MSTask.exe pide acceso a internet

formiga · Mensaje por **formiga** » 21 Mar 2005, 15:07

Buenos dias foreros.

Hace unos días que el zonealarm me da la alerta que MSTask.exe quiere acceder a internet. a veces lo pide nada mas encender el ordenador, y otras horas despues de haberlo encendido, parece aleatorio...Busqué info por ahi y se relaciona con el virus opasoft, virus que ni tengo ni he tenido nunca.

Quiza no sea nada, pero estoy algo mosca. Ya pase antivirus y utilidades varias y en principio esta todo ok.

Al hacer una busqueda del susodicho lo encuentro en:

C:\WINNT\$NtUninsta ...(etc)

C:\WINNT\ServicePAckfiles

C:\WINNT\system32

Me preocupo??

Y ya que estoy aqui, otra consulta (quiza deberia ir al apartado de problemas de soft). En la ultima revision a fondo antivirica que hice, al querer pasar un antivirus online a prueba de fallos (con funciones de red)... me di cuenta que no tenia conexion, cuando antes si tenia. Alguna idea de lo que ha podido pasar?

PD: Uso windows2000

Muchas gracias y saludos.

Mensaje por **msc hotline sat** » 21 Mar 2005, 15:54

AL usar Windows 2000 no tienes que temer al Opaserv u Opasoft que había con este nombre, muy destructivo, pero que se propagaba por recursos compartiudos solo a sistemas W9x, Me

En W2000 existe el programador de tareas dentro de la carpeta de sistema, C:\winNT\system32, con el nombre de MSTASK.EXE, pero si no es lanzado desde esta carpeta, o no es de identico nombre , puede tratarse de un virus o spyware-

Por ejemplo con el nombre de MSSTASK.EXE se propaga el gusano de MYPARTY,

http://securityresponse.symantec.com/avcenter/venc/data/w32.myparty@mm.html

por lo cual recomiendo lanzar un antivirus ONLINE para salir de dudas:

https://www.virustotal.com/es/

Comentanos el resultado, como respuesta de este Tema, gracias

saludos

ms, 21-03-2005

formiga · Mensaje por **formiga** » 27 Mar 2005, 17:19

Bueno, lanzado antivirus on-line, (finalmente he podido hacerlo en modo seguro) y me detecta el Win32.Slinbot.JY, que no puede limpiar. Mi antivirus no detecta nada. Acabo de pasar el elitriip y tampoco me lo detecta.

Conclusion? :shock:

Saludos

Mensaje por **msc hotline sat** » 28 Mar 2005, 12:00

No, con el nombre de Slinbot.JY no conocemos ningun virus.

Envianos una muestra del fichero en el que se detecta este virus, a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos como respuesta de este Tema, indicandote como proceder o ya con la utilidad para su eliminacion

salutacions, formiga

ms, 29-03-2005

formiga · Mensaje por **formiga** » 28 Mar 2005, 17:32

Acabo de enviar la "cosa", a ver que es...

Salutacions!

Mensaje por **msc hotline sat** » 28 Mar 2005, 18:04

Ya sabes que hoy hacemos fiesta en la empresa, igual que tu supongo...

Mañana te lo miramos y te informo

Mientras he buscado otras variantes, ya que la JY no está documentada, y he visto que una prima hermana de esta cosa, su variante LY es una especie de SDBOT, según indican:

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=40167

Realmente, con el antivirus ONLINE lanzado en modo seguro,. debería poderse eliminar, pero en cualquier caso, con la muestra mañana potenciaremos el ELITRIIP para que lo detecte y elimine.

Hay unas 50 nuevas variantes de esos virus cada día...

salutacions, formiga

ms, 28-03-2005

Mensaje por **msc hotline sat** » 29 Mar 2005, 11:25

Recibida "la cosa", resulta estar preñada...

Se trata de un empaquetado autoexpandible que lleva dentro dos bichos, en los correspondientes focheros:

FDFSR.EXE, en el cual se detecta un SDBOT.worm.gen.g

y el FDS.EXE en el que se detecta el troyano PROXY-FBSR.gen

Todo ello ya se controla con los actuales DAT de McAfee de hoy, 4456

Evidentemente solo se detecta con la exploracion de comprimidos, pues los bichos están en los ficheros que se generan al expandir dicho ejecutable.

En la nueva version que estamos haciendo del ELITRIIP ya se controlarán los tres ficheros, el empaquetado y sus "hijos". deteniendo los procesos que hubieren activos en memoria al respecto y restaurando las claves de registro que modifican en el sistema.

De momento los tres ficheros indicados, si los encuentras en el ordenador, muevelos a un disquete, y tras ello, saca el disquete del ordenador y apagalor, de modo que al volverlo a encvender ya no los encuentre y no los pueda poner en funcionamiento.

Si además usas McAfee, actualiza y examina el disco duro...

salutacions, formiga

ms, 29-03-2005

formiga · Mensaje por **formiga** » 29 Mar 2005, 12:33

Madre del amor hermoso, asi que tenia un alien !!!

No se pq crei que el cvvcsr ese era un archivo de windows.

Acabo de hacer un busqueda, y el fds, ya esta renombrado con .vir....y el otro no lo encuentro. Me acabo de bajar el ultimo dat de mcafee a ver que pilla.

Mushas gràcies!!!

Salutacions.

Mensaje por **msc hotline sat** » 29 Mar 2005, 13:02

Recuerda que pueden estar dentro del empaquetado, por lo que conviene mires comprimidos, y que el proxy.. es una aplicacion potencialmente peligrosa, por lo que se deben mirar estos programas.

Si lo hicieras bajo DOS, el SCAN debe hacerse con las opciones /unzip /program por lo indicado anteriormente y /all por si estuvieran renombrados a otra extension

Ya estamos haciendo la nueva version del ELITRIIP. Esta tarde estará disponible.

salutacions, formiga

ms, 29-03-2005

Mensaje por **msc hotline sat** » 30 Mar 2005, 10:40

Dado qie hay cambios en esta web, hasta que no estén normalizados, no puedo subir nuevas utilidades al foro, por lo que las envio a ADMIN.

Al respecto, mira en:

https://foros.zonavirus.com/viewtopic.php?p=27823#27823

salutacions, formiga