Tema: exploit-D com Rpc.gen

[astur I]

A ver si me podeis ayudar. Tengo de antivirus el McAfee y cada vezs que arranca me pilla este virus y no hay manera de limpiarlo ni eliminarlo. Dice que esta en la carpeta C: windows/system 32....y no encuentro la solucion. Ademas no se si sera por este motivo me las veo y deseo para conectarme a internet, tengo que reiniciar el Pc pues si salgo no me deja abrir el explorer.
Vamos que me tiene loco.
Agradeceria vuestra ayuda

[destroyer]

hola:
  Bienvenido al foro.
 Si se trata de un virus, haz el escaneo en modo a prueba de fallos con tu antivirus, y si no lo solventas arranca en modo a prueba de fallos con acceso  de red y chequea con un antivirus online.
Pero no creo que sea un virus.. estoy buscando info..


un saludo

[Dabo]

hola, bienvenido

reincias el ordenador, dejas pulsada la tecla F8 y accedes a los modos de arranque avanzado, eliges, modo seguro con funciones de Red y una vez dentro ( si es XP no ejecutes restaurar sistema, di que no si te lo propone) vas al panda active scan, enlace aqui http://www.pandasoftware.es/activescan/es/activescan_principal.htm o debajo del foro

nos cuentas vale??

saludos :wink:

[astur I]

He hecho lo que me has dicho, he reiniciado mi pc een modo seguro con funciones de red pero uno vez dentro no puedo conectarme a internet para entrar en el enlace que me has indicado de pandasoftware. No se si es que soy muy torpe....
Pero es un infierno que cada vez que enciendo mi pc me salga al poco rato una pedazo de mano agarrando a un bicho y diciendome que ha encontrado archivos infectados. Y una vez que me salgo del explorer ya no puedo volver a entrar si no es reiniciando otra vez el PC.
AGggggggggggg que rabia.
Muchas gracias por vuestra ayuda, pero de momento na de na.

[destroyer]

hola:
Como te dije antes, actualiza tu antivirus, arranca a prueba de fallos y escanea el pc con tu antivirus..

Un saludo

[astur I]

hola:
Como te dije antes, actualiza tu antivirus, arranca a prueba de fallos y escanea el pc con tu antivirus..

Un saludo



Tambien he hecho esto y al escanear el pc me salta el dibujito de la mano agarrando a un bicho diciendome lo siguiente:

Archivo ingectado: c:windows/system 32......
Nombre del virus: Exploit-DcomRpc.gen
VirusScan sugiere: El archivo esta infectado por el virus Exploit-DcomRpc.gen
Intente limpiarlo o eliminelo y restablezcalo desde la copia de seguridad.

Cuando voy a limpiarlo me dice que es imposible limpiar el archivo.

En total dice que son 6 los archivos infectados ya que me sale indicado en una columna tanto el nombre de los archivos, la carpeta donde estan e infectados por....

Peronad si soy pesao.[/quote]

[destroyer]

hola:
  indicanos el nombre de esos archivos que te marca pues por lo de  esploitd comrpc,   podria ser hasta el blaster.  
 Sistema operativo que usas y si tienes el xp,  si lo tienes actualizado contra el blaster y si usas algun firewall.

Un saludo

[Dabo]

mira aqui

http://esp.sophos.com/virusinfo/analyses/trojsayea.html

Troj/Saye-A es un troyano que se aprovecha de la vulnerabilidad RPC Dcom para añadir una cuenta en equipos remotos con Windows 2000. La nombre de usuario será "e" y la contraseña "asd#321".

http://www.vsantivirus.com/vulms03-026-027-028.htm

Un desbordamiento de búfer en la interface RPC (Remote Procedure Call) permite la ejecución arbitraria de código.

Nota: de esta vulnerabilidad se vale el gusano W32/Lovsan.A (MSBlast o Blaster) http://www.vsantivirus.com/lovsan-a.htm

El Remote Procedure Call (RPC) permite el intercambio de información entre equipos, y está presente por defecto en el protocolo TCP bajo el puerto 135 en Windows NT 4.0, 2000 y XP.

Existe una vulnerabilidad en la parte de RPC encargada del intercambio de mensajes sobre TCP/IP, que ocasiona que uno de ellos incorrectamente creado, permita a un atacante ejecutar cualquier código con los privilegios locales (Mi PC).

http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2851

Se trata de un gusano/troyano multi-componentes, que se aprovecha de la vulnerabilidad en la interface RPC DCOM de Microsoft descrita como crítica en el boletín de seguridad MS03-026 de Microsoft.

tienes en esos links instrucciones de sobra para quitarlo, un abrazo , gracias Dest  :wink: