[OT] Grupo adecuado para un problema de virus (creo)

El otro día, Pepitof nos estuvo contando:

Está es.comp.virus que en su día estaba bien. Me desentendí de él hace un par de años cuando empezó a convertirse en es.comp.antivirus y no sé como estará ahora.

De todas formas han surgido nuevas variantes del bagle, contra eso ya sabes, lo de siempre: actualizar el antivirus e instalar los últimos parches de microsoft. Y si la cosa es grave, como de costumbre formatear.

Saludos.

P.D: En momentos así uno se siente aliviado de no usar apenas windows. :)

Prueba a sacar una consola del sistema (cmd) y ejecuta netstat Eso te da una lista de todas las conexiones que tu maquina tiene abiertas o recientemente usadas, el puerto de las mismas y la procedencia o destino Puede que te ayude a averiguar quien se come tu ancho de banda

-- Potxoki

"Pepitof" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de...

a a

después

a

ha

un

continúa.

y

Peer-guardian

de

recomendacion: usa un cortafuegos... te indentificara que aplicacion es la que se conecta e incluso la podras bloquear... si la aplicacion es un programa del propio w2000 SP4 (casualidades el mismo que el mio) pues el virus ha entrado hasta la cocina... si es otro programa pued lo borras para empezar... una buena limpieza solo la haras identificando el "virus" gusano o troyano... y despues a buscar vacuna... pillate (si no tienes) algun antivirus gratuito (una segunda opinion que no sea de panda...;) simplemente porque ya lo has usado

tambien para saber en todo momento lo que se esta ejecutando y poder cerrar cualquier proceso de windows (el administrador de tareas de windows no te permite cerrar los servicios) es PROCEXP

Process Explorer for Windows 9x/NT/2000/XP/S2K3 Copyright (C) 1998-2004 Mark Russinovich Sysinternals

LO MATA TODO... y lo deja bien muerto... asin que puedes hacer pruebas a cerrar aplicaciones...

y a bote pronto no se me ocurre na mas...

y pa que no sea OT

por 5 cts de euro ... sitios donde vendan led blancos (azul+fosforo) de 15º y 5000mcd... por ej Rs-amidata a 2,07 euros...

Saludos ES_Tupen_Do

pd; y ahora como suposicion... si usas el kazaa lite ... borralooooo es un puerta de catedral abierta...

Pepitof wrote:

Hay unos utilitarios de Mark Russinovich

que van listando los accesos a los puertos y el proceso que lo hace. Yo no uso ningun antivirus, cada vez que tengo sospechas hago una revision de los programas que se inician con la maquina (uso el autorun de Mark Russxxx) y controlo si me han agregado alguno, busco por Internet las caracteristicas del virus y lo saco. Lo que hago es inseguro y hay casos donde no sirve, igual que los antivirus... que ademas de ser debiles para detectar mutaciones te tiran abajo el rendimiento de la maquina.

Eduardo.

hola, yo suelo observar muy amenudo las luces del router,(lo tengo encima del pc) en cuanto detecto parpadeos extraños de los led, que no corresponden a programas o utilidades que uso en ese momento,(explorer,outlook,msn, etc.) entonces me empiezo a mosquear, pensando en posibles troyanos que se han colado en mi pc,(ultimamente 3)

- uso win2000, actualizado a tope.

- panda antivirus platinun (registrado y actualizado a diario)

- para saber que programas estan saliendo a internet uso el comando (netstat) en una ventana del simbolo de sistema, tambien uso un programa llamado "DarkyNetsat" en realidad es un "netstat" en modo grafico, te indica que programas en ese momento estan saliendo a internet,los puertos remotos, la ip, y alguna cosilla mas,

creo que lo baje de hay, aunque que observado que este programa tiene o pudiera tener alguna deficiencia por que ha veces cuando detecta algun puerto poco usual abierto lo interpreta como troyano, por ejemplo, con algun programa de IRC, ICQ, etc.

- tambien uso el AD-AWARE SE aunque no se si se entera mucho de los troyanos,(el panda los suele pillar, pero aun asi no me fio)

- otra opcion que uso es CONTROL+ALT+SUPR y entrar en "administrador de tareas de windows" y ver que procesos estan cargados y funcionando en la RAM, repasar la lista de programas cargados en memoria aver si hay alguno que no conozca o me parezca sospechoso y lo desactivo, despues busco las entradas de registro en el regedit, (inicio/ejecutar/regedit/buscar/nombre de programa extraño) y si efectivamente el nombre coincide, lo borro del registro rapidamente. y reinicio, despues entro otra vez en "administrador de tareas de windows" y compruebo si a desaparecido y no esta cargado en la ram,

bueno espero que te sirva de algo,

saludos.

"Pepitof" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de...

a a

después

a

ha

un

continúa.

y

Peer-guardian

de

Con un packet sniffer puedes capturar todo el tráfico y ver su contenido. Allí podrás ver la IP de destino, que te dará alguna pista. Ten en cuenta que hay troyanos indetectables por los antivirus, por ejemplo el Optix, vamos si cualquiera se pone con VC++ a programar y se dedica a enviar las teclas pulsadas, capturas de pantalla, ficheros, etc., el antivirus no tiene forma de diferenciar eso de una aplicación legitima que haga lo mismo como el VNC. Un firewall como Kerio, ZoneAlarm, o el incorporado en XP SP2 te avisan de cualquier intento de acceso de un programa no autorizado.

Además de ver el led parpadear, supongo que en las propiedades de la conexión, donde te indica los bytes enviados/recibidos, los números no paran de subir.

Pepitof expuso:

Instala el Zone Alarm. Es un cortafuegos gratuito. Cuando algun soft quiere acceder, te sale una ventana describiendolo y pidiendo permiso/denagacion. Creo que así identificarás rápidamente al culpable.

"Pepitof" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de... | Hola. Perdonad el OT. ¿Cual sería el grupo más adecuado para postear una | duda sobre virus? Me refiero a algún grupo que funcione, y que no sea un | completo basurero. | | | Por si alguien me puede echar una mano, describo los síntomas. Es algo que | está en mi ordenador, y que continuamente accede (o lo intenta) a internet a | través del router. Lo hace de forma tan rápida y con tal volumen de | peticiones que deja el router colgado, de forma que ya no permite acceder a | internet. | | He llegado a esta conclusión porque todo va bien hasta unos segundos después | de que termine el arranque de Windows, y entonces empieza a parapadear | continuamente el LED ethernet del router. Al principio, este parpadeo va | acompañado del mismo parpadeo en el LED ATM, que normalmente indica | actividad en la conexión ADSL. En estas condiciones, todavía puedo acceder a | inet. Pero aproximadamente medio minuto después, el LED ATM deja de | parpadear, y dejo de tener acceso a inet. Yo interpreto que el router se ha | saturado o algo así, porque si lo apago y lo enciendo, vuelve a aguantar un | tiempo con conexión y vuelve a joderse. | | Sé que está en mi ordenador, porque dejándolo solo en la red, e incluso | desconectando el router de la ADSL, el parapadeo del LED ethernet continúa. | Incluso si apago el router, el LED del hub me indica que sigue habiendo | actividad, aún cuando sólo está conectado a la LAN mi PC. | | Uso W2000 SP4 con todos sus parches de seguridad, y no suelo ejecutar nada | de procedencia dudosa. Tampoco he instalado nada nuevo ultimamente, salvo | actualizaciones de Windows. He pasado el Panda, actualizado a día de hoy, y | no encontró nada. También el Ad-aware y el Spy-bot, y nada. El Peer-guardian | me da una cantidad enorme de accesos, todos según pone, de empresas | conocidas, como HP, Sun Microsystems, y cosas así, pero no creo que eso | tenga nada que ver, porque lo que sea, creo que está dentro del ordenador. | ¿Sabéis de algún soft tipo sniffer que te diga qué programa está usando la | red? | | En fin, cualquier sugerencia será bien recibida, porque ahora ando a base de | apagar y encender el router, y es un coñazo. | | -- | | | Saludos de Jose Manuel Garcia | snipped-for-privacy@terra.es | http://213.97.130.124 | | |

Cuando te ocurra eso, ejecuta "netstat -an" y deja aquí la salida, a ver qué puertos tienes abiertos.

--
Saludos
Regards
Alex

Un cortafuegos es la solución, para detectar el programa maligno.

Sabrás de inmediato que programa trata de acceder a internet, por que puerto, y con que frecuencia. Yo uso Sygate, y va perfecto. Además tiene funciones añadidas para detectar gusanos y troyanos.

Es raro que se trate de un virus o gusano y el antivirus no lo detecte. Yo uso McAfee, y sin problemas.

Una cosa más. Aunque no uses programas de dudosa procedencia, si no usas Cortafuegos y tienes "La mula", con frecuencia currando, se te puede colar cualquier cosa.

Como anecdota, hace un par de años, cuando no tenía ni cortafuegos, ni antivirus, me llaman un día de Ono, para decirme que tenían 40 quejas, de que desde mi ordenador se estaba haciendo Spam.

Instalé el cortafuegos Zone Alarm, y era de locura, cada pocos segundos detectaba cientos de intentos de acceso a mi ordenador. Todo se había colado por "La mula". El cortafuegos estuvo detectando montones de intentos de acceso, durante varias semanas, luego fué decreciendo paulatinamente, hasta normalizarse.

Desde entonces, cortafuegos-antivivus-antispyware, nunca falta en mi ordenador.

Hay mucho capullo en "La mula", tratando de colarse en ordenadores ajenos. Y todo eso, auque no te bajes ni un solo programa, o te bajes alguno, y no lo ejecutes.

y con que

gusanos y

Hola.

En primer lugar, muchas gracias a todos.

Bueno, pues gracias al Zone-alarm he visto que un programa llamado POST.EXE, ubicado en el directorio SYSTEM32 de Windows, era el que quería acceder. He arrancado en modo seguro, lo he renombrado, y he vuelto a arrancar en modo norml, y parece que todo va bien. Ahora me quedan una duda, aparte de cómo habrá entrado. No sé si ese es un fichero necesario para W2000, infectado, o es un fichero puesto allí con malas artes, es decir, no sé si el renombrarlo tendrá efectos secundarios. Si alguien que use W2000 pudiera mirar si él lo tiene, y si es así, su tamaño exacto y fecha, para comparar, me haría un gran favor. Y si lo tiene y me lo envía, pues mucho mejor, claro.

--

Saludos de Jose Manuel Garcia snipped-for-privacy@terra.es http://213.97.130.124

"Pepitof" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de...

a a

después

a

ha

un

continúa.

y

Peer-guardian

de

"KT88" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de...

tienes "La mula",

antivirus, me

ordenador se

detectaba cientos

El cortafuegos

luego fué

ordenador.

Y todo eso,

ejecutes.

Eso mismo me ocurrió a mí con la mula. Se me bloqueaba la conexión a internet. Instalé un sniffer y había decenas de tíos intentando conectarse a mi ordenador. Aunque desconectase la mula, seguían enganchandose cual garrapatas hasta que paraba el router. Estuvo una temporada pasándome hasta que se quitó solo de buenas a primeras. Otra vez me montaron un almacén en el disco duro (un pubstro creo que lo llaman). Me dí cuenta porque casi no me quedaba disco. Alguien utilizó mi disco para guardar software. Me quedé el que me interesó y el resto lo borré. Todo eso me pasó con W98. Ahora tengo el 2003 y parece que va más calmada la cosa

Un saludo Joan

"Pepitof" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de...

POST.EXE,

He

fichero

tiene,

Yo no lo tengo. De todas formas espera a ver qué te dice alguien más, porque hice una instalación muy básica del W2000 y a lo mejor lo necesita algún programa de los que no metí.

Un saludo Joan

En mi W2000, tampoco está. Eso parece lo que me colaron a mí, hace tiempo, para usar tú ordenador, para enviar Spam. Seguro que te ha entrado por "La mula".

Bueno, pues entonces estupendo, lo dejo renombrado y ya veremos con el tiempo. Lo cierto es que no se detecta como un virus, ni en Panda ni en Macafee (aunque éste no lo tengo muy actualizado). Lo de la mula, pues casi seguro que llevas razón. Yo tengo bastante restringido el acceso con los filtros del router, pero claro, tengo un puerto abierto para el Emule, así que es un sitio posible. Y ya puestos OTear, ¿alguna forma para que el Emule sea seguro, o no tan inseguro?

--

Saludos de Jose Manuel Garcia snipped-for-privacy@terra.es http://213.97.130.124

"KT88" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de...

para enviar Spam.

POST.EXE,

He

modo

fichero

tiene,

una

un

que

internet

acceder

va

acceder

se

aguantar

incluso

habiendo

nada

salvo

hoy,

eso

ordenador.

usando la

base

Ah, se me olvidaba, por si a alguien le pasa algo parecido. Aún no sé cómo ha entrado, pero al menos sí sé por qué se ejecuta cada vez que arranco. El virus que ha creado el fichero POST.EXE, ha dejado también estas tres claves en el registro:

HKEY_CURRENT_USER\Software\Microsoft\OLE\Windows Security Policy = post.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Security Policy = post.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Win dows Security Policy = post.exe

--

Saludos de Jose Manuel Garcia snipped-for-privacy@terra.es http://213.97.130.124

"KT88" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de...

para enviar Spam.

POST.EXE,

He

modo

fichero

tiene,

una

un

que

internet

acceder

va

acceder

se

aguantar

incluso

habiendo

nada

salvo

hoy,

eso

ordenador.

usando la

base

Hay un programa que se llama "Hijaack this" que te verifica todas las claves "extrañas" del registro, de los navegadores, barras de busqueda, etc y te permite eliminarlas si decides que son de programas malignos. Es una herramienta mucho mas rudimentaria que ad-aware pero el hecho de que permita al factor "humano" decidir si la barra de google es un intruso, o el plugin de flash es maligno, pues a mi me da mas confianza.

-- Potxoki

"Pepitof" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de...

El

claves

post.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Win

acceder.

sea

algo

parapadear

parpadeo

router

ejecutar

Consulta por los grupos de micrsoft.public.es, hay gente que ayuda bastante (aunque tambien hay mucho troll). La mula y similares tienen allí muy mala fama, no tienes forma de evitar que se cuele algo.

"Pepitof" escribió en el mensaje news: snipped-for-privacy@uni-berlin.de... | Bueno, pues entonces estupendo, lo dejo renombrado y ya veremos con el | tiempo. Lo cierto es que no se detecta como un virus, ni en Panda ni en | Macafee (aunque éste no lo tengo muy actualizado). | Lo de la mula, pues casi seguro que llevas razón. Yo tengo bastante | restringido el acceso con los filtros del router, pero claro, tengo un | puerto abierto para el Emule, así que es un sitio posible. Y ya puestos | OTear, ¿alguna forma para que el Emule sea seguro, o no tan inseguro? | | -- | | | Saludos de Jose Manuel Garcia | snipped-for-privacy@terra.es | http://213.97.130.124 | | | "KT88" escribió en el mensaje | news: snipped-for-privacy@uni-berlin.de... | >

| > En mi W2000, tampoco está. | > Eso parece lo que me colaron a mí, hace tiempo, para usar tú ordenador, | para enviar Spam. | > Seguro que te ha entrado por "La mula". | >

| >

| >

| >

| > > Hola. | > >

| > > En primer lugar, muchas gracias a todos. | > >

| > > Bueno, pues gracias al Zone-alarm he visto que un programa llamado | POST.EXE, | > > ubicado en el directorio SYSTEM32 de Windows, era el que quería acceder. | He | > > arrancado en modo seguro, lo he renombrado, y he vuelto a arrancar en | modo | > > norml, y parece que todo va bien. | > > Ahora me quedan una duda, aparte de cómo habrá entrado. | > > No sé si ese es un fichero necesario para W2000, infectado, o es un | fichero | > > puesto allí con malas artes, es decir, no sé si el renombrarlo tendrá | > > efectos secundarios. Si alguien que use W2000 pudiera mirar si él lo | tiene, | > > y si es así, su tamaño exacto y fecha, para comparar, me haría un gran | > > favor. Y si lo tiene y me lo envía, pues mucho mejor, claro. | > >

| > >

| > > -- | > >

| > >

| > > Saludos de Jose Manuel Garcia | > > snipped-for-privacy@terra.es | > > http://213.97.130.124 | > >

| > >

| > > "Pepitof" escribió en el mensaje | > > news: snipped-for-privacy@uni-berlin.de... | > > > Hola. Perdonad el OT. ¿Cual sería el grupo más adecuado para postear | una | > > > duda sobre virus? Me refiero a algún grupo que funcione, y que no sea | un | > > > completo basurero. | > > >

| > > >

| > > > Por si alguien me puede echar una mano, describo los síntomas. Es algo | que | > > > está en mi ordenador, y que continuamente accede (o lo intenta) a | internet | > > a | > > > través del router. Lo hace de forma tan rápida y con tal volumen de | > > > peticiones que deja el router colgado, de forma que ya no permite | acceder | > > a | > > > internet. | > > >

| > > > He llegado a esta conclusión porque todo va bien hasta unos segundos | > > después | > > > de que termine el arranque de Windows, y entonces empieza a parapadear | > > > continuamente el LED ethernet del router. Al principio, este parpadeo | va | > > > acompañado del mismo parpadeo en el LED ATM, que normalmente indica | > > > actividad en la conexión ADSL. En estas condiciones, todavía puedo | acceder | > > a | > > > inet. Pero aproximadamente medio minuto después, el LED ATM deja de | > > > parpadear, y dejo de tener acceso a inet. Yo interpreto que el router | se | > > ha | > > > saturado o algo así, porque si lo apago y lo enciendo, vuelve a | aguantar | > > un | > > > tiempo con conexión y vuelve a joderse. | > > >

| > > > Sé que está en mi ordenador, porque dejándolo solo en la red, e | incluso | > > > desconectando el router de la ADSL, el parapadeo del LED ethernet | > > continúa. | > > > Incluso si apago el router, el LED del hub me indica que sigue | habiendo | > > > actividad, aún cuando sólo está conectado a la LAN mi PC. | > > >

| > > > Uso W2000 SP4 con todos sus parches de seguridad, y no suelo ejecutar | nada | > > > de procedencia dudosa. Tampoco he instalado nada nuevo ultimamente, | salvo | > > > actualizaciones de Windows. He pasado el Panda, actualizado a día de | hoy, | > > y | > > > no encontró nada. También el Ad-aware y el Spy-bot, y nada. El | > > Peer-guardian | > > > me da una cantidad enorme de accesos, todos según pone, de empresas | > > > conocidas, como HP, Sun Microsystems, y cosas así, pero no creo que | eso | > > > tenga nada que ver, porque lo que sea, creo que está dentro del | ordenador. | > > > ¿Sabéis de algún soft tipo sniffer que te diga qué programa está | usando la | > > > red? | > > >

| > > > En fin, cualquier sugerencia será bien recibida, porque ahora ando a | base | > > de | > > > apagar y encender el router, y es un coñazo. | > > >

| > > > -- | > > >

| > > >

| > > > Saludos de Jose Manuel Garcia | > > > snipped-for-privacy@terra.es | > > > http://213.97.130.124 | > > >

| > > >

| > > >

| > >

| > >

| >

| >

| |

Yo daria como consejo limitarse a las versiones oficiales y mantenerse actualizado, que para eso periodicamente avisan de las actualizaciones (que muchas veces solucionan problemas de seguridad). Puede parecer una chorrada, pero el 99% de los problemas con el emule procede del uso de mods, muy bonitos, muy optimizados para bajar mas (algunos abiertamente haciendo trampas y en eso esta su gancho) pero al mismo tiempo un coladero de caballos de Troya, gusanos y otras lindezas por el estilo.

Y desde luego, un firewall, preferiblemente con sandbox. El que cada vez que se ejecuta un programa nuevo te avise si quieres ejecutarlo a alguno le podra parecer molesto, pero no veas lo util que es. Primero, para no tener problemas como el que tu has tenido. Y despues, y lo que es mas importante, para saber de donde proceden esos problemas en tiempo real.

Saludos

Cristobal