virus trojan horse irc/backdoor.sdbot

[zeus]

Este virus en windows 2000. cierra el accewso a los usuario????, se metio en el servidor y los usuarios que se conectan a el, el sistyema les dice que no hay servidor de dominio existente, es factible que sea este el problema, me sucedio chequeo y me encontro este trojan.





gracias

[carolxsiempre]

igual que en tu anterior post, reinicia el modo a prueba de fallos y lanza tu antivirus residente actualizado ó en modo normal lanza uno en línea.



Ve soltando cada maquina de la red, y lanza el antivirus residente, si tienes xp ó me en las pc de los usuarios desactiva la restauración del sistema. y haz este proceso por cada pc, para que el virus no se transmita por la red.





Saludos

Carolxsiempre

[zeus]

el v irus esta siendo ejecutado ademas en modo a prueba de errores ,



esta dentro de system32 con el nombre de packard.exe, me interesaria saber si este virus es el responsable de que no puedan los usuarios conectarse a la red, ????





lo mas probable que deba sacar el disco y conectarlo a otro pc



los usuarios estan con maquinas con winme

[msc hotline sat]

Hay como 1000 SDBOT diferentes , algunos muy nuevos.



So quieres envairnoslo, lo analizaremos y podremos incluirlo en la utilidad de eliminacion generica de SDBOTs que llamamos ELISLUTA



Puedes enviarnos el fichero gusano packard.exe anexado a un mail a zonavirus@satinfo.es indicando como texto un copiar y pegar de este post, y respomnderemos como respuesta a este Tema



saludos



ms, 1-10-2004

[carolxsiempre]

léete la información del siguiente link



http://esp.sophos.com/virusinfo/analyses/w32rbotet.html



Saludos

Carolxsiempre

[msc hotline sat]

Gracias carolxsiempre, efectivamente has dado en el blanco, y te complemento con algo mas de informacion al respecto:



____________





Name: W32/Rbot-ET

Aliases: Backdoor.Rbot.gen

Type: Win32 worm

Date: 27 July 2004



A virus identity (IDE) file which provides protection is

available now from the Sophos website, and will be incorporated

into the September 2004 (3.85) release of Sophos Anti-Virus.



Customers using Enterprise Manager, PureMessage and any of the

Sophos small business solutions will be automatically protected

at their next scheduled update.





At the time of writing, Sophos has received just one report of

this worm from the wild.





Information about W32/Rbot-ET can be found at:

http://www.sophos.com/virusinfo/analyses/w32rbotet.html



Description

W32/Rbot-ET is a worm which attempts to spread to remote network shares. It

also contains backdoor Trojan functionality, allowing unauthorised remote

access to the infected computer via IRC channels while running in the

background as a service process.

W32/Rbot-ET spreads with the filename PACKARD.EXE to network shares with

weak passwords and via network security exploits as a result of the backdoor

Trojan element receiving the appropriate command from a remote user.



W32/Rbot-ET copies itself to the Windows system folder using a random

7-character filename and creates entries at the following locations in the

registry with a value name of "Windows Media Player Update " so as to run

itself on system startup, resetting these values every 4 seconds:



HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKLM\Software\Microsoft\OLE

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\OLE

HKCU\SYSTEM\CurrentControlSet\Control\Lsa



W32/Rbot-ET sets the following registry entries every 2 minutes:



HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"



W32/Rbot-ET attempts to delete the C$, D$, ADMIN$ and IPC$ network shares on

the host computer every 2 minutes.



W32/Rbot-ET attempts to overwrite the file HOSTS in the subfolder

DRIVERS\ETC of the Windows system folder with the following in order to

prevent access to certain websites:



# Copyright (c) 1993-1999 Microsoft Corp.#

# This is a sample LMHOSTS file used by the Microsoft TCP/IP for Windows #



127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 http://www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 http://www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate

127.0.0.1 http://www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 http://www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 http://www.avp.com

127.0.0.1 http://www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 http://www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 http://www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 http://www.my-etrust.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 nai.com

127.0.0.1 http://www.nai.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 customer.symantec.com

127.0.0.1 rads.mcafee.com

127.0.0.1 trendmicro.com

127.0.0.1 http://www.trendmicro.com

127.0.0.1 http://www.grisoft.com



W32/Rbot-ET attempts to terminate the following processes:



ACKWIN32.EXE

ADAWARE.EXE

ADVXDWIN.EXE

AGENTSVR.EXE

AGENTW.EXE

ALERTSVC.EXE

ALEVIR.EXE

ALOGSERV.EXE

AMON9X.EXE

ANTI-TROJAN.EXE

ANTIVIRUS.EXE

ANTS.EXE

APIMONITOR.EXE

APLICA32.EXE

APVXDWIN.EXE

ARR.EXE

ATCON.EXE

ATGUARD.EXE

ATRO55EN.EXE

ATUPDATER.EXE

ATUPDATER.EXE

ATWATCH.EXE

AU.EXE

AUPDATE.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AUTOUPDATE.EXE

AVCONSOL.EXE

AVE32.EXE

AVGCC32.EXE

AVGCTRL.EXE

AVGNT.EXE

AVGSERV.EXE

AVGSERV9.EXE

AVGUARD.EXE

AVGW.EXE

AVKPOP.EXE

AVKSERV.EXE

AVKSERVICE.EXE

AVKWCTl9.EXE

AVLTMAIN.EXE

AVNT.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPTC32.EXE

AVPUPD.EXE

AVPUPD.EXE

AVSCHED32.EXE

AVSYNMGR.EXE

AVWIN95.EXE

AVWINNT.EXE

AVWUPD.EXE

AVWUPD32.EXE

AVWUPD32.EXE

AVWUPSRV.EXE

AVXMONITOR9X.EXE

AVXMONITORNT.EXE

AVXQUAR.EXE

AVXQUAR.EXE

BACKWEB.EXE

BARGAINS.EXE

BD_PROFESSIONAL.EXE

BEAGLE.EXE

BELT.EXE

BIDEF.EXE

BIDSERVER.EXE

BIPCP.EXE

BIPCPEVALSETUP.EXE

BISP.EXE

BLACKD.EXE

BLACKICE.EXE

BLSS.EXE

BOOTCONF.EXE

BOOTWARN.EXE

BORG2.EXE

BPC.EXE

BRASIL.EXE

BS120.EXE

BUNDLE.EXE

BVT.EXE

CCAPP.EXE

CCEVTMGR.EXE

CCPXYSVC.EXE

CDP.EXE

CFD.EXE

CFGWIZ.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLAW95CF.EXE

CLEAN.EXE

CLEANER.EXE

CLEANER3.EXE

CLEANPC.EXE

CLICK.EXE

CMD32.EXE

CMESYS.EXE

CMGRDIAN.EXE

CMON016.EXE

CONNECTIONMONITOR.EXE

CPD.EXE

CPF9X206.EXE

CPFNT206.EXE

CTRL.EXE

CV.EXE

CWNB181.EXE

CWNTDWMO.EXE

Claw95.EXE

CLAW95CF.EXE

DATEMANAGER.EXE

DCOMX.EXE

DEFALERT.EXE

DEFSCANGUI.EXE

DEFWATCH.EXE

DEPUTY.EXE

DIVX.EXE

DLLCACHE.EXE

DLLREG.EXE

DOORS.EXE

DPF.EXE

DPFSETUP.EXE

DPPS2.EXE

DRWATSON.EXE

DRWEB32.EXE

DRWEBUPW.EXE

DSSAGENT.EXE

DVP95.EXE

DVP95_0.EXE

ECENGINE.EXE

EFPEADM.EXE

EMSW.EXE

ENT.EXE

ESAFE.EXE

ESCANH95.EXE

ESCANHNT.EXE

ESCANV95.EXE

ESPWATCH.EXE

ETHEREAL.EXE

ETRUSTCIPE.EXE

EVPN.EXE

EXANTIVIRUS-CNET.EXE

EXE.AVXW.EXE

EXPERT.EXE

EXPLORE.EXE

F-AGNT95.EXE

F-PROT.EXE

F-PROT95.EXE

F-STOPW.EXE

FAMEH32.EXE

FAST.EXE

FCH32.EXE

FIH32.EXE

FINDVIRU.EXE

FIREWALL.EXE

FLOWPROTECTOR.EXE

FNRB32.EXE

FP-WIN.EXE

FP-WIN_TRIAL.EXE

FPROT.EXE

FRW.EXE

FSAA.EXE

FSAV.EXE

FSAV32.EXE

FSAV530STBYB.EXE

FSAV530WTBYB.EXE

FSAV95.EXE

FSGK32.EXE

FSM32.EXE

FSMA32.EXE

FSMB32.EXE

GATOR.EXE

GBMENU.EXE

GBPOLL.EXE

GENERICS.EXE

GMT.EXE

GUARD.EXE

GUARDDOG.EXE

HACKTRACERSETUP.EXE

HBINST.EXE

HBSRV.EXE

HOTACTIO.EXE

HOTPATCH.EXE

HTLOG.EXE

HTPATCH.EXE

HWPE.EXE

HXDL.EXE

HXIUL.EXE

IAMAPP.EXE

IAMSERV.EXE

IAMSTATS.EXE

IBMASN.EXE

IBMAVSP.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSUPP95.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IDLE.EXE

IEDLL.EXE

IEDRIVER.EXE

IEXPLORER.EXE

IFACE.EXE

IFW2000.EXE

INETLNFO.EXE

INFUS.EXE

INFWIN.EXE

INIT.EXE

INTDEL.EXE

INTREN.EXE

IOMON98.EXE

IPARMOR.EXE

IRIS.EXE

ISASS.EXE

ISRV95.EXE

ISTSVC.EXE

JAMMER.EXE

JDBGMRG.EXE

JEDI.EXE

KAVLITE40ENG.EXE

KAVPERS40ENG.EXE

KAVPF.EXE

KAZZA.EXE

KEENVALUE.EXE

KERIO-PF-213-EN-WIN.EXE

KERIO-WRL-421-EN-WIN.EXE

KERIO-WRP-421-EN-WIN.EXE

KERNEL32.EXE

KILLPROCESSSETUP161.EXE

LAUNCHER.EXE

LDNETMON.EXE

LDPRO.EXE

LDPROMENU.EXE

LDSCAN.EXE

LNETINFO.EXE

LOADER.EXE

LOCALNET.EXE

LOCKDOWN.EXE

LOCKDOWN2000.EXE

LOOKOUT.EXE

LORDPE.EXE

LSETUP.EXE

LUALL.EXE

LUALL.EXE

LUAU.EXE

LUCOMSERVER.EXE

LUINIT.EXE

LUSPT.EXE

MAPISVC32.EXE

MCAGENT.EXE

MCMNHDLR.EXE

MCSHIELD.EXE

MCTOOL.EXE

MCUPDATE.EXE

MCUPDATE.EXE

MCVSRTE.EXE

MCVSSHLD.EXE

MD.EXE

MFIN32.EXE

MFW2EN.EXE

MFWENG3.02D30.EXE

MGAVRTCL.EXE

MGAVRTE.EXE

MGHTML.EXE

MGUI.EXE

MINILOG.EXE

MMOD.EXE

MONITOR.EXE

MOOLIVE.EXE

MOSTAT.EXE

MPFAGENT.EXE

MPFSERVICE.EXE

MPFTRAY.EXE

MRFLUX.EXE

MSAPP.EXE

MSBB.EXE

MSBLAST.EXE

MSCACHE.EXE

MSCCN32.EXE

MSCMAN.EXE

MSCONFIG.EXE

MSDM.EXE

MSDOS.EXE

MSIEXEC16.EXE

MSINFO32.EXE

MSLAUGH.EXE

MSMGT.EXE

MSMSGRI32.EXE

MSSMMC32.EXE

MSSYS.EXE

MSVXD.EXE

MU0311AD.EXE

MWATCH.EXE

N32SCANW.EXE

NAV.EXE

AUTO-PROTECT.NAV80TRY.EXE

NAVAP.NAVAPSVC.EXE

NAVAPSVC.EXE

NAVAPW32.EXE

NAVDX.EXE

NAVENGNAVEX15.NAVLU32.EXE

NAVLU32.EXE

NAVNT.EXE

NAVSTUB.EXE

NAVW32.EXE

NAVWNT.EXE

NC2000.EXE

NCINST4.EXE

NDD32.EXE

NEOMONITOR.EXE

NEOWATCHLOG.EXE

NETARMOR.EXE

NETD32.EXE

NETINFO.EXE

NETMON.EXE

NETSCANPRO.EXE

NETSPYHUNTER-1.2.EXE

NETSTAT.EXE

NETUTILS.EXE

NISSERV.EXE

NISUM.EXE

NMAIN.EXE

NOD32.EXE

NORMIST.EXE

NORTON_INTERNET_SECU_3.0_407.EXE

NOTSTART.EXE

NPF40_TW_98_NT_ME_2K.EXE

NPFMESSENGER.EXE

NPROTECT.EXE

NPSCHECK.EXE

NPSSVC.EXE

NSCHED32.EXE

NSSYS32.EXE

NSTASK32.EXE

NSUPDATE.EXE

NT.EXE

NTRTSCAN.EXE

NTVDM.EXE

NTXconfig.EXE

NUI.EXE

NUPGRADE.EXE

NUPGRADE.EXE

NVARCH16.EXE

NVC95.EXE

NVSVC32.EXE

NWINST4.EXE

NWSERVICE.EXE

NWTOOL16.EXE

OLLYDBG.EXE

ONSRVR.EXE

OPTIMIZE.EXE

OSTRONET.EXE

OTFIX.EXE

OUTPOST.EXE

OUTPOST.EXE

OUTPOSTINSTALL.EXE

OUTPOSTPROINSTALL.EXE

PADMIN.EXE

PANIXK.EXE

PATCH.EXE

PAVCL.EXE

PAVPROXY.EXE

PAVSCHED.EXE

PAVW.EXE

PCC2002S902.EXE

PCC2K_76_1436.EXE

PCCIOMON.EXE

PCCNTMON.EXE

PCCWIN97.EXE

PCCWIN98.EXE

PCDSETUP.EXE

PCFWALLICON.EXE

PCIP10117_0.EXE

PCSCAN.EXE

PDSETUP.EXE

PENIS.EXE

PERISCOPE.EXE

PERSFW.EXE

PERSWF.EXE

PF2.EXE

PFWADMIN.EXE

PGMONITR.EXE

PINGSCAN.EXE

PLATIN.EXE

POP3TRAP.EXE

POPROXY.EXE

POPSCAN.EXE

PORTDETECTIVE.EXE

PORTMONITOR.EXE

POWERSCAN.EXE

PPINUPDT.EXE

PPTBC.EXE

PPVSTOP.EXE

PRIZESURFER.EXE

PRMT.EXE

PRMVR.EXE

PROCDUMP.EXE

PROCESSMONITOR.EXE

PROCEXPLORERV1.0.EXE

PROGRAMAUDITOR.EXE

PROPORT.EXE

PROTECTX.EXE

PSPF.EXE

PURGE.EXE

PUSSY.EXE

PVIEW95.EXE

QCONSOLE.EXE

QSERVER.EXE

RAPAPP.EXE

RAV7.EXE

RAV7WIN.EXE

RAV8WIN32ENG.EXE

RAY.EXE

RB32.EXE

RCSYNC.EXE

REALMON.EXE

REGED.EXE

REGEDIT.EXE

REGEDT32.EXE

RESCUE.EXE

RESCUE32.EXE

RRGUARD.EXE

RSHELL.EXE

RTVSCAN.EXE

RTVSCN95.EXE

RULAUNCH.EXE

RUN32DLL.EXE

RUNDLL.EXE

RUNDLL16.EXE

RUXDLL32.EXE

SAFEWEB.EXE

SAHAGENT.EXE

SAVE.EXE

SAVENOW.EXE

SBSERV.EXE

SC.EXE

SCAM32.EXE

SCAN32.EXE

SCAN95.EXE

SCANPM.EXE

SCRSCAN.EXE

SCRSVR.EXE

SCVHOST.EXE

SD.EXE

SERV95.EXE

SERVICE.EXE

SERVLCE.EXE

SERVLCES.EXE

SETUPVAMEEVAL.EXE

SETUP_FLOWPROTECTOR_US.EXE

SFC.EXE

SGSSFW32.EXE

SH.EXE

SHELLSPYINSTALL.EXE

SHN.EXE

SHOWBEHIND.EXE

SMC.EXE

SMS.EXE

SMSS32.EXE

SOAP.EXE

SOFI.EXE

SPERM.EXE

SPF.EXE

SPHINX.EXE

SPOLER.EXE

SPOOLCV.EXE

SPOOLSV32.EXE

SPYXX.EXE

SREXE.EXE

SRNG.EXE

SS3EDIT.EXE

SSGRATE.EXE

SSG_4104.EXE

ST2.EXE

START.EXE

STCLOADER.EXE

SUPFTRL.EXE

SUPPORT.EXE

SUPPORTER5.EXE

SVC.EXE

SVCHOSTC.EXE

SVCHOSTS.EXE

SVSHOST.EXE

SWEEP95.EXE

SWEEPNET.SWEEPSRV.SYS.SWNETSUP.EXE

SYMPROXYSVC.EXE

SYMTRAY.EXE

SYSEDIT.EXE

SYSTEM.EXE

SYSTEM32.EXE

SYSUPD.EXE

TASKMG.EXE

TASKMO.EXE

TASKMON.EXE

TAUMON.EXE

TBSCAN.EXE

TC.EXE

TCA.EXE

TCM.EXE

TDS-3.EXE

TDS2-98.EXE

TDS2-NT.EXE

TEEKIDS.EXE

TFAK.EXE

TFAK5.EXE

TGBOB.EXE

TITANIN.EXE

TITANINXP.EXE

TRACERT.EXE

TRICKLER.EXE

TRJSCAN.EXE

TRJSETUP.EXE

TROJANTRAP3.EXE

TSADBOT.EXE

TVMD.EXE

TVTMD.EXE

UNDOBOOT.EXE

UPDAT.EXE

UPDATE.EXE

UPDATE.EXE

UPGRAD.EXE

UTPOST.EXE

VBCMSERV.EXE

VBCONS.EXE

VBUST.EXE

VBWIN9X.EXE

VBWINNTW.EXE

VCSETUP.EXE

VET32.EXE

VET95.EXE

VETTRAY.EXE

VFSETUP.EXE

VIR-HELP.EXE

VIRUSMDPERSONALFIREWALL.EXE

VNLAN300.EXE

VNPC3000.EXE

VPC32.EXE

VPC42.EXE

VPFW30S.EXE

VPTRAY.EXE

VSCAN40.EXE

VSCENU6.02D30.EXE

VSCHED.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSISETUP.EXE

VSMAIN.EXE

VSMON.EXE

VSSTAT.EXE

VSWIN9XE.EXE

VSWINNTSE.EXE

VSWINPERSE.EXE

W32DSM89.EXE

W9X.EXE

WATCHDOG.EXE

WEBDAV.EXE

WEBSCANX.EXE

WEBTRAP.EXE

WFINDV32.EXE

WGFE95.EXE

WHOSWATCHINGME.EXE

WIMMUN32.EXE

WIN-BUGSFIX.EXE

WIN32.EXE

WIN32US.EXE

WINACTIVE.EXE

WINDOW.EXE

WINDOWS.EXE

WININETD.EXE

WININIT.EXE

WININITX.EXE

WINLOGIN.EXE

WINMAIN.EXE

WINNET.EXE

WINPPR32.EXE

WINRECON.EXE

WINSERVN.EXE

WINSSK32.EXE

WINSTART.EXE

WINSTART001.EXE

WINTSK32.EXE

WINUPDATE.EXE

WKUFIND.EXE

WNAD.EXE

WNT.EXE

WRADMIN.EXE

WRCTRL.EXE

WSBGATE.EXE

WUPDATER.EXE

WUPDT.EXE

WYVERNWORKSFIREWALL.EXE

XPF202EN.EXE

ZAPRO.EXE

ZAPSETUP3001.EXE

ZATUTOR.EXE

ZONALM2601.EXE

ZONEALARM.EXE

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

HIJACKTHIS.EXE

F-AGOBOT.EXE

TASKMGR.EXE



W32/Rbot-ET attempts to delete the following registry entries related to

infection by other malware:



HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\PandaAVEngine

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System MScvb

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Inet Xp..

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\sysinfo.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\System MScvb



W32/Rbot-ET attempts to delete the files from the Windows System folder,

also related to infection by other malware:



TASKMON.EXE

PANDAAVENGINE.EXE

SYSINFO.EXE

MSCVB32.EXE

MSBLAST.EXE

TEEKIDS.EXE

PENIS32.EXE



W32/Rbot-ET may log user keystrokes and window text to a file called

NOLOG.TXT in the Windows system folder.





___________



Es de aupa, borra el HOSTS, descomparte comparticiones administrati`vas y detiene unos cuantos servicios (!!!)



Mira de enviarnos este gusano, ya que lo tienes controlado, pyes se copia con nombre aleatorio y con la muestra buscaremos las cadenas de identificacion.



Fijaros que si se borran las claves viricas, las crea de nuevo en cuestion de segundos !



Esperamos la miestra àra hecer la utilidad.



De momento informacion ya teneis...



saludos



ms, 1-10-2004

[zeus]

el archivo packard.exe desaparecio cuando el sistema se reinicio , como tengo conexiona internet por usuario y contraseña, el visrus no aparecia en los reportes del antivirus, cuando me conecte, empezo a aparecer, a pesar de buscar en el registro, segun la información de sopkos, no pude hallar indicios de el, por el momento el pc lo tengo sin internet y el virus no está.





alguna utilidad de reparación???

[msc hotline sat]

Bueno, pues lo haremos sin muestra, teoricamente.



En este caso vamos a crear un ELIRBETA.EXE que si detecta el fichero packard.exe lo eliminará, y además los servicios lanzados por la clave de registro en RUN y RUN SERVICES que tengan por valos "Windows Media Player Update ", aparte de restuarar a YES la de ENABLEDCOM y restaurar las comparticiones administrativas que el virus ha eliminado, aparte de aplicar un HOSTS básico, en sustitucion del que ha sobreescrito el virus.



Evidentemente si el usuario tenía un HOSTS personalizado, deberá volverlo a editar, ya que el virus lo elimino al poner el suyo.



Aparte, si el usuario acepta el permitir comparticiones en general, incluyendo usuarios anonimos , restaurará el valor de la clave de CurrentControlSet\Control\Lsa

a 0 y las de OLE a YES



Tambien iniciaremos el servicio servidor, al revés que hacíamos con el ELILSA, con la intencion de habilitar accesos y asi normalizar los accesos entre ordenador.



Convendrá hacer la prueba de ver si todo lo que hacemos es suficiente, pues al no disponer del gusano todo es teorico y no podemos hacer pruebas para comprobar el resultado.



Hoy mismo esperamos poder ofrecer esta utilidad para pruebas en esta web, lo cual se comunicará como siempre.



Mientras, prueben de lanzar el ELILSA con la opcion /start, lo cual habilitará el servicio servudir, que es una de las cosas que haremos con el ELIRBETA.EXE, a ver si ya solo con ello les habilita el serviucio, si bien se supone no será suficiente, por lo que estamos haciendo la utilidad global indicada.





Inicio-ejecutar "ELILSA.EXE /START"



saludos



ms, 4-10-2004

[msc hotline sat]

Ya hemos subido la nueva ELIRBETA.EXE oara que la pruebes:



https://foros.zonavirus.com/viewtopic.php?p=14155#14155



Esperamos tus noticias



saludos



ms, 4-10-2004

[zeus]

Despues de utilizar la utilidad el virus se elimino de la memoria y del sistema, restaure las conexiones compartidas, luego de estos el controlador de dominio, desaparecio, repare windows con el mismo cd de partida y el dominio volvio a la normalidad y los usuarios pudieron conectarse a la red con el dominio incluido, anteriormente no se podia hacer.



les doy las gracias por la disposición y caso cerrado