svchost.exe

Bloody

Bueno, a pesar de que he formateado hace 2 días, cada vez que inicio el pc (bajo w2k), me da el error de que tiene que cerrar el archivo que sale en cabecera. He buscado algo por el google, y sin duda es un virus. No me deja casi utilizar ninguna aplicación, no me deja instalar ningún nuevo antivirus, ya que anula el windows installer. He realizado varios scans online, pero ninguno me soluciona nada.
Me gustaría saber si alguien ha tenido este problema y si ha conseguido solucionarlo.
Como último remedio, tendré el format, pero...si el virus reside en memoria, serviria de algo??
Pues creo que eso es todo.
saludos

Jasp

a mi me paso exactamente lo mismo ayer; pase el antivirus de trend online y me detecto 2 archivos infectados (c:/winnt/system32/.....) y los borro y fuera. De momento no he tenido mayores problemas, pero algunas cosas del w2k no rulan, vease buscar archivos, el panel de ctrol sale en 1 ventana to chikitita y el explorer hace lo k le sale de las narices.Ahora mismo estoi bajando el SP3 (tengo el 2) a ver k pasa, xk ya no se si es del virus o del puñetero bug ese k tb peta el explorer, asi k cuando termine de bajarlo e instalarlo, te cuento. (salvo el explorer y el w2k en si, todo lo demas me rula ok).

Suerte y no desanimes :)

PD: --->>> http://housecall.trendmicro.com/ antivirus online gratis y muy bueno ;)

DuPonT

ojo q a mi tb me pasa....peor me al come el orde sige dando 100 fps...xD

Bloody

Bueno, de momento le he pasado una versión share del Bitdefender, y algo ha encontrado. He vuelto a reiniciar el pc y de momento no me sale el error. Aunque al finalizar tuve que eliminar algunos archivos a mano. Aquí dejo un resumen del report:Summary:

C:\payload.dat=>(Upx) Infected BackDoor.Win32.Sone.A
C:\payload.dat=>(Upx) Disinfection failed - Trying second action
C:\payload.dat
C:\WINNT\system32\msblast.exe Infected Win32.Msblast.A
C:\WINNT\system32\msblast.exe Deleted
C:\WINNT\system32\msmsgri32.exe Infected Win32.Randex.D
C:\WINNT\system32\msmsgri32.exe Disinfection failed - Trying second action
C:\WINNT\system32\msmsgri32.exe Moved
C:\WINNT\system32\payload.dat=>(Upx) Infected BackDoor.Win32.Sone.A
C:\WINNT\system32\payload.dat=>(Upx) Disinfection failed - Trying second action
C:\WINNT\system32\payload.dat

Una cosa que me ha mosqueado bastante, son los errores de I/O que me salían en el report:

Scan path : C:\
Folders : 945
Files : 56186
Archives : 2892
Packed files : 802
Identified viruses : 3
Infected files : 4
Warnings : 0
Suspect files : 0
Disinfected files : 0
Deleted files : 1
Copied files : 0
Moved files : 3
Renamed files : 0
I/O errors : 16
Scan time : 00:10:38

Supongo que toda precaución es poca y pasaré el antivirus que me has dejado antes.
Muchas gracias
saludos

P.D: en lo que escribía el post me ha petado el svchost.exe xDDDDDD

PeTaSeTA

Me pasa exactamente lo mismo desde que ayer puse el ftp. Me pasaba lo siguiente:

  • Error en el susodicho .exe
  • NO puedo visualizar Archivos del programa
  • NO puedo copiar y pegar (Ctrl+C, Ctrl+V)
  • Si quiero instalar cualquier cosa me dice que Windows Installer ha encontrado un error y no instala nada.

Ahora mismo estoy desde otra partición pasandole el antivirus (Trend Micro PC-cilin). Ya veremos a ver cuanto sale y si se me soluciona

iK3r

Me acaba de dar ese mismo error, vi a pasar el antivirus. el panel de control de agregar y quitar programas esta todo alterado y en el exlplorer no puedo copiar ni entrar en links, menos mal ke uso Opera. voy a pasar el antivirus ;)

Snake

es un virus...

yo tb lo tengo ...
W32/Blaster

Jasp

A ver, solucion al canto, al menos para los k teniamos el SP2 o el default. bajaros el sp3 e instalad el parche pal w2000, cotnra el susodicho bug. lo k no se es si el parche sirve para algo o simplemente lo soluciona el sp3, xk estoi bastante fumao y no me e enterao aje xd pero se kita y todo vuelve a rular OK ;)

Snake

Aki teneis una noticia de PandaSoftware.es , y en la pagina inicial, teneis un reparador del virus. Es cuestión de estar registrado, si no, estaria bien que algun admin subiera el desinfectador a la web, para k todos los k no tengan una cuenta con Panda puedan bajarlo

http://www.pandasoftware.es/about/prensa/verNoticia.aspx?noticia=4024

Bloody

Le he pasado todos los antivirus on-line, todas las versiones share, y sigue igual. Curiosamente, algunos escaneadores me han detectado virus en la versión share del Bitdefender.
Ya ningún escaneador me detecta nada, pero sigo reiniciando y al rato termina por petar el svchost.exe, con las consecuencias que a todos nos da: no deja usar el buscador, panel de control, copiar y pegar, instalar cosas...
En una de las páginas, me dice que elimine una entrada en el registro de windows:
HKEY_LOCAL_MACHINE\software\microsof\windows\current version\Runservices, y aqui que elimine la entrada Swf32.
A mi no me aparece, pero igual a alguno de vosotros si. Probar a ver si os hace algo.
saludos

Snake

En la noticia viene a dcir, k es el mismo bug k genera el reinicio en windows... o sea, k estamos ablando d un virus mutador k se a propagado MUCHISIMO através d internet, y k ni nos damos cuenta de ke intenta entrar a menos k tngamos un FireWall

Snake

Panda Software alerta sobre la aparición del nuevo gusano Blaster

12/08/03. - Está diseñado para aprovechar una vulnerabilidad recientemente descubierta en varias versiones del sistema operativo Microsoft Windows

  • La red internacional de servicio de Soporte Técnico de la multinacional ya ha comenzado a registrar incidencias causadas por este nuevo código malicioso

El Laboratorio de Virus de Panda Software ha detectado la aparición del nuevo gusano Blaster (W32/Blaster), que ha sido diseñado para aprovechar una vulnerabilidad recientemente descubierta en algunas versiones del sistema operativo Windows.

Blaster no se propaga a través de los medios habituales, sino que circula por Internet en busca de máquinas sobre las que poder realizar su ataque. Cuando las encuentra, intenta entrar en el sistema a través del puerto de comunicaciones 135 con el objetivo de provocar un desbordamiento de buffer. Así, uno de los síntomas más significativos que pueden indicar una infección por parte de este código malicioso es un notable aumento de la actividad en dicho puerto.

Una vez instalado en el equipo, Blaster realiza un examen de las direcciones IP de la red, con el objetivo de encontrar más ordenadores vulnerables a los que afectar.

Además, crea en el sistema un fichero denominado msblast.exe, el cual contiene el código del gusano. Al mismo tiempo, genera una clave en el registro de Windows con el fin de asegurar su ejecución cada vez que se reinicie el sistema operativo.

Sin embargo, el principal objetivo de Blaster es infectar el mayor número de máquinas posible con el fin de realizar un ataque de denegación de servicio sobre el sitio web windowsupdate.com. El mismo, ha sido programado para llevarse a cabo el próximo 15 de agosto.

La mencionada vulnerabilidad de Windows, denominada RPC DCOM, consiste en un desbordamiento de buffer en la interfaz RPC, y ha sido calificada como “crítica” por la propia compañía Microsoft. Afecta a las versiones NT 4.0, 2000, XP y Windows Server 2003. En líneas generales, se trata de un problema de seguridad que permitiría hacerse con el control de los equipos de forma remota. Por ello, y con el fin de evitar posibles ataques, Panda Software aconseja tanto a los administradores y responsables de informática como a los usuarios particulares, la instalación inmediata de los parches proporcionados por Microsoft para corregir dicha vulnerabilidad. Los mismos pueden ser descargados desde http://www.microsoft.com/security/security_bulletins/ms03-026.asp donde, además, puede encontrarse información detallada sobre este problema.

En cualquier caso, ante las incidencias registradas por la red internacional de servicio de Soporte Técnico de Panda Software, y en prevención de posibles encuentros con Blaster, se aconseja actualizar de inmediato las soluciones antivirus. La multinacional ya ha puesto a disposición de sus clientes las correspondientes actualizaciones de sus productos para la detección de Blaster, por lo que, si no tienen su software configurado para realizarlo de modo automático, pueden proceder a actualizar sus antivirus desde http://www.pandasoftware.es.

Además, los usuarios que lo deseen pueden analizar "online" sus sistemas con la solución antivirus gratuita Panda ActiveScan, que se encuentra disponible en la página web de la compañía, en http://www.pandasoftware.es.

Puede consultarse información técnica detallada sobre Blaster en la Enciclopedia de Virus de Panda Software.

Snake

y creo k con esto, ya sbemos k pasa en realidad ...

Nombre común: Blaster


Nombre técnico: W32/Blaster


Peligrosidad: Muy Alta


Alias: W32.Blaster.Worm, W32/Lovsan.worm, WORM_MSBLAST.A, Win32.Poza


Tipo: Gusano


Efectos: Tiene código para realizar un ataque de tipo DoS contra el sitio windowsupdate.com cuando la fecha del sistema sea el 15 de agosto de 2003.


Plataformas que infecta: Windows NT/2000/XP


Fecha de aparición: 11/08/2003


¿Está en circulación? Si


Descripción Breve

Blaster es un gusano que sólo afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT. Blaster aprovecha la vulnerabilidad conocida como Desbordamiento de búffer en interfaz RPC para propagarse al mayor número de ordenadores posible.

Blaster producirá ataques de denegación de servicio (DoS) contra el sitio web windowsupdate.com cuando la fecha del sistema se encuentre entre el 16 de agosto y el 31 de diciembre de 2003. Para ello, Blaster envía un paquete de tamaño 40 Bytes a dicho sitio web cada 20 milisegundos, a través del puerto TCP 80.

Blaster se propaga atacando direcciones IP generadas aleatoriamente, intentando aprovechar la vulnerabilidad arriba mencionada para descargar en el ordenador atacado una copia de sí mismo, para lo cual incorpora su propio servidor de TFTP (Trivial File Transfer Protocol).

Síntomas Visibles

Dos claros síntomas de la presencia de Blaster dentro del ordenador son los siguientes:

Un aumento considerable del tráfico de red a través de los puertos TCP 135 y 4444 y UDP 69.
El bloqueo y reinicio del ordenador atacado, debido a errores de codificación del gusano.

D

pero k kachondeo! todos de aki tienen el mismo virus o ke?

voy acer deberes de verano :(

PIN-HEAD

SOLUCIÓN:

Poner en inicio/ejecutar:
cmd /k shutdown /a
para evitar el shutdown, luego ir a inicio-panel de control-herramientas administrativas-servicios-llamada a procedimiento remoto (rpc)- clickderecho-propiedades-recuperacion cambia todo lo q ponga reiniciar ekipo a reiniciar servicio en los 3 kuadros kombinados.

SALU2 y suerte

PD: Kon esto no eliminais el gusano, pero sí evitais ke os reinicie el PC.

Bloody

Yo estoy actualizando desde microsoft, pero a medida que instalo, me vuelve a petar el archivo y tengo que reiniciar. Puedo usar el pc hasta que me peta.
Supongo que un format sería inútil.
Pin-head, de momento con eso no ha habido problemas, al menos nada que alguien haya dicho. A mi al menos no se me reinicia solo el pc, pero igual a otros usuarios si, y seria bueno saberlo (aunque toda aportación es buena xD)
Pues suerte y a ver que pasa.
saludos

Snake

a ver... k utilizeis el de Panda k si no lo unico k aceis es kitar el bug pero no el virus... tanto os cuesta ?

Bloody

Ya snake, pero el link que dejaste antes de panda (www.pandasoftware.es) no me va, dice que no se encuentra la página :( , aunque creo que esta mañana hice un scan online sin resultados en esa página (no se por que ahora no tira)
saludos

skcat

esta jodiendo mucho este gusanito.... llevo 11 clientes k les pasa esto (si desconectais el cable de red funciona correctamente), i aun no se me ha acabo la mañana...
bajaros el quick remover de panda, i poner algun firewall i un buen antivirus actualizao, xupa recursos pero vale la pena

Snake

http://usuarios.lycos.es/c4r/blaster_remover.zip

utilidad de pandasoftware para kitar el virus

Bloody

Intentas descargar este archivo desde una página gratuita de usuario de Tripod :
http://usuarios.lycos.es/crossfireclan/blaster_remover.zip

Para acceder a este archivo, necesitas visitar la página del usuario:
http://usuarios.lycos.es/crossfireclan
(serás remitido automáticamente a Lycos Tripod España en 5 segundos)

Visito la página que me indica ahí, pero me da error también...
Esto ya empieza a ponerme negro xDDD
saludos

Jasp

a ver si es k no leeis algunos...como siempre....SI HAS INSTALADO EL PARXE BAJO w2k, y se te cuelga es XK NECESITA EL SP3 O EL SP4, k no os leeis las advertencias de las webs...asi,k sp3 instaladlo y ya esta _

Bloody

Jasp, yo tengo el sp3 desde el dia en que salió.
Pero esto es desesperante ya, no me deja ni navegar. Me meto en las actualizaciones de windows update, y ni siquiera eso me deja hacer.
El sp4 lo descargué según salió, pero nolo instalé porque varios me dijeron que daba problemas con el 3ds max, y ahora estoy haciendo un curso y lo necesito.
saludos

Snake

leeros la notica anda....

instalar un SP no vale d nada pk el virus sigues estando y reabre el bug d windows

CaNaRy_r00lz

Snake, io me he bajado el blaster remover y nada eh, me dice k si k lo ha kitado pero nada mas reiniciar y entrar en win me vuelve a petar y dar el error -_-

Snake

pk el Blaster Remover kita el virus , no el bug.. tienes k aplicar los 2 , el remover y el d windows, si aces solo el d windows x ejemplo, te deja el virus k reaviva el bug, y si solo pones el dl virus , el bug sigue actuando ya que el virus deja una entrada en el registro k ace k vuelva a suceder

CaNaRy_r00lz

Snake seria mucho pedir k me direras el link directo del bug? pk toy perdido hoy xD eso de salir de marcha anoche a ver tangas es malo no coordino xD

P.D. sorry toy tan soplao k no habia visto k lo pusiste en la 1º pag del post, arf sorry por el despiste xD

Bloody

Despues de intentar bajarme el parche de windows como 50 veces (todas tuve ke reiniciar), alfinal lo he conseguido. Llevo como 15 minutos con el pc encendido y parece que mantiene la estabilidad.
Muchas gracias a todos, sobre todo a snake :D
saludos