludo al foro.
Los ordenadores se reinician
instala este programita y pasalo en modo seguro, claro esta previa actualizacion...pero antes quitas tla conexion con internet(modo fisico) y la casilla de restaurar sistemas la quitas...
· Spybot - Search & Destroy 1.3
SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.
Sitio 1 - Descargar Spybot - Search & Destroy 1.3
http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button
Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com
http://www.zonavirus.com/descargas/spybot-sd.asp
comenzaremos por eso...nos dices como te fue...
· Spybot - Search & Destroy 1.3
SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.
Sitio 1 - Descargar Spybot - Search & Destroy 1.3
Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com
comenzaremos por eso...nos dices como te fue...
La vida es hermosa....para que complicarnosla Para flacoroo:
Ya me he descargado el programa y lo he instalado y actualizado, poniendolo en el idioma de Cervantes. Reiniciaré la máquina para hacer un analisis en modo seguro (me imagino que en XP al iniciarse habrá que pulsar F8 para entrar en modo seguro, no?).
Te comentaré resultados.
Para fircsix:
Dos de los equipos estan en red (a veces, porque el XP es un poco puñetero para eso y sobre todo con conexión mediante cablemodem y hub intermedio que da salida a Internet a los 2 equipos simultaneamente).
El tercero se encuentra solo con un cablemodem individual, pero fue formateado recientemente e instalado todo desde el principio y no se conecto en red con ninguno de los anteriores.
Gracias por vuestra colaboración. Seguiremos en contacto.
Ya me he descargado el programa y lo he instalado y actualizado, poniendolo en el idioma de Cervantes. Reiniciaré la máquina para hacer un analisis en modo seguro (me imagino que en XP al iniciarse habrá que pulsar F8 para entrar en modo seguro, no?).
Te comentaré resultados.
Para fircsix:
Dos de los equipos estan en red (a veces, porque el XP es un poco puñetero para eso y sobre todo con conexión mediante cablemodem y hub intermedio que da salida a Internet a los 2 equipos simultaneamente).
El tercero se encuentra solo con un cablemodem individual, pero fue formateado recientemente e instalado todo desde el principio y no se conecto en red con ninguno de los anteriores.
Gracias por vuestra colaboración. Seguiremos en contacto.
Para flacoroo:
De momento, no se ha solucionado. Te comento los pasos que he seguido:
1.- Descargo el programa desde el segundo enlace que me has dejado.
2.- Instalo el programa (crea una copia del registro, etc.....). Cuando termina, lo pongo en español y lo actualizo.
3.- Reinicio el PC quitando la conexión física a internet y en modo seguro.
4.- Ejecuto el Spybot y me detecta una entrada de Cydoor y 4 entradas de DSO Exploit. Le digo que me las repare y las repara.
5.- Reinicio normalmente el PC y vuelvo a ejecutar el Spybot. Me encuentra 5 entradas del DSO Exploit, 1 desconocida (Unknow o algo así) y otra que no recuerdo ahora mismo. Le digo que me las repare y las repara.
Sin embargo, no hemos conseguido arreglar el problema, porque acto seguido,coge el PC y se vuelve a reiniciar.
Espero otras ideas. A ver si damos con el problemilla, que es mu molesto.
Venga, un saludo y mil gracias de nuevo.
De momento, no se ha solucionado. Te comento los pasos que he seguido:
1.- Descargo el programa desde el segundo enlace que me has dejado.
2.- Instalo el programa (crea una copia del registro, etc.....). Cuando termina, lo pongo en español y lo actualizo.
3.- Reinicio el PC quitando la conexión física a internet y en modo seguro.
4.- Ejecuto el Spybot y me detecta una entrada de Cydoor y 4 entradas de DSO Exploit. Le digo que me las repare y las repara.
5.- Reinicio normalmente el PC y vuelvo a ejecutar el Spybot. Me encuentra 5 entradas del DSO Exploit, 1 desconocida (Unknow o algo así) y otra que no recuerdo ahora mismo. Le digo que me las repare y las repara.
Sin embargo, no hemos conseguido arreglar el problema, porque acto seguido,coge el PC y se vuelve a reiniciar.
Espero otras ideas. A ver si damos con el problemilla, que es mu molesto.
Venga, un saludo y mil gracias de nuevo.
Esta muy bien lo que has hecho pero no mencionastes si desactivastes restaurar sistema al tener Xp. Si no lo has hecho te recomiendo que sigas los mismos pasos pero que antes de reiniciar en modo seguro desactivas restaurar sistema (inicio<configuracion<panel de control<propiedades de sistema<rendimiento<sistema de archivos<solucion de problemas y aqui activas la marca para desactivar restaurar sistema luego "Aplicar" y "Aceptar")
Espero que te funcione:P
Saludos.
fircsix
Espero que te funcione
Saludos.
fircsix
"El sabio es aquel que sabe sin saber por qué, lo demás es sólo aprendizaje."
Pregunta...el SP2 de windows XP trae su propio firewall y se habilita automaticamente, tú tienes otro el Kerio Personal Firewall...si los dos estan habilitados habra cuelgues por que chocaran ambos, solo checa si esta deshabilitado algunos de los dos, y si no deshabilitas el que creas que no usaras y pruebas...
La vida es hermosa....para que complicarnosla y seguimos igual
Pues nada amigos, seguimos igual o peor, me explico. Los pasos que he seguido son los siguientes:
- Desactivo el Norton GoBack.
- Entro en Windows en modo seguro
- Ejecuto el SpyBot y me encuentra una entrada del DSO Exploit que consigue corregir.
- Reinicio en modo normal.
Pues entre el primer y segundo paso, me encuentro con una pantalla azul de windows que no me deja cargar el sistema operativo. La pantalla indica lo siguiente:
[b]Se ha encontrado un problema y Windows ha sido apagado para evitar daños al equipo.
DRIVER_IRQL_NOT_LESS_OR_EQUAL
Si esta es la primera vez que ve esta pantalla de error de detención, reinicie su equipo. Si esta pantalla aparece otra vez, siga los siguientes pasos:
Compruebe que cualquier hardware o software está correctamente instalado. Si es una nueva instalación, contacte con su proveedor de hardware o software para obtener actualizaciones de windows que pueda necesitar.
Si los problemas continuan, deshabilite o elimine cualquier nuevo hardware o software instalado. Deshabilite las opciones de memoria de la BIOS como cache o vigilancia. Si necesita reiniciar en modo a prueba de errores para quitar o deshabilitar componentes, reinicie su equipo, presione F8 para seleccionar opciones de inicio avanzadas y, a continuación, seleccione modo a prueba de errores.
Información técnica:
*** STOP 0X000000D1 (0XFFBDF000, 0X00000002, 0X00000000, 0XB27E5C39)
*** fwdrv.sys - Adress B27E5C39 base at B27DE000, Datestamp 3cbaab4f
Empezando el volcado de memoria física.
Descarga de memoria física completada.
Pongasé en contacto con su administrador de sistema o grupo de soporte técnico para obte[/b]
Una vez que entró en Windows en modo normal, me apareció el siguiente mensaje de error:
[b]El sistema se ha recuparado de un error grave.
Firma del error:
BCCode: 100000d1 BCP1:FFBDFF000 BCP2:00000002 BCP3:00000000 BCP4:B27E5C39 OSVer:5.1.2600 SP:2.0 Product:256.1
Se incluiran los siguiente archivos en los informes de errores:
C:\DOCUME-1\Antonio\Config-1\Temp\WER9ecd.dir\Mini121204-01.dmp
C:\DOCUME-1\Antonio\Config-1\Temp\WER9ecd.dir\sysdata,xml[/b]
Pues eso es todo, a ver si con esto tenemos alguna pista más que os pueda ayudar. Espero vuestras sugerencias.
Un saludo.
- Desactivo el Norton GoBack.
- Entro en Windows en modo seguro
- Ejecuto el SpyBot y me encuentra una entrada del DSO Exploit que consigue corregir.
- Reinicio en modo normal.
Pues entre el primer y segundo paso, me encuentro con una pantalla azul de windows que no me deja cargar el sistema operativo. La pantalla indica lo siguiente:
DRIVER_IRQL_NOT_LESS_OR_EQUAL
Si esta es la primera vez que ve esta pantalla de error de detención, reinicie su equipo. Si esta pantalla aparece otra vez, siga los siguientes pasos:
Compruebe que cualquier hardware o software está correctamente instalado. Si es una nueva instalación, contacte con su proveedor de hardware o software para obtener actualizaciones de windows que pueda necesitar.
Si los problemas continuan, deshabilite o elimine cualquier nuevo hardware o software instalado. Deshabilite las opciones de memoria de la BIOS como cache o vigilancia. Si necesita reiniciar en modo a prueba de errores para quitar o deshabilitar componentes, reinicie su equipo, presione F8 para seleccionar opciones de inicio avanzadas y, a continuación, seleccione modo a prueba de errores.
Información técnica:
*** STOP 0X000000D1 (0XFFBDF000, 0X00000002, 0X00000000, 0XB27E5C39)
*** fwdrv.sys - Adress B27E5C39 base at B27DE000, Datestamp 3cbaab4f
Empezando el volcado de memoria física.
Descarga de memoria física completada.
Pongasé en contacto con su administrador de sistema o grupo de soporte técnico para obte
Una vez que entró en Windows en modo normal, me apareció el siguiente mensaje de error:
Firma del error:
BCCode: 100000d1 BCP1:FFBDFF000 BCP2:00000002 BCP3:00000000 BCP4:B27E5C39 OSVer:5.1.2600 SP:2.0 Product:256.1
Se incluiran los siguiente archivos en los informes de errores:
C:\DOCUME-1\Antonio\Config-1\Temp\WER9ecd.dir\Mini121204-01.dmp
C:\DOCUME-1\Antonio\Config-1\Temp\WER9ecd.dir\sysdata,xml
Pues eso es todo, a ver si con esto tenemos alguna pista más que os pueda ayudar. Espero vuestras sugerencias.
Un saludo.
SOLUCIONADO
Creo que he encontrado la solución a mi problema en la siguiente dirección web:
[b]http://www.vsantivirus.com/vul-kerio-dos-091104.htm [/b]
Donde se indica lo siguiente:
[b]Denegación de servicio en Kerio Personal Firewall
VSantivirus No. 1587 Año 8, miércoles 10 de noviembre de 2004
Denegación de servicio en Kerio Personal Firewall
http://www.vsantivirus.com/vul-kerio-dos-091104.htm
Por Angela Ruiz
angela@videosoft.net.uy
Una vulnerabilidad ha sido reportada en Kerio Personal Firewall (KPF) para Windows. Un usuario remoto podría provocar una condición de denegación de servicio (DoS) con el envío de un solo paquete de datos.
Se trata de un defecto en el proceso de bajo nivel de paquetes TCP, UDP, e ICMP, que puede llegar a utilizar el 100% del rendimiento del CPU en el sistema afectado.
La vulnerabilidad existe en el componente FWDRV.SYS cuando intenta interpretar la opción IP en los paquetes TCP, UDP, o ICMP. Cuando un atacante proporciona un solo paquete TCP, UDP, o ICMP con una opción IP seguida por una longitud cero, el driver FWDRV.SYS ingresa en un bucle sin fin, causando que el sistema se congele hasta el punto de tener que reiniciar físicamente el equipo.
El atacante solo tiene que enviar un solo paquete, a cualquier puerto del sistema, sin importar si ese puerto está abierto o no. El fallo es accesible aún con el cortafuego configurado para detener todo el tráfico.
El ataque puede realizarse en forma anónima, explotando el fallo en forma remota para causar una excesiva utilización de recursos en el sistema afectado.
La solución es descargar e instalar la versión 4.1.2 o superior de KPF que corrige este problema, desde el siguiente enlace:
http://www.kerio.com/kpf_download.html
Créditos: Karl Lynn
Relacionados:
http://www.kerio.com/kpf_home.html
Referencias:
Kerio Personal Firewall Unspecified Packet
Processing Bug May Let Remote Users Deny Service
http://securitytracker.com/alerts/2004/Nov/1012116.html
EEYE: Kerio Personal Firewall Multiple IP Options Denial of Service
http://www.securityfocus.com/archive/1/380749 [/b]
Lo dejo aquí por si alguien le sirve.
Una última pregunta, ¿que firewall me aconsejais?
Un saludo y muchas gracias por todo. Nos vemos por aquí.
Donde se indica lo siguiente:
VSantivirus No. 1587 Año 8, miércoles 10 de noviembre de 2004
Denegación de servicio en Kerio Personal Firewall
Por Angela Ruiz
Una vulnerabilidad ha sido reportada en Kerio Personal Firewall (KPF) para Windows. Un usuario remoto podría provocar una condición de denegación de servicio (DoS) con el envío de un solo paquete de datos.
Se trata de un defecto en el proceso de bajo nivel de paquetes TCP, UDP, e ICMP, que puede llegar a utilizar el 100% del rendimiento del CPU en el sistema afectado.
La vulnerabilidad existe en el componente FWDRV.SYS cuando intenta interpretar la opción IP en los paquetes TCP, UDP, o ICMP. Cuando un atacante proporciona un solo paquete TCP, UDP, o ICMP con una opción IP seguida por una longitud cero, el driver FWDRV.SYS ingresa en un bucle sin fin, causando que el sistema se congele hasta el punto de tener que reiniciar físicamente el equipo.
El atacante solo tiene que enviar un solo paquete, a cualquier puerto del sistema, sin importar si ese puerto está abierto o no. El fallo es accesible aún con el cortafuego configurado para detener todo el tráfico.
El ataque puede realizarse en forma anónima, explotando el fallo en forma remota para causar una excesiva utilización de recursos en el sistema afectado.
La solución es descargar e instalar la versión 4.1.2 o superior de KPF que corrige este problema, desde el siguiente enlace:
Créditos: Karl Lynn
Relacionados:
Referencias:
Kerio Personal Firewall Unspecified Packet
Processing Bug May Let Remote Users Deny Service
EEYE: Kerio Personal Firewall Multiple IP Options Denial of Service
Lo dejo aquí por si alguien le sirve.
Una última pregunta, ¿que firewall me aconsejais?
Un saludo y muchas gracias por todo. Nos vemos por aquí.