Cmd.exe

Vcnt · Mensaje por **Vcnt** » 06 Nov 2005, 10:10

Hola! Al iniciar el ordenador y tambien a veces mientras trabajo se queda el ordenador como que esta trabajanddo mucho y en adimistrador de procesos veo que un proceso cmd.exe me ocupa como el 80% de la memoria. Tambien hay otros procesos que no son habituales. Se que es algo de DOS pero tengo que entendido que en verdad es un n virus. Alguien puede ayudarme, le he pasado 3 antivirus diferentes y 2 spyware y no detecta nada.

Gracias!!!!

maxgm · Mensaje por **maxgm** » 06 Nov 2005, 10:24

Depende que programa uses..puede que cmd.exe se use más de lo normal. Yo tube un virus instalado a cmd.exe y lo borre al pone Modo a prueba de fallos. Lo detectó y lo borró.

Saludos

Mensaje por **msc hotline sat** » 06 Nov 2005, 10:31

Además de que el CMD.EXE es el "Command.com" del windows98, el interprete de comandos mediante el cual abres una ventana al DOS desde XP y accedes a poder entrar ordenes desde DOS, tambien es usado como nombre de gusano por muchos virus, por lo que de entrada puedes lanzar un antivirus ONLINE y saber si te detecta algo, y en si caso proceder en consecuencia:

https://www.virustotal.com/es/

Informanos del resultado y te ayudaremos.

saludos

ms, 6-11-2005

Vcnt · Mensaje por **Vcnt** » 06 Nov 2005, 11:43

Tipo: Worm

Categoría: Win32

También conocido como: WORM_RBOT.ASC (Trend)

Esta en la carpeta C:\WINDOWS\system32\

Esto es lo que me ha detectado el antivirus, aunque no lo puedo ni reparar ni eliminar, y la explicacion que me da es la siguiente:

_____

Win32.Rbot.BMR is an IRC controlled backdoor (or "bot") that can be used to gain unauthorized access to a victim's machine. It can also exhibit worm-like functionality by exploiting weak passwords on administrative shares and by exploiting many different software vulnerabilities, as well as backdoors created by other malware. There are many variants of Rbot, and more are discovered regularly. Rbot is highly configurable, and is being very actively developed, however the core functionality is quite consistent between variants.

This particular variant of Rbot is distributed as a 155,136 byte, Win32 executable that exhibits the following specific characteristics:

When executed this variant copies itself to the %System% directory as p3.exe and makes the following modifications to the registry to ensure that this file is executed at each Windows system start:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MSPluginSrvc = "p3.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSPluginSrvc = "p3.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\MSPluginSrvc = "p3.exe"

Note: '%System%' and '%Windows%' are variable locations. The Worm determines the location of these folders by querying the operating system. The default location for the System directory for Windows 2000 and NT is C:\Winnt\System32; for 95,98 and ME is C:\Windows\System; and for XP is C:\Windows\System32. The default installation location for the Windows directory for Windows 2000 and NT is C:\Winnt; for 95,98 and ME is C:\Windows; and for XP is C:\Windows.

For more detailed information regarding the functionality of the Win32.Rbot family, please visit the Win32.Rbot description elsewhere in our encyclopedia.

Mensaje por **msc hotline sat** » 06 Nov 2005, 12:05

Pero no dices el nombre del fichero...

Muevelo a una carpeta de cuarentena y tras apagar, arranca de nuevo y lanza el mismo antivirus que, al no estar en uso el fichero, es posible que lo pueda eliminar, y si no, prueba el ELITRIIP con el que eliminamos muchos miles de virus de BOT, y si no fuera asi, envianoslo a zonavirus@satinfo.es anexado a un mail en el que nos indiques referencia REF VCNT y lo analizaremos e incluiremos en nuestras utilidades para que la proxima version lo controle:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

saludos

ms, 6-11-2005

Vcnt · Mensaje por **Vcnt** » 06 Nov 2005, 12:39

Muchas Gracias! VOy a ver y os comento!!!