Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: bran en 10 de Marzo de 2005, 10:39:37 pm

Título: Blaster worm.a y Sdbot.gen.i
Publicado por: bran en 10 de Marzo de 2005, 10:39:37 pm
Haciendo un análisis online con McAfee me ha detectado Blaster worm.a y
Sdbot.gen.i.Me extraña mucho pues hace ya un año tuve Blaster y lo eliminé y
actualicé Windows XP y le pusé el SP2.Tengo instalado Panda Platinum 7
actualizado y no me detecta nada.También he pasado Panda Online y Trend Micro
Online y tampoco me detectan nada.La carpeta en la que aparece es
C:\WINDOWS\SYSTEM32\TFTP3728.Ayer mismo descargué e instalé una actualización
de Windows Update,la "herramienta de eliminación",que si mal no
recuerdo,entre otros virus,detecta y elimina Blaster.
He encontrado la carpeta donde la "herramienta de eliminación de software
malicioso" me ha dejado el informe y aquí os lo dejo:
Microsoft Blaster/Nachi removal tool started on Wed Apr 28 21:35:17 2004
Checking 84 services.
Checking 51 processes.
Image `C:\WINDOWS\System32\enbiei.exe` contains Blaster
Image `C:\WINDOWS\System32\enbiei.exe` contains Blaster
Disk image C:\WINDOWS\System32\enbiei.exe associated with infected process
will be deleted!
Process 1900 associated with file C:\WINDOWS\System32\enbiei.exe terminated.
Checking startup registry keys.
Image `C:\WINDOWS\System32\enbiei.exe ` contains Blaster
Removed registry value
`SOFTWARE\Microsoft\Windows\CurrentVersion\Run\www.hidro.4t.com `
Checking known Blaster/Nachi filenames.
Image `C:\WINDOWS\System32\enbiei.exe` contains Blaster
DeleteFile `C:\WINDOWS\System32\enbiei.exe ` ... OK
DeleteFile `C:\WINDOWS\System32\enbiei.exe` ... already gone!
**** Blaster found ****
**** Blaster removed ****
Microsoft Blaster/Nachi removal tool stopped.
Microsoft Blaster/Nachi removal tool started on Fri Oct 01 18:56:39 2004
Checking 83 services.
Checking 26 processes.
Checking startup registry keys.
Checking known Blaster/Nachi filenames.
**** No Blaster/Nachi infection found ****
Microsoft Blaster/Nachi removal tool stopped.
¿Qué opináis? ¿Tengo Blaster o ha sido eliminado? Y si lo tengo,¿por qué no
me da ningún síntoma? No se me reinicia el ordenador;y además tengo instalado
el Service Pack 2,con antivirus y cortafuegos.
UN SALUDO
 :(
Título: Blaster worm.a y Sdbot.gen.i
Publicado por: destroyer en 13 de Marzo de 2005, 04:12:28 pm
Hola:
  Es posible que eliminases el blaster pero no todos los archivos que generó..
Revisa las indicaciones de este enlace en cuanto a eliminacion de esos archivos (enbiei.exe) y limpieza del registro..

http://www.vsantivirus.com/lovsan-a.htm

O bien utiliza una herramienta de limpieza automatica:

Citar
 Herramienta de Kaspersky Antivirus
Descargue "CLRAV" de este enlace, donde hay instrucciones:
http://www.vsantivirus.com/util-clrav.htm
Copyright (C) Kaspersky Lab 2000-2003. All rights reserved.


Herramienta de F-Secure Corporation (actualizada 2/set/03)
Descargue "f-lovsan.zip" de este enlace, descomprímalo y ejecute f-lovsan.exe:
http://www.videosoft.net.uy/f-lovsan.zip  (47 Kb)
Copyright (c) 2003, F-Secure Corporation. All rights reserved.


Herramienta de Computer Associates
Descargue y ejecute la herramienta "Cleaning utility for Win32/Poza.Worm 1.0.0" proporcionada gratuitamente por Computer Associates (333Kb).

Cleaning utility for Win32/Poza.Worm 1.0.0
http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip
Copyright (c) 2003, Computer Associates International, Inc.

Descomprima el contenido del siguiente archivo en alguna carpeta, y luego haga doble clic sobre el archivo CLNPOZA.COM.

IMPORTANTE: Se recomienda cerrar antes todas las ventanas activas, y desactivar cualquier otro antivirus monitoreando.

La herramienta finaliza cualquier proceso en memoria del W32/Lovsan.A (o Win32/Poza.Worm). Luego busca el archivo del gusano en todos los discos, lo elimina y finalmente modifica las claves del registro.

Luego de la ejecución, reinicie la computadora, y siga las demás instrucciones (instalación de parches, cortafuegos, etc.).


Herramienta de Symantec
Descargue la utilidad "FixBlast.exe" (164 Kb) y ejecútela en su sistema:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
Copyright (C) Symantec 2003.


Herramienta de Panda Software
Descargue "Pqremove.com" de este enlace (1.2Mb) y ejecútelo en su sistema:
http://updates.pandasoftware.com/pq/gen/blaster/pqremove.com
Copyright (C) Panda Software 2003.


Un saludo