virus worm agobot ao.

[chechu]

BUENAS A TODOS.

Antes de escribir este mensaje he intentado por todos los medios solucionar el problema, como otras tantas veces que he tenido una intrusión en mi pc, pero ahora estoy desbordado.

Hace un par de semanas vi antivirus dejo de actualizarse auto. ye intente actualizarlo manual y no me dejaba conectarme al servidor del antivirus, pero esto ya me habia pasado antes, entonces , en modo a prueba de fallos en el que me aparece un administrador k yo no he creado, intente pasar todos los antivirus de vuestra página sin exito, excepto con el simantec que no me detectaba nada. Luego pase todas las herramientas que teneis en la web y me detecto y borro el virus nachi.c y el raleka pero todas las herramientas me decian lo mismo: la carpeta system volume information deniega el acceso.

Reinicio en modo normal y navegar por el explorer es imposibler porque me aparece la ventana de cierre (RPC) inmediato, pero cuando he flipao es cuando con el mozilla tb me sale esa venntana, yo tenia entendido k con este navvegador no habian virus.

Pero lo peor ha sido hoy cuando he pasado el panda y no tenia ningun virus, he pasado otro antivirus (trend micro) y me ha detectado 15 virus (raleka y nachic., ke no puede borrar) y otro virus llamado agobot ao. worm nachi.



Pos ya no se ke hacer, a ver si me ayudais por favor y gracias de anntemano.



Un saludo

[msc hotline sat]

Prueba siguiendo estas indicaciones:



https://foros.zonavirus.com/viewtopic.php?t=46



saludos



ms, 15-04-2004

[chechu]

He hecho lo que pone en la página que me has indicado, y al pasar el antivirus (AVG 7.0) me ha descubierto 17 virus mas( nachi c. raleka y varios troyanos).

Pero la que me extraña es que al empezar la sesion de windows sale un administrador que yo no he creado (ademas de haber eliminado todas las cuentas de admin. menos la mia) y encima con clave ¿esto es normal?

Otra cosa es que al ejecutar el netstat me desaparece enseguida de la pantalla y no me deja ver las conexiones( me tengo que ir a simbolo de sistema para poder ejecutar algoy verlo?



Mucha sgracias por tu ayuda.





Un saludo

[cañera]

chechu imprimete la pagina del link que te dejó el compañero MSC y sigue paso por paso lo que te dice en ella sin dejar ni uno atras.

actualiza tu antivirus ya que esos virus son controlados por todos los antivirus(supuestamente)y la utilidad elirpca elimina tanto el raleka como el nachi y los trojanos se eliminan en a modo prueba de errores desactivando restaurar sistema(que eso tambien te lo dice en ese post)

cuentanos como te fue

[chechu]

Buenas otra vez



He hecho punto por punto lo que pone en el link y despues de actualizar al sp1 el xp, al encender el ordenador ejecuto el elirpca y me borra un gusano nachi c. Paso el antivirus y me detecta un nachi h. y dos nachi b. , ademas me cambia los archivos de la carpeta system 32 de windows shell32.dll, kernell32.dll, ntoskrnl.exe y user32.dll.



Que hago sigo con las actualizaciones que me quedan o por donde tiro???????????



Un saludo, y perdonar que tarde en contestar.



Gracias

[cañera]

claro tienes que actualizarlo todo y una vez actualizado pasa de nuevo el elirpca en a modo prueba de errores desactivando restaurar sistema.

cuentanos como te fue.

[msc hotline sat]

Y ten presente que el ELIRPCA te eliminará los gusanos reales, no los que puedas tener en copia de seguridad dentro de SYSTEM VOLUME INFORMATION\_RESTORE, que podrás eliminar siguiendo los consejos de la cañera, arrancando en modo seguro y deshabilitando la restauracion de sistema, y lanzando tu antivirus que podrá de esta forma eliminar estas copias que, aunque inactivas, afean el resultado del antivirus.



Pero efectivamente, los Nachi B, y compaía entran por vatios agujeros de seguridad, el MS-03-026, el 039, el 069, etc, por lo que es importante parchear todos los que windowsupdate encuentre que faltan.



saludos



ms, 21-04-2004

[chechu]

bueno he instalado todas las actualizaciones que me dice en la web de windows update, nada más acabar he reiniciado el pc, al ponerse en funcionamiento ejecuto el ELIRPCA y me borra un gusano nachi, acabo de poner el antivirus a rastrear, pero me tengo ke ir a currar, asi que hasta la noche no puedo saber compo ha quedado la cosa, pero me huelo que tendre ahi los 3 mismos virus que tenia antes y que el antivirus no ha podido borrar en otras pasadas.



Luego os cuento. Gracias por vuestra ayuda.





Un saludo.

[msc hotline sat]

Ya nos contarás, pero si tras actualizar los parches has arrancado en modo seguro y has lanzado el ELIRPCA.EXE v 4.2 , no creo que haya quedado nada de lo que hubiera entrado por dichos agujeros.



Pero sino, empieza por comprobar la version del ELIRPCA (ejecutandolo lo ves); y si no es la indicadam v 4.2 o posterior, te la bajas de nuevo y la ejecutas en modo seguro.



saludos



ms, 21-04-2004

[chechu]

Pues nada acabo de pasar el ELIRPCA 4.2 y no me ha detectado ningun gusano, por primera vez en 15 dias, despues le he pasado el antivirus y tampoco detecta ningun intruso, creia que no lo iba a conseguir nunca.



Lo que si querria preguntar es como puedo comprobar sin error que ya no estoy infectado, alguna manera de saberlo seguro mediante algun svchost uqe se este ejecutando, porque lo que más me mosquea es que en el modo a prueba de fallos me sigue saliendo un administrador con contraseña que no he creado.

Otra cosita más, siempre he tenido deshabilitadoa la opción de restaurar sistema, ¿la habilito ahora que, casi seguro, se que no hay virus?



Bueno muchisimas gracias por vuestra ayuda, no se que hubiera hecho sin vosotros, bueno si, seguramente habría perdido todo lo que guardo en mi pc al formatear.



Pos eso, gracias y hasta luego..............

[maura63]

Una vez limpio el PC de virus en ME o XP haciendo en modo seguro, vuelve a habilitar restaurar sistema.



Solo debes deshablitarla para limpieza de virus etc...



Saludos

maura63

[msc hotline sat]

Pues qué te creías, que te ibamos a dejar que tuvieras un virus?



Con las experiencias de mas de 100.000 usuarios asociados de SATINFO, y 16 años de lucha contra los virus,además de unos cuantos mas de servicio tecnico de hardware, y aparte de los foreros de zonavirus, de los que tambien obtenemos experiencias, hasta el momento no tenemos ningún virus pendiente de resolver, que sepamos, y no ibas a ser la excepción...



Para asegurar que ya no tienes virus, lanza un antivirus ONLINE y lo comprobarás:



Para test ONLINE antivirus:



https://www.virustotal.com/es/



Y si te preocupa el SVCHOST, mira si los que ficheros que tienes con dicho nombre son mayores omenores de 14 kB. Los de los sistemas operativos son de menos (8 en W2000, 13 en XP) y los gusanos que utilizan este nombre son de mayor tamañio que 14 hb. (Ojo tamaño de ficheros, no de procesos lanzados a través de ellos)



saludos



ms, 22-04-2004

[chechu]

Pues aki estoy otra vez, porque despues de tanto tiempo yo creia ke ya lo habiamos solucionado, y es ke ayer al encendre mi pc me daba un error de system32, dice que se ha perdido o borrado y que vuelva a meter el cd del xp, pero lo meto y no para de reiniciarse, pero no inicia el xp.

Lo que ocurre es ke al borrar archivos infectados la ultima vez ke hable con vosotros creo que borre este archivo porke estaba infectado con el nachi.

Espero, si puede ser, vuestra ayuda.

[msc hotline sat]

Si has borrado algun fichero de sistema que impide que arranques el XP desde el disco duro, debes arrancar desde el CDROM de instalacion del XP, programando en el SETUP el arranque priotiraio desde CD, antes de Disco Duro, (Boot Sequence) y una vez detectada la particion existente, indivcarle REPARAR (no reinstalar, pues perderías las aplicaciones instaladas)



Tras ello recuerda que has de instalar los parches de microsoft, conectando al windowsupdate



Otra cosa sería que al arrancar presentara la pantalla de apagado con la cuenta atrás, esto sería por un intento de intrusion de uno de los virus de moda, el SASSER o el Cycle, lo cual podrías controlar ejecutando el ELILSA.EXE y bloqueando el intento de intrusion, tras lo cual, conectar a internet y actualizar los parches:



https://foros.zonavirus.com/viewtopic.php?t=737



saludos



ms, 14-05-2004