Problema con mi Pc.Archivo p6.exe,es un virus? (solucionado)

kenzore · Mensaje por **kenzore** » 23 Ene 2005, 18:10

:? Hola tengo un problema con mi Pc, por favor necesito ayuda :( Lo que sucede es q cuando enciendo la Pc, se carga un archivo de nombre p6.exe éste lo observé con el msconfig, lo deshabilito pero despues de un rato vuelve a aparecer, la verdad no se de q se trata. En la barra de tareas (esa q esta con el reloj) si abro las conexiones de red (icono de las dos Pc) observo q mi Pc esta recibiendo datos de internet creo q a causa de este archivo p6.exe y no se detiene. Este archivo esta poniendo lenta a mi Pc mas aun cuando me conecto a internet. Cuando pulso Ctrl+Alt+Supr para entrar al administrador de tareas este no responde se queda cargando. Entré al modo seguro de windows Xp busqué ese tal archivo, si situó en c:\windows\system32, lo eliminé pero al reiniciar vuelve a aparecer. En el REGEDIT tambien lo eliminé, se situa en HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENT VERSION/RUN SERVICES

NO se si pueda ser un virus o alguna aplicacion no deseada, pero lo cierto es q me esta causando muchos problemas.

Le pasé el Adware y el SpyBot actualizados pero no me encuentra nada, asimismo empleé antivirus locales y antivirus en linea, y nada de nada todo ok segun esos software...La Pc me va lenta. Al iniciar la Pc vuelve a aparecer ese archivo p6.exe al buscarlo en el inicio de Msconfig, lo que hago es deshabilitarlo. Luego me voy al administrador ubico el p6.exe, termino su proceso. Hasta ahi todo ok. Luego de un instante en el administrador de tareas aparece un archivo de nombre tftp.exe y el svchost.exe se va al 100% de uso de CPU. Veran ustedes lo lenta que se pone mi Pc pues no me deja hacer nada. Despues de apreciar estos archivos, lo q hago es terminar su proceso, pero fatal para mi pues despues de haber terminado sus procesos, la Pc se cuelga. Que puede ser ayudenme por favor...GRACIAS por su atencion y la ayuda q me puedan brindar.

Mensaje por **msc hotline sat** » 24 Ene 2005, 10:21

Ya que este P6.EXE parece ser el causante, envienos una muestra a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y tras analizarlo le contestaremos del resultado como respuesta de este Tema.

saludos

ms, 24-01-2005

pd. podría tratarse de una variante no controlada del rbot, segun informacion obtenida en Internet, si bien no está documentada:
[quote]backdoor.win32.rbot.gen 19 times p6.exe [/quote]

Mensaje por **msc hotline sat** » 26 Ene 2005, 11:01

Recibida muestra de este P6.EXE, ya al descargarlo salta el antivirus de McAfee indicando que es una de las mas de 4000 variantes del SDBOT.

Actualiza tu antivirus y arrancando en modo seguro (con la restuaracion de sistema desactivada si es XP o Me), lanzalo y detectarás dicho virus y podrás eliminarlo.

Independientemente añadiremos la cadena de deteccion de dicha muestra a la utilidad ELISLUTA, para controlarlo y eliminarlo facilmente. Hoy mismo subiremos la nieva version del ELISLUTA a esta web.

saludos

ms, 26-01-2005

Mensaje por **msc hotline sat** » 26 Ene 2005, 16:47

Realizada nueva version de Elisluta para control y eliminacion del virus SDBOT:worm.gen.g correspondiente a la muestra enviada.

Para probar la utilidad, descargarla de:

https://foros.zonavirus.com/viewtopic.php?p=23301#23301

saludos

ms, 26-01-2005

kenzore · Mensaje por **kenzore** » 27 Ene 2005, 05:48

Hola utilicé antivirus en linea, en mi caso el Panda me encontró el virus w32/Gaobot.CPQ.worm , lo desinfectó de mi pc. Pero no me explico porque volvió a aparecer despues de un tiempo.

Ahora cada vez que aparece ese p6.exe lo elimino con este antivirus online.

Nota:

Tengo desactivado desde hace mucho tiempo la opcion RESTAURAR SISTEMA.

kenzore · Mensaje por **kenzore** » 27 Ene 2005, 05:51

Descargué la utilidad EliSlutA, lo instalé y corri para eliminar este virus. Bueno no me encontró nada, asumo que ya no tengo el virus.

Me alegro mucho, gracias por su ayuda. :P

Mensaje por **msc hotline sat** » 27 Ene 2005, 09:34

Sí, el nombre ue da cada antivirus a las variantes puede variar, y si bien el nombre de Gaobot es típico de virus que entran por el RPCDCOM, y este entra por recursos compartidos, pero lo deben gaver vautizado así.

Ya eliminado, logicamente la utilidad no encontró nada, pero igualmente restauramos las claves de registro que el virus hubiera podido modificar.

Y solucionado el problema, cerramos el Tema

saludos

ms, 27-01-2005