gusano (?¿)

[pablo]

amigos, como veran a continuacion no soy muy experto, hace algunos dias tengo un problema con mi computadora, tengo instalado norton antivirus y me aparece demasiado seguido mensajes del virus W32Randex en particular que generalmente es provocado por un archivo que nunca encuentro que esta en la carpeta system32 de WINNT llamado msclock.exe,... aparte cada vez que entro a explorer me carga como pagina de inicio http://my-find.com/index.htm, todas las veces la cambio a google o alguna otra , pero cada vez que reseteo la computadora vuelve a la misma pagina, estuve leyendo en alguno de sus posteos anteriores la recomendacion de bajar e instalar AC utilities, lo hice correr, hizo algunas cosas pero despues de rebootear el problema seguia igual... mi computadora esta mas lenta y muchas veces no consigo ni apagarla, se queda detenia cerrando conexones de red, no se si estos dos problemas tienen relacion porque como ya dije soy bastante inexperto en esto, le agradezco de antemano vuestra ayuda para ver si me explican como lo soluciono, cualquier detalle mas de mi problema que necesiten lo puedo postear. gracias Pablo

[maura63]

Descarga esta utilidad



PARA ELIMINACION DE GUSANOS QUE ENTRAN POR AGUJERO RPC/DCOM Y COMPROBACION EXISTENCIA PARCHE MS03-039:



http://www.zonavirus.com/descargas/EliRPCA.exe



Despues actualiza en windows update descargando los parches que te falten.



Descarga tambien el CWS y lo ejecutas



Para eliminación de intrusos con páginas de inicio no restaurables, dialers, etc,



http://www.softpedia.com/public/scripts/downloadhero/10-17-150/



http://www.zonavirus.com/descargas/CWShredder.zip



Descargalo de uno de los dos sitios, lo guardas en disco, y ejecutalo en modo a prueba de fallos pulsando F8 repetidas veces al encender.



Instala tambien algun anti-spyware, por ejemplo

Como antispyware: Bajar, instalar, actualizar y lanzar el Spybot o el AD_AWARE:



SPYBOT:_



http://download.com.com/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button



AD_AWARE:



http://www.zonavirus.com/descargas/aaw6.exe



y una vez limpios de spywares, como protección residente, SPYBOT recomienda SPYWAREBLASTER:



http://www.javacoolsoftware.com/spywareblaster.html



Saludos

maura63

[pablo]

muchas gracias, lo pruebo hoy mismo

[msc hotline sat]

Bueno, gracias a muestras recibidas de usuarios infectados, tenemos la muestra del MSCLOCK.EXE que indica el usuario, y ha resultado ser un SDBOT, que se elimina con la utilidad ELISLUTA disponible en esta web:



https://foros.zonavirus.com/viewtopic.php?p=83#83



La actual version 2.8 esta previsto que lo elimine.



saludos



ms, 29-03-2004

[pablo]

bueno, descargue todas las utilidades, las hice correr, borró algunas cosas y al parecer todo andaba bastante bien (en relacion a los dias anteriores)... salvo que mi administrador de tareas sigue desapareciendo cada vez que lo pongo a correr. si me ayudan con eso les estare aun mas agradecido. Pablo

[pablo]

al no poder acceder a mi administrador de tareas cree una copia llamada killer.exe (que no se cierra cada vez que la abro) como indicaba alguien del foro y note que tenia varios procesos corriendo:



anvshell.exe 1212 C:\WINNT\anvshell.exe ASUS nVidia Series Shell 1.00.00. Copyright (C) 2000

ccApp.exe 1224 C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe Common Client CC App 1.03.15. Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.

ccEvtMgr.exe 436 C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe Event Manager Service 1.03.4. Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.

csrss.exe 176 C:\WINNT\system32\csrss.exe Client Server Runtime Process 5.00.2195.6601. Copyright (C) Microsoft Corp. 1981-1999

CTNMRun.exe 1504 C:\Archivos de programa\Creative\SBLive2k\PlayCenter2\CTNMRun.exe NOMAD Detector 2.0. Copyright (c) Creative Technology Ltd 1999

CtNotify.exe 1244 C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe Disc Detector 2.0. Copyright (c) Creative Technology Ltd. 2001

CTsvcCDA.EXE 568 C:\WINNT\system32\CTsvcCDA.EXE Creative Service for CDROM Access 1.0.0.0. Copyright (c) Creative Technology Ltd., 1999. All rights reserved.

devldr32.exe 1176 C:\WINNT\system32\devldr32.exe DevLdr32 1, 0, 0, 22. Copyright © 1997-2001 Creative Technology Ltd.

Explorer.EXE 1036 C:\WINNT\Explorer.EXE Windows Explorer 5.00.3700.6690. Copyright (C) Microsoft Corp. 1981-1999

IEXPLORE.EXE 300 C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE Internet Explorer 6.00.2800.1106. © Microsoft Corporation. Reservados todos los derechos.

internat.exe 1432 C:\WINNT\system32\internat.exe Aplicación Indicador de idioma del teclado 5.00.2920.0000. Copyright (C) Microsoft Corp. 1994-1999

killer.exe.EXE 952 C:\WINNT\system32\killer.exe.EXE Administrador de tareas de Windows 5.00.2195.6620. Copyright (C) Microsoft Corp. 1991-1999

lsass.exe 236 C:\WINNT\system32\lsass.exe DLL de servidor y ejecutable LSA (versión de exportación) 5.00.2195.6695. Copyright (C) Microsoft Corp. 1981-1999

MediaDet.Exe 1392 C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe Disc Detector 2.00. Copyright (c) Creative Technology Ltd. 2001

Mixer.exe 1284 C:\WINNT\Mixer.exe Mixer 1.42. Copyright (C) 1997-2001

MsnMsgr.Exe 1448 C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe Messenger Version 6.0. Copyright (c) Microsoft Corporation 1997-2003

MsPMSPSv.exe 888 C:\WINNT\system32\MsPMSPSv.exe WMDM PMSP Service 7.00.00.1954. Copyright (C) Microsoft Corp. 1981-2000

MSTask.exe 736 C:\WINNT\system32\MSTask.exe Motor de Programador de tareas 4.71.2195.6704. Copyright (C) Microsoft Corp. 1997

navapsvc.exe 604 C:\Archivos de programa\Norton AntiVirus\navapsvc.exe Norton AntiVirus Auto-Protect Service 9.05.1015. Copyright (c) 2000-2002 Symantec Corporation. All rights reserved.

NPROTECT.EXE 644 C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE Norton Protection Status 16.00.0.22. Copyright (C) 2003 Symantec Corporation

peere32.exe 1380 C:\WINNT\system32\peere32.exe peere32.exe

peere32.exe 1456 C:\WINNT\system32\peere32.exe peere32.exe

PrcView.exe 1640 D:\setups\PrcView\PrcView.exe Process Viewer Application 3.7.3.1. Developed by Igor Nys, 1995-2003

realsched.exe 1372 C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe RealNetworks Scheduler 0.1.0.2879. Copyright © RealNetworks, Inc. 1995-2003

regsvc.exe 712 C:\WINNT\system32\regsvc.exe Remote Registry Service 5.00.2195.6701. Copyright (C) Microsoft Corp. 1981-1999

schost.exe 1256 C:\WINNT\system32\schost.exe Generic Host Process for Win32 Services 5.1.2700.0. © Microsoft Corporation. All rights reserved.

services.exe 224 C:\WINNT\system32\services.exe Aplicación de servicios y controlador 5.00.2195.6700. Copyright (C) Microsoft Corp. 1981-1999

smss.exe 152 C:\WINNT\System32\smss.exe Windows NT Session Manager 5.00.2195.6601. Copyright (C) Microsoft Corp. 1981-1999

spoolsv.exe 540 C:\WINNT\system32\spoolsv.exe Spooler SubSystem App 5.00.2195.6659. Copyright (C) Microsoft Corp. 1981-1999

stisvc.exe 764 C:\WINNT\system32\stisvc.exe Monitor de dispositivos de imagen estática 5.00.2195.6656. Copyright (C) Microsoft Corp. 1996-1997

svchost.exe 408 C:\WINNT\system32\svchost.exe Generic Host Process for Win32 Services 5.00.2134.1. Copyright (C) Microsoft Corp. 1981-1999

svchost.exe 584 C:\WINNT\System32\svchost.exe Generic Host Process for Win32 Services 5.00.2134.1. Copyright (C) Microsoft Corp. 1981-1999

svchost.exe 900 C:\WINNT\system32\svchost.exe Generic Host Process for Win32 Services 5.00.2134.1. Copyright (C) Microsoft Corp. 1981-1999

svchost.exe 1384 C:\WINNT\System32\svchost.exe Generic Host Process for Win32 Services 5.00.2134.1. Copyright (C) Microsoft Corp. 1981-1999

vsmon.exe 848 C:\WINNT\system32\ZoneLabs\vsmon.exe TrueVector Service 4.5.538.001. Copyright © 1998-2003, Zone Labs Inc.

winlogon.exe 196 C:\WINNT\system32\winlogon.exe Aplicación de inicio de sesión de Windows NT 5.00.2195.6785. Copyright (C) Microsoft Corp. 1981-1999

WinMgmt.exe 876 C:\WINNT\System32\WBEM\WinMgmt.exe Instrumental de administración de Windows 1.50.1085.0100. Copyright (C) Microsoft Corp. 1995-1999

wuauclt.exe 1012 C:\WINNT\system32\wuauclt.exe Cliente de actualización automática de Windows Update 5.4.3630.2554. © Microsoft Corporation. Reservados todos los derechos.

zlclient.exe 1400 C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe Zone Labs Client 4.5.538.001. Copyright © 1998-2003, Zone Labs Inc.





buscando informacion en sitios sobre los procesos en el startup pude ver que muchos de ellos eran normales, salvo dos que no encontre informacion alguna y quizas son los que me estan causando los problemas:



peere32.exe y schost.exe



please ayuda que sigo sin administrador de tareas!!! :cry:

[msc hotline sat]

De los procesos indicados, hay dos que corresponden a una aplicacion desconocida:



peere32.exe 1380 C:\WINNT\system32\peere32.exe peere32.exe

peere32.exe 1456 C:\WINNT\system32\peere32.exe peere32.exe



Mire de enviar dicho fichero PEERE32.EXE a zonavirus@satinfo.es como anexado a un mail cuyo texto sea un copiar y pegar de este post, y le contestaremos como repuesta a este Tema.



De todas formas, podría ser una clave de registro modificada por alguna otra incidencia eliminada anteriormente. ¿Recuerda haber eliminado recientemente algún otro virus? Si fuera el caso, indiquenos cual, para tratar de corregir las claves que hubiera modificado.



Por otra parte la utilidad KILLER.EXE suena muy mal (asesino) y si lo que hace es lo mismo que el PRCVIEW, veo que ya lo usa, por lo que ni la conocemos y aunque diga =c? de Microsoft se puede falsear facilmente, por lo que envienosla tambien, a ver si se trata de algo raro, y use el PRCVIEW en su lugar.



saludos



ms, 30-03-2004

[msc hotline sat]

Aparte del analisis que haremos a los ficheros solicitados, mirando las claves que modifica el msclock,exe gusano del SDBOT en cuestíón, hemos visto que pone a 1 la de control de comparticiones, que si bien es mas seguro que la normal que es 0, puede restringir los accesos, por lo cual vea si poniendola a 0 lse normaliza su explorador de tareas.



Para ello selecciones, copia y pegue con el bloc de notas el contenido del script entre lineas:



__________________________________________



REGEDIT4



[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]

"restrictanonymous"=dword:00000000



__________________________________________



y lo guarda como CERO.REG, y lo ejecuta



Si tras ello se le ha normalizado el problema, señal de que lo tenía así antes de que le entrara el virus.



Puede estar a 0, a 1 y a 2, con el 0 se tiene compartido con todos, con 1 se restringe totalmente y con el 2 es selectivo según privilegios de cada uno.



Si luego quiere volver al 1, que es tal como lo tiene ahora, pues así lo deja el virus y no lo hemos tocado pues no puede saberse como estaba inicialmente, aplique el siguiente script:



__________________________________________



REGEDIT4



[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa]

"restrictanonymous"=dword:00000001



__________________________________________



lo cual seleccione, copie y pegue con el bloc de notas y lo guarda como UNO.REG , y ejecutandolo le instalará el dato 1 a dicha clave.



Si con lo indicado se le soluciona el problema, indiquenoslo, pues fijaríamos dato 0 a dicha utilidad, si bien dependería de lo que tuviera antes el usuario, y esto no puede saberse.



Esperamos sus noticias y los ficheros solicitados.



Por cierto, que una funcion de C++ es un KILLí que es un mataprocesos de Windows, y lo del KILLER.EXE, si bien no es del sistema operativo podría ser una utilidad de Microsoft aparte del sistema básico, pero al no conocerlo, lo consideramos sospechoso.







saludos



ms, 30-03-2004

[pablo]

bueno, primero que nada, gracias... ya envie los archivos

hice correr cero.reg y probé, seguia igual, el mismo problema, abro el administrador de tareas e inmediatamente pasa 1 segundo y se cierra. Luego corrí uno.reg y volvio a ocurrir lo mismo. En ambos casos cuando hice correr los archivos .reg me aparecio un mensaje que decia : "esta seguro que desea..." y antes que lo leyera desaparecian al igual que lo que pasa con el administrador de tareas, no se si eso es normal. Lo otro es que note es que pasa exactamente lo mismo cuando hago correr inicio/ejecutar/regedit . se desaparece de inmediato, y la unica forma de que tengo accseso a las llaves es desde winnt/system32/regedt32.exe

Por ultimo, instale el zone alarm como recomiendan algunos usuarios del foro, pero me encontre con el problema que el vsmon.exe empezaba a consumirme toda la memoria de los procesos, incluso llegando hasta el 99%, leyendo en algunos foros me di cuenta que era un problema bastante comun cuando se utilizaba zone alarm con norton antivirus al mismo tiempo, la unica solucion que daban era desinstalar el cortafuegos e instalar la version 3.7 del zone alarm. La bajé, pero es solo una version trial que dura un mes. Que puedo hacer con esto?

de antemano muchas gracias

pablo :oops:

[msc hotline sat]

Bueno, aclarado lo del KILLER.EXE, vaya nombre que escogió Vd para denominar a este archivo¿, que resulta ser muy parecido al resultado del PRCVIRE.EXE



Bueno, vamos a lo que interesa.



Efectivamente hemos cazado otro bicho, el del fichero PEERE32.EXE, que ya nos olía mal, y que ha resultado ser un nuevo EXPLOIT MYDOOM , conforme lo detecta McAfee



Conviene mover este fichero a un disquete, para que no pueda ser cargado en el inicio, y con el BUSCAREG.EXE buscar la clave de carga de dicho fichero y eliminarla:



.http://www.zonavirus.com/descargas/buscareg.asp



Espero que nos diga si al eliminar dicho fichero y su carga, le desaparece el problema del visualizador de tareas.



saludos



ms, 30-03-2004

[pablo]

:D :D :D :D :D :D :D :D :D :D :D :D :D :D :D :D

TODO RESUELTO!!

NO TENGO MAS EL PROBLEMA!!

APARENTEMENTE TODO ESTA OK!!

MUCHAS, PERO MUCHISIMAS GRACIAS POR AYUDARME

cualquier cosa posteo denuevo

SALUDOS ENORMES

PABLO

[msc hotline sat]

Pues encantados de haberle sido de utilidad. Ha sido un placer



saludos



ms, 30-03-2004