Posible problema

Lorien · Mensaje por **Lorien** » 15 Jun 2004, 21:33

Es normal que haya un proceso en mi pc portatil que se llama: "Proceso inactivo del sistema" que ocupa el 95/99% de la CPU?, es normal el proceso netclnt.exe? Muchísimas gracias a todos

Charly · Mensaje por **Charly** » 15 Jun 2004, 22:04

Hola !

Ese proceso va asociado al virus Boxed que es un troyano. Lo tienes registrado como un servicio en el registro y arranca como un servicio más con tu windows, de ahí que siempre lo tengas activo.

Vete al registro de Windoze ejecutando regedit en la línea de comandos y vete al siguiente path:

- HKEY_LOCAL_MACHINE\

System\

ControlSet001\

Services\

nwclnt\

- HKEY_LOCAL_MACHINE\

System\

CurrentControlSet\

Services\

nwclnt\

El nombre del servicio es: Network Client

Fichero de ejecución: netcom.exe

Envía pquetes aleatorios a través de TCP 80 así q si tienes algún firewall que por lo que creo no .... verás la de datos que genera, además supongo que se comerá todo el ancho de banda.

Para cargártelo y comértelo con patatas ... arranca en modo seguro cascandole al F8 cuando arranque el Pc ... cierra el proceso netcom.exe mediante el Administrado de Tareas ... busca el fichero netcom.exe en tu pc ... y te lo cargas ... luego

Panel de Control => Herramientas Administrativas => Servicios y busca "Network Client" paras el servicio dando al derecho y luego en Propiedades =>Desactivar

Como estarás en modo seguro dale caña a "Ctrl+Alt+Del" y resetea el pc. Listo !

Comprueba que ya no te hace ná de ná.

Un saludico y ya nos contarás!!

Talue

Carlos

Lorien · Mensaje por **Lorien** » 15 Jun 2004, 23:42

Ok muchas gracias por lo del "netclient"lo quitare de mi sistema.Pero me gustaria saber tabien si lo del "proceso inactivo del sistema" que ocupa tanta CPU es normal o puede ser algun virus o algo?un beso y gracias por cntestar

Mensaje por **admin** » 16 Jun 2004, 00:49

Si es normal el nombre lo indica, proceso inactivo del sistema, realmente no te esta diciendo que consuma 95% /99% de CPU si no todo lo contrario eso es el porcentaje de CPU libre que tienes para usar tu problamas, si haces la suma de todos los procesos + el del inactivo del sistema te da 100%

Mensaje por **msc hotline sat** » 16 Jun 2004, 16:52

Cuidado Lorien:

Tal como indica ADMIN, el proceso inactiva del sistema debe ser alto normalmente, mas del 90 %, y es la CPU libre que tienes, o sea CPU libre, pues si estuviera ocupada , serñia cuando tendrías problemas

No hemos tenido incidencias del virus Boxed, (es muy nuevo y no está muy propagado), pero hemos visto lo que hace en::

http://www.globalhauri.com/html/support/virus_read.html?code=TRW3000588

y si realmente encuentras en tu ordenador un fichero NETCLNT.EXE, envianos una muestra a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post y saldremos de dudas, y te haremos una utilidad de desinfeccion especifica, pues no basta eliminar ficheros, sino que conviene restaurar las claves.

êro date cuenta que en la descripcion indican NETCLNT.EXE, no NETCLIENT como tu indicas, aunque quiera decir lo mismo, no vale cambiar los nombres en informatica...

Descripcion según link indicado:

__________________________________________

Trojan.Win32.Boxed.26182

Also Known As

DDos.Win32.Boxed.b [KAV]

Type

Trojan Horse

Systems Affected

Win32

Resident in System Memory

No

Origin

others

Encryption

No

Discovered on

06/09/2004

How it spread

Download

Infection symptoms

DoS attack, Changes registry

Specific date of infections

None

Destructivity/ Distribution Potential

** / **

ViRobot version able to

detect/repair

Able to detect/repair

[ViRobot version: 06/09/2007]

Technical description

[The variants]

Trojan.Win32.Boxed.23040

Trojan.Win32.Boxed.26694

Trojan.Win32.Boxed.26694.B

Trojan.Win32.Boxed.26694.C

[Summary]

Trojan.Win32.Boxed.26182 was found on June 9, 2004. It runs as a service, "Network Client", and attempts DDos (Distributed Denial of Service) attack to specified website with TCP port 80.

[Infection path]

This program does not have its own spreading function - another installation program downloads and installs it from the Internet (without user's approval).

[Infection symptoms]

1. It is registered as a service in the registry and starts as a service.

- HKEY_LOCAL_MACHINE\

System\

ControlSet001\

Services\

nwclnt\

- HKEY_LOCAL_MACHINE\

System\

CurrentControlSet\

Services\

nwclnt\

- Service name : Network Client

- ImagePath : (execution path)\netcom.exe

2. It continuously sends random packet to specified website via TCP port 80 and attempts DDoS (Distributed Denial of Service) attack.

[Other information]

"netclnt.exe" is compressed with UPX and has hidden attribute of 26,694 bytes.

How to repair

[Repair by using ViRobot]

1. Update ViRobot and check the version (the version should be 2004-06-09.00 or above).

2. Detect/repair the virus with ViRobot.

[Manual Repair]

1. First of all, reboot to safe mode. (You can reboot to safe mode by pressing F8).

2. Using Windows Explorer, release "Hide file extensions for known file types".

- [Tools] -> [Options] -> [View] -> Release "Hide file extensions for known file types"

3. Check whether "netcom.exe" process is running and close the process.

[Task Manager] -> [Process]

4. Search for the following file in Windows folder and delete it.

- netcom.exe (File size : 26,182 bytes)

5. Stop the registered service.

- Go to [Control Panel] -> [Administration Tools] -> [Services] and search for "Network Client". Stop the service by clicking the right mouse button, go to 'Properties', and select 'Disabled' in 'Startup type'.

6. If you are working in safe mode, press "Ctrl+Alt+Delete" key and reboot the system.

* Using ViRobot to repair is recommended to prevent any error that may occur during manual repair.

__________________________________________

Si realmente tienes el NETCLNT.EXE, posiblemente tambien tendrás el NETCOM.EXE, mira de enviarnos los dos.

saludos

ms, 16-06-2004