No se que me pasa (solucionado)

carlosalbalate · Mensaje por **carlosalbalate** » 22 Jun 2005, 11:29

Instalé una version de winXP con el que pille el blaster o el sasser nada mas arrancar por primera vez (daba el famoso error del lsass.exe y el consiguiente reinicio). Es más, una compañera que esta en la red interna con el W2K y el Norton lo detectó nada más que yo iniciará sesión en Windows. Hoy ha pasado el antivirus y no está infectada. asi que lo formateé y le instale todo sin conectarlo a la red.

Ahora Tengo el ordenador recien formateado. Le instalé otro windows XP y acto seguido el parche de seguridad famoso del blaster ese. Instale varios programas que llevo utilizando toda la vida, photoshop, office, etc libres de virus y el antivirus de karspersky. al poco rato el inicio del ordenador era lentísimo, se me desactivaba el antivirus, pulsando ctrl+alt+supr no me sale nada, no puedo configurar el inicio ni acceder al registro. entonces cambié de antivirus y puse el NOD32, que me dijeron que era mejor. me encuentra archivos infectados por un tal troyano CODBOT o variante del mismo. los borro y al instante me empieza a fallar el explorador y casi todos los programas (ni siquiera el scanner para unas fotillos que tenia prisa). me salen infectados el tftp.exe, un archivo raro que me crea al iniciar, etc. Probé con el Trojan Remover 6.4 y me dice que está limpio pero al siguiente reinicio otra vez igual. Otra, reinicio a la brava por que cuando empieza a fallar todo no me reinicia ni se apaga ni nada.

¿Qúe me pasa doctor?

Necesito ayuda urgente. Gracias.

Mensaje por **maura63** » 22 Jun 2005, 11:40

UTILIDADES

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Pasa las dos y despues conecta via windows update y comprueba que no te falten actualizaciones.

Eliminacion de adwares y spywares

Spybot S&D v 1.4

http://www.zonavirus.com/descargas/spybot-sd.asp

Pasa tambien este antivirus online despues de todo ello y dinos si detecta algo.

Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

Saludos

maura63

carlosalbalate · Mensaje por **carlosalbalate** » 22 Jun 2005, 12:16

Por si te sirve nada más iniciar el NOD 32 me detecta infectado el archivo msdirectx.sys por el virus w32/rootkit.h

Tambien te digo que lo del windows update no me deja tampoco, pero lo intentare

gracias por las utilidades

Mensaje por **maura63** » 22 Jun 2005, 12:28

Has pasado el antivirus que lo detecta arrancando en modo seguro pero desactivando antes la restauracion del sistema :?:

Saludos

maura63

carlosalbalate · Mensaje por **carlosalbalate** » 22 Jun 2005, 21:09

He pasado ese antivirus en modo seguro con funciones de red y:

me ha encontrado un w32/rbot.akp y un w32/rbot.ajn los cuales no ha podido ni limpiar ni borar. los archivos infectados eran tftp4064.exe y tftp1672.exe

tambien ha encontrado un w32/seenbot.ck que lo ha podido limpiar

con el nod 32 no los encuentra estos de arriba pero si que me encuentra un virus en memoria que no puede limpiar: el archivo c:\windows\system32\svghost.exe esta infectado por un tal rbot trojan que no puede desinfectar.

Además nada más reiniciar en modo seguro me ha aparecido en C: un spupdate27.exe acompañado de un spupdate27.rar que el solico se ha debido extraer, y antes ya he borrado un gomomma.exe, l9ol.exe, l98ol.exe y un lax.exe aparecidos de la nada. el nod32 no dice nada de estos pero si que localiza el de memoria que he citado antes.

no se que mas te puedo decir

gracias

Mensaje por **msc hotline sat** » 23 Jun 2005, 12:07

Sobre lo que indica de
[quote="carlosalbalate"]
encuentra un virus en memoria que no puede limpiar: el archivo c:\windows\system32\svghost.exe esta infectado por un tal rbot trojan que no puede desinfectar.

[/quote]

No es logico que arrancando en modo seguro haya virus residente en memoria, pero como que de este no hemos tenido incidencias, envienos este fichero SVGHOST.EXE anexado a un mail a zonavirus@satinfo.es y lo analizaremos, además de implementar su eliminacion en una de nuestras utilidades que ya indicaremos. En el texto pegue un copiar y pegar de este post oara poder contestarle como respuesta de este Tema

Añadanos tambien los ficheros que indica tambien tener problemas : tftp4064.exe y tftp1672.exe y veremos de solucionarselos

saludos

ms, 23-06-2005

carlosalbalate · Mensaje por **carlosalbalate** » 23 Jun 2005, 14:22

El caso es que los busco y no me aparecen ahora pero ayer si. Estoy muy confundido. hoy por la mañana me aparecia como pagina de inicio una de misfitz o algo asi que me descarga unos archivillos ejecutables. voy a formatear desde el principio con todas las actualizaciones y ya está.

Un saludo y espero no tener que recurrir a mas ayuda.

Mensaje por **maura63** » 23 Jun 2005, 14:37

Si vas a formatear hazlo asi

descarga en un diskette el elitrip

formateas

instala el sistema

instala antivirus

instala Firewall

ZoneAlarm 5.5.094.000 (en inglés) (27/abr/05)

http://www.vsantivirus.com/otros.htm

http://www.vsantivirus.com/za.htm

instala y ejecuta

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Luego conecta el cable a internet y actualiza antivirus y actualiza en windows update.

Pasa tambien anti-spyware

Saludos

maura63

Mensaje por **msc hotline sat** » 23 Jun 2005, 14:53

Y si va a formatear solo por lo de la pagina de inicio, bajese el ELISTARA.EXE y elimine la pagina de inicio y ponga una como la de http://www.google.es , no una en blanco pues no sabría si se la han cambiado por una que llamara al about:blank.html como hacen algunas apliccaciones troyanas.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

y si decide formatear, siempre está a tiempo

saludos

ms, 23-07-2005

carlosalbalate · Mensaje por **carlosalbalate** » 27 Jun 2005, 09:31

Creo que se me ha solucionado, de momento.

instale el zone alarm que me detectaba intrusiones por el puerto 445 (ese lo bloqueó el elitriip pero creo que es el que utiliza la red de windows) asi que como necesito trabajar en red lo he desactivado y le activé el firewall de WXP. es fiable el firewall de XP? esta tarde revisare con el norton los demás ordenadores de la red a ver si ha quedado algo.

Gracias... de momento... espero que ya lo haya solucionado.

Mensaje por **msc hotline sat** » 27 Jun 2005, 09:47

El TCP 445 es el port por donde el LSASS intrusiona si no estan actualizados los parches de microsoft, especialmente el ms04-011

Mire de lanzar un windowsupdate, pues trtas formatear igual no se aplicaron los parches.

En cualquier caso, como que ya ha solucionado el problema, procedemos a cerrar el Tema, pero igualmente lance un windowsupdate y actualice los parches criticos que tuviera pendientes de instalar.

saludos

ms, 27-06-2005

No se que me pasa (solucionado)

No se que me pasa (solucionado)

Por si vale de algo