Monica Arroyave
Saseer
Saseer
En la empresa tenemos un problema, tenemos mil computadoras trabajando y el lunes 3/4 nos entro el virus, corrimos el parche 835732 y las maquinas se curaron pero 150 de ellas se traban al iniciar las maquinas, ya no tienen el virus pero el parche las perjudica ya que no inicia windows y si quitamos el parche entonces vuelve el virus. Quisiera saber si existe otro parche o exactamente que afecta ese parche para que las computadoras se traven. Les agradeceria muchisimo si me pudieran dar una solucion ya que no podemos seguir perdiendo la produccion de esas maquinas.
Monica Arroyave:cry:
Monica Arroyave
-
carolxsiempre
- Mensajes: 991
- Registrado: 08 Mar 2004, 23:00
- Ubicación: El Salvador
- Contactar:
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Esto de que "el parche las perjudica" no nos cuadra.
Es la falta del parche lo que provoca el reinicio por Error en el intento de intrusion, al evitarlo el antivirus, y lo que hacemos es bloquear dicho port TCP445 para poder instalar los parches, además de quitar ekl virus, pero que los parches impidan el arranque... Hay algo mas de por medio, u otro virus como el Cycle.
Segun el antivirus que use, este nuevo Cycle no lo va a controlar, Diganos la version del antivirus que usa.
Mientras acabamos la nueva utilidad ELILSA,.EXE, en la que iremos acumulando los gusanos que intentan entrar por el desbordamiento de buffer del LSASS, dado que mcAfee, usando heuristicamente y controlando archivos copmprimidos, detecta al Ctcke como Exploit RPC Dcom, aunque nom entre por dicho agujero, como que además crea un fichero SVCHOST.EXE de 10.280 bytes en el directorio de sistema, lo controlaremos y eliminaremos tambien si lo detectamos, desde la v 4-6 que miraré de subir esta tarde.
De todas formas, mire si el SVCHOST.EXE del directorio de sistema, mide 10.280, en cuyo caso tiene el Cycle.
Si tiene cualquier duda o comentario al respecto, diganoslo como respuesta a este Tema y le orientaremos.
saludos
ms, 12-05-2004
Es la falta del parche lo que provoca el reinicio por Error en el intento de intrusion, al evitarlo el antivirus, y lo que hacemos es bloquear dicho port TCP445 para poder instalar los parches, además de quitar ekl virus, pero que los parches impidan el arranque... Hay algo mas de por medio, u otro virus como el Cycle.
Segun el antivirus que use, este nuevo Cycle no lo va a controlar, Diganos la version del antivirus que usa.
Mientras acabamos la nueva utilidad ELILSA,.EXE, en la que iremos acumulando los gusanos que intentan entrar por el desbordamiento de buffer del LSASS, dado que mcAfee, usando heuristicamente y controlando archivos copmprimidos, detecta al Ctcke como Exploit RPC Dcom, aunque nom entre por dicho agujero, como que además crea un fichero SVCHOST.EXE de 10.280 bytes en el directorio de sistema, lo controlaremos y eliminaremos tambien si lo detectamos, desde la v 4-6 que miraré de subir esta tarde.
De todas formas, mire si el SVCHOST.EXE del directorio de sistema, mide 10.280, en cuyo caso tiene el Cycle.
Si tiene cualquier duda o comentario al respecto, diganoslo como respuesta a este Tema y le orientaremos.
saludos
ms, 12-05-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
No, el SVCHOST.EXE de 12,8 kb es el normal de windows XP-
El del Cycle.A mediría solo 10.280 bytes
No tiene el Cycle en esta máquina
Entiendo que inicialmente tenía el W32/SASSER, por la orientacion de Carol a que utilizara el ELISASSA, si bien Vd no lo indicaba, y se supone que quería decir lunes 3/5 logicamente, no 3/4, y que las máquinas en cuestión tienen windows xp.
Pues tras lo indicado en el link que se le ofrecía, solo cabe que pruebe hoy la nueva utilidad ELILSA, que hemos hecho para centrar los problemas de dicha familia
Pero creo que podría muy bien ser la basura informática bajada al navegar por internet, propaganda y espías, que podrá eliminar con los antispywares indicados al principio de este post.
Mantenganos informados de sus progresos. Le ayudaremos en consecuencia.
saludos
ms, 13-05-2004
El del Cycle.A mediría solo 10.280 bytes
No tiene el Cycle en esta máquina
Entiendo que inicialmente tenía el W32/SASSER, por la orientacion de Carol a que utilizara el ELISASSA, si bien Vd no lo indicaba, y se supone que quería decir lunes 3/5 logicamente, no 3/4, y que las máquinas en cuestión tienen windows xp.
Pues tras lo indicado en el link que se le ofrecía, solo cabe que pruebe hoy la nueva utilidad ELILSA, que hemos hecho para centrar los problemas de dicha familia
Pero creo que podría muy bien ser la basura informática bajada al navegar por internet, propaganda y espías, que podrá eliminar con los antispywares indicados al principio de este post.
Mantenganos informados de sus progresos. Le ayudaremos en consecuencia.
saludos
ms, 13-05-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
No es lógico que se trate de un nodelo de hardwate, pues sería ya conocido por todos. Mas bien puede tratarse de un virus nuevo.
Lo mas importante es actualizar los parches de microsoft, y luego actualizar el antivirus.
Hoy conocemos ya un nuevo virus que entra por este agujero, que es el KIBUV.A
La nueva version del ELILSA.EXE 1.1b ya lo controla
https://foros.zonavirus.com/viewtopic.php?t=737
Pruebela a ver si es el caso.:
saludos
ms, 17-05-2004
Lo mas importante es actualizar los parches de microsoft, y luego actualizar el antivirus.
Hoy conocemos ya un nuevo virus que entra por este agujero, que es el KIBUV.A
La nueva version del ELILSA.EXE 1.1b ya lo controla
Pruebela a ver si es el caso.:
saludos
ms, 17-05-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online