sobre el marciano (CERRADO)

mindtram · Mensaje por **mindtram** » 23 Feb 2006, 19:32

mando el infosat y un archivo que me pide que envie

Wed Feb 22 17:34:07 2006

EliTriIP v1.90 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "WINDOWSZ")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rwnt.exe

a "virus@satinfo.es". Gracias.

Wed Feb 22 18:13:32 2006

EliTriIP v1.90 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Escritorio\mandar\rwnt.exe --> Eliminado, SdBot.worm.gen.H

Wed Feb 22 18:15:03 2006

EliStartPage v11.21 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Wed Feb 22 18:15:21 2006

EliStartPage v11.21 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Thu Feb 23 19:19:31 2006

EliTriIP v1.92 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado

Thu Feb 23 19:20:09 2006

EliTriIP v1.92 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Escritorio\virus\icom.exe --> Eliminado, SdBot.worm.gen

Thu Feb 23 19:22:10 2006

EliStartPage v11.22 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

mindtram · Mensaje por **mindtram** » 23 Feb 2006, 19:39

me es imposible mandar el archivo.No me deja

Mensaje por **msc hotline sat** » 23 Feb 2006, 19:53

Despues de todo lo que has hecho y te vas a rendir ante esto ???

Venga Ya !!!

Arranca con el CD de instalacion y pulsa R para entrar en consola de recuperacion y podrás ir donde quieras y copiar lo que quieras

Lo copias a un disquete y luego arrancas normal y nos lo envias

saludos

ms, 23-2-2006

mindtram · Mensaje por **mindtram** » 24 Feb 2006, 18:59

y como lo hago.Porque entro como me dices pero no se como pasarlo a un disquete.

Mensaje por **msc hotline sat** » 24 Feb 2006, 19:13

COPY C:\WINDOWS\SYSTEM32\rwnt.exe A:

saludos

ms, 24-2-2006

mindtram · Mensaje por **mindtram** » 24 Feb 2006, 19:45

me pone acceso denegado.y el copy no puedo ponerlo antes de c:\windows

Mensaje por **msc hotline sat** » 24 Feb 2006, 19:51

Has de arrancar cpon la consola de recuperacion !!!

De la manera que te indico no hay excusas :lol:

Y en cuanto sale emprompt al DOS no me digas que no puedes escribir COPY o lo quieras... !!!

saludos

ms, 24-2-2006

mindtram · Mensaje por **mindtram** » 24 Feb 2006, 19:54

pues no me deja me dice acceso denegado.pero copy lo pongo despues del windows

Mensaje por **msc hotline sat** » 24 Feb 2006, 20:11

Que windows ???

Te dihop que arranques con el CD de instalñacion y pukses R para entrar en consola de recuperacion, que es un DOS cutre pero util para esto.

saludos

ms, 24-2-2006

mindtram · Mensaje por **mindtram** » 24 Feb 2006, 20:22

lo se y lo hago.Incluso dandole a dir veo el archivo,pero cuando pongo copy y el archivo me sale acceso denegado

mindtram · Mensaje por **mindtram** » 24 Feb 2006, 21:20

he instalado el antivirus avast.me detectaba estos archivos y algun otro le he dado a eliminar y los he eliminado.Luego he pasado el etrust y no me detecta nada.¿estare limpia?

mindtram · Mensaje por **mindtram** » 24 Feb 2006, 21:27

perdon me sale uno que se llama tftp2176 que mando a analizar

Mensaje por **msc hotline sat** » 25 Feb 2006, 07:25

No debias haberlos eliminado. Sin ellos no podemos analizarlos y saber lo que pueden haberte hecho. Justamente he estado pensando la causa de que no pudieras copiarlos y por esto hoy he empezado por este Tema, pero...

Creo que debías tener atributos R en dchos ficheros o el disquete protegido, porque no podia estar en uso al arrancar con el CDROM, luego el que no pudieras copiarlo no era logico y cuando vengo a proseguir, lo has borrado !!! (podías haberlo migrado, movido, renombrado, etc, pero sin muestra se acabó el analisis y el consecuente estudio de consecuencias...

Pues muy bien, no es lo que te habia indicado, y elimunadas las pruebas, no te puedo ayudar mas al respecto.

Muerto el perro, se acabó la rabia, Terminado el problema, se cierra el Tema

saludos

ms, 25-2-2006

Mensaje por **msc hotline sat** » 27 Feb 2006, 10:51

Nota postcierre:

Sobre la ultima miestra emviada es otra variante del SDBOT, cuyo control implementamos en el ELITRIIP 1.93 de hoy

McAfee lo controla ya con el nombre de SDBOT.worm.gen.BH

saludos

ms, 27-2-2006