Cada vez que me conecto a internet se reinicia el equipo.

Virus Blaster actualiza tu XP

"Jaime Montes" escribió en el mensaje
news:022401c3c025$d31ea630$
Cada vez que me conecto a internet, al poco rato sale una
ventana diciendo que se reiniciara el equipo devido a NT
Authority\System y que tengo un minuto para salvar lo que
este haciendo.Mas abajo me dice que es por un error de
Procedimiento de Llamada Remoto. ¿que tengo que hacer para
poder conectarme a internet sin ningun problema?

Es un virus:

LEE los siguientes articulos, "deberias" formatear
para asegurar la integridad de tu sistema:

VULNERABILIDAD Y EXPLOTACION DEL RPC por Jose Manuel Tella
http://www.multingles.net/docs/rpc.htm

Como realizar una instalacion limpia:
http://www.marcmcoll.net/Tutorials/...lar_xp.htm

Si solucionaste el problema, comentanos, de esta manera avanzaremos todos,
Gracias.

Saludos,
Alejandro Curquejo [MS MVP]
Windows Shell/User


Que es un Most Valuable Professional (MVP)
http://mvp.support.microsoft.com/de...pr=mvpfaqs
Programa MVP de Microsoft
http://mvp.support.microsoft.com/de...vpprogover
MVP por Paises
http://mvp.support.microsoft.com/de...;style=toc
MVP por Tecnologias Microsoft
http://mvp.support.microsoft.com/de...;style=toc
=
"Jaime Montes" escribió en el mensaje
news:022401c3c025$d31ea630$
Cada vez que me conecto a internet, al poco rato sale una
ventana diciendo que se reiniciara el equipo devido a NT
Authority\System y que tengo un minuto para salvar lo que
este haciendo.Mas abajo me dice que es por un error de
Procedimiento de Llamada Remoto. ¿que tengo que hacer para
poder conectarme a internet sin ningun problema?

Lo siento, vas a tener que formatear (no por el virus... que es una tontería, sino por lo que te haya podido pasar...)
http://www.multingles.net/docs/rpc.htm


Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Jaime Montes" wrote in message news:022401c3c025$d31ea630$
Cada vez que me conecto a internet, al poco rato sale una
ventana diciendo que se reiniciara el equipo devido a NT
Authority\System y que tengo un minuto para salvar lo que
este haciendo.Mas abajo me dice que es por un error de
Procedimiento de Llamada Remoto. ¿que tengo que hacer para
poder conectarme a internet sin ningun problema?

Lo que tienes que hacer es eliminar el archivo
teekids.exe del directorio windows\system32 que esta
infectado (pasale el antivirus antes a ver si lo pilla).
Luego bajate la actualizacion de windows de la pagina:

http://www.microsoft.com/spain/tech.../boletines
/MS03-026-IT.asp

La actualizacion es lainstalala, reinicia y todo como
nuevo. Eso si ojo que el Blaster.C que es como se llama
el virus cambia el registro de windows. Lee lo siguiente
con detenimiento que es de gran ayuda.
Ya me contarás que tal.


Blaster.C es un gusano que sólo afecta a ordenadores con
sistemas operativos Windows 2003/XP/2000/NT. Blaster.C
aprovecha la vulnerabilidad conocida como Desbordamiento
de búffer en interfaz RPC para propagarse al mayor número
de ordenadores posible.
Blaster.C producirá ataques de denegación de servicio
(DoS) contra el sitio web windowsupdate.com durante los
días 15 a 31 de cada mes, y durante todos los días de los
meses de septiembre a diciembre de cualquier año. Para
ello, Blaster.C envía un paquete de tamaño 40 Bytes a
dicho sitio web cada 20 milisegundos, a través del puerto
TCP 80.
Blaster.C se propaga atacando direcciones IP generadas
aleatoriamente, intentando aprovechar la vulnerabilidad
arriba mencionada para descargar en el ordenador atacado
una copia de sí mismo, para lo cual incorpora su propio
servidor de TFTP (Trivial File Transfer Protocol).
Si su ordenador tiene como sistema operativo Windows
2003/XP/2000/NT, es recomendable descargar el parche de
seguridad desde la Web de Microsoft.

Blaster.C realiza las siguientes acciones:
. Realiza ataques de denegación de servicio (DoS)
contra el sitio web windowsupdate.com durante los días 15
a 31 de cada mes, y durante todos los días de los meses
de septiembre a diciembre de cualquier año.
. Puede llegar a provocar el bloqueo y reinicio del
ordenador atacado, debido a errores de codificación del
gusano.

Blaster.C crea el siguiente fichero en el directorio de
sistema de Windows:
. TEEKIDS.EXE. Este fichero contiene el código del
gusano.
Blaster.C crea la siguiente entrada en el Registro de
Windows:
. HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ Run
"Microsoft Inet XP.." = "teekids.exe"
De esta manera, consigue ejecutarse cada vez que se
inicie Windows.
Blaster.C realiza el siguiente proceso de infección:
. El gusano crea un mutex llamado BILLY para
comprobar que se encuentra activo. Blaster.C verifica que
la versión de Winsock del sistema sea 1.00, 1.01 ó 2.02,
y que haya una conexión válida a Internet; en caso de que
no haya conexión, entra en un bucle que realiza dicha
comprobación cada 20 segundos.
. Blaster.C genera direcciones IP aleatorias de
forma sucesiva, empezando por la red donde se encuentra
el ordenador donde se está ejecutando, y pasando después
a la siguiente red de clase B (redes con máscara de
subred 255.255.0.0).
. Blaster.C intenta aprovechar en la máquina
remota, identificada mediante la anterior dirección IP,
la vulnerabilidad conocida como Desbordamiento de búffer
en interfaz RPC.
. Si lo consigue, Blaster.C lanza una sesión remota
y obliga al ordenador atacado a realizar una conexión
desde el puerto TCP 4444 de la máquina atacada al puerto
UDP 69 de la máquina atacante.
. Cuando se establece dicha conexión, el ordenador
atacado descarga a través de TFTP una copia del gusano.
Para ello, el propio gusano incorpora un servidor TFTP.
. Una vez finalizada la descarga, procede a la
ejecución remota del fichero enviado, lo cual provoca que
el gusano pueda también propagarse desde el equipo
atacado.
Blaster.C se propaga atacando direcciones IP generadas
aleatoriamente. Estas direcciones IP pertenecen tanto a
la red en la que se encuentra el ordenador atacado, como
a redes de clase B (cuya máscara de subred es
255.255.0.0).
Blaster.C intenta aprovechar en dichas direcciones IP la
vulnerabilidad conocida como Desbordamiento de búffer en
interfaz RPC. En caso de conseguirlo, descarga en el
ordenador atacado una copia de sí mismo, para lo cual
incorpora su propio servidor TFTP.


(gracias a Panda software)

¿has leido "algo" sobre lo que pasa?. Me parece que no y te limitas a copiar lo que "otros" estan interesados en publicar.

¿no te fias de mis articulos?... entonces ¿de este, que no es mio, tampoco te fias?. Rebatelo. Es de MS:

Virus Alert About the W32.Blaster.Worm Worm
http://support.microsoft.com/?kbid‚6955

En un determinado párrafo Microsoft nos está dando la razón:
<abofeteo>
Recovery
Best practices for security suggest that you perform a complete "clean" installation on a previously compromised computer to remove any undiscovered exploits that can lead to a future compromise.
</abofeteo>


No confundas la "tontería" (no tiene otra palabra) de tener el Blaster, a lo que te haya podido hacer cualquier script-kiddie.

Ahora bien, si tu duermes tranquilo no lo entiendo. Es decir, alguien "ha podido" entrar en tu maquina, hacer lo que le de la gana, etc, etc. (y ese alguien, es una persona: el gusano no me importa, que ya se lo que hace...). Pues si tu duermes tranquilo, me parece muy bien: indica irresponsabilidad completa. Pero no transmitas esa irresponsabilidad a los demas.

Las paginas que te informan de como remover el gusano son verdad: pero informa de como removerlo. Y es correcto. Ahora bien, ni se meten, ni se quieren meter, en el resto de cosas (porque no interesa).

Aquí somos un poco mas serios. No solo decimos TODA la verdad, sino que incluso demostramos como entrar en una maquina remota y hacer con ella lo que queramos. Simplemente, leete:
http://www.multingles.net/docs/rpc.htm

y si tienes despues UN SOLO argumento, rebatelo. Y si despues de eso te queda alguna duda, lo siento, pero me ratifica entonces en la idea de que la gente, en geral, no es que tenga falta de cultura, o falta de informacion, es simplemente que quiere ser irresponsable.



Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Javier" wrote in message news:03dd01c3c039$3dad9200$

Lo que tienes que hacer es eliminar el archivo
teekids.exe del directorio windows\system32 que esta
infectado (pasale el antivirus antes a ver si lo pilla).
Luego bajate la actualizacion de windows de la pagina:

http://www.microsoft.com/spain/tech.../boletines
/MS03-026-IT.asp

La actualizacion es lainstalala, reinicia y todo como
nuevo. Eso si ojo que el Blaster.C que es como se llama
el virus cambia el registro de windows. Lee lo siguiente
con detenimiento que es de gran ayuda.
Ya me contarás que tal.


Blaster.C es un gusano que sólo afecta a ordenadores con
sistemas operativos Windows 2003/XP/2000/NT. Blaster.C
aprovecha la vulnerabilidad conocida como Desbordamiento
de búffer en interfaz RPC para propagarse al mayor número
de ordenadores posible.
Blaster.C producirá ataques de denegación de servicio
(DoS) contra el sitio web windowsupdate.com durante los
días 15 a 31 de cada mes, y durante todos los días de los
meses de septiembre a diciembre de cualquier año. Para
ello, Blaster.C envía un paquete de tamaño 40 Bytes a
dicho sitio web cada 20 milisegundos, a través del puerto
TCP 80.
Blaster.C se propaga atacando direcciones IP generadas
aleatoriamente, intentando aprovechar la vulnerabilidad
arriba mencionada para descargar en el ordenador atacado
una copia de sí mismo, para lo cual incorpora su propio
servidor de TFTP (Trivial File Transfer Protocol).
Si su ordenador tiene como sistema operativo Windows
2003/XP/2000/NT, es recomendable descargar el parche de
seguridad desde la Web de Microsoft.

Blaster.C realiza las siguientes acciones:
. Realiza ataques de denegación de servicio (DoS)
contra el sitio web windowsupdate.com durante los días 15
a 31 de cada mes, y durante todos los días de los meses
de septiembre a diciembre de cualquier año.
. Puede llegar a provocar el bloqueo y reinicio del
ordenador atacado, debido a errores de codificación del
gusano.

Blaster.C crea el siguiente fichero en el directorio de
sistema de Windows:
. TEEKIDS.EXE. Este fichero contiene el código del
gusano.
Blaster.C crea la siguiente entrada en el Registro de
Windows:
. HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ Run
"Microsoft Inet XP.." = "teekids.exe"
De esta manera, consigue ejecutarse cada vez que se
inicie Windows.
Blaster.C realiza el siguiente proceso de infección:
. El gusano crea un mutex llamado BILLY para
comprobar que se encuentra activo. Blaster.C verifica que
la versión de Winsock del sistema sea 1.00, 1.01 ó 2.02,
y que haya una conexión válida a Internet; en caso de que
no haya conexión, entra en un bucle que realiza dicha
comprobación cada 20 segundos.
. Blaster.C genera direcciones IP aleatorias de
forma sucesiva, empezando por la red donde se encuentra
el ordenador donde se está ejecutando, y pasando después
a la siguiente red de clase B (redes con máscara de
subred 255.255.0.0).
. Blaster.C intenta aprovechar en la máquina
remota, identificada mediante la anterior dirección IP,
la vulnerabilidad conocida como Desbordamiento de búffer
en interfaz RPC.
. Si lo consigue, Blaster.C lanza una sesión remota
y obliga al ordenador atacado a realizar una conexión
desde el puerto TCP 4444 de la máquina atacada al puerto
UDP 69 de la máquina atacante.
. Cuando se establece dicha conexión, el ordenador
atacado descarga a través de TFTP una copia del gusano.
Para ello, el propio gusano incorpora un servidor TFTP.
. Una vez finalizada la descarga, procede a la
ejecución remota del fichero enviado, lo cual provoca que
el gusano pueda también propagarse desde el equipo
atacado.
Blaster.C se propaga atacando direcciones IP generadas
aleatoriamente. Estas direcciones IP pertenecen tanto a
la red en la que se encuentra el ordenador atacado, como
a redes de clase B (cuya máscara de subred es
255.255.0.0).
Blaster.C intenta aprovechar en dichas direcciones IP la
vulnerabilidad conocida como Desbordamiento de búffer en
interfaz RPC. En caso de conseguirlo, descarga en el
ordenador atacado una copia de sí mismo, para lo cual
incorpora su propio servidor TFTP.


(gracias a Panda software)