Foros del Web » Soporte técnico » Sistemas Operativos »

Se apaga tu PC en 1 minuto ??? Aquí tienes la solución al Virus MSBLAST.EXE sobre Win

Estas en el tema de Se apaga tu PC en 1 minuto ??? Aquí tienes la solución al Virus MSBLAST.EXE sobre Win en el foro de Sistemas Operativos en Foros del Web. Bueno, al grano, que esto es importante, Microsoft ha sacado un parche crítico para un nuevo Virus que recientemente nos ha dado muchos quebraderos de ...
  #1 (permalink)  
Antiguo 15/08/2003, 02:10
Avatar de LeCLUB  
Fecha de Ingreso: abril-2003
Ubicación: Barcelona (España)
Mensajes: 205
Antigüedad: 21 años, 6 meses
Puntos: 1
Exclamación Se apaga tu PC en 1 minuto ??? Aquí tienes la solución al Virus MSBLAST.EXE sobre Win

Bueno, al grano, que esto es importante,

Microsoft ha sacado un parche crítico para un nuevo Virus que recientemente nos ha dado muchos quebraderos de cabeza.

El virus en cuestión es el W32.Blaster , y lo que hace este ingenioso archivo es mostrarnos una pantalla de error de sistema, la cual nos avisa que el ordenador se reiniciará en 1 minuto, sin que podamos hacer nada para impedirlo.

Para infectarse no es necesaria ninguna acción por parte de usuario, es decir, no es un ejecutable que se pase por Messener, E-mail, etc como lo hacen otros virus;
para ello, el mismo virus rastrea un rango de IP's, y se autoenvía a si mismo a aquellas máquinas Windows que tengan activado el puerto 135, para posteriormente, autoejecutarse el mismo (SISI, aunque parezca increible, hay que reconocer que este SI es un virus de COJONES)

Por eso, siempre se os apagará el PC cuando esteis CONECTADOS a internet, nunca cuando no lo esteis. Si teneis ADSL con IP fija, la infección es más rápida (ya que vuestra IP ya la tiene en su registro), si utilizais IP variable (modem) hasta que vuestra nueva IP no esté en el rango que el virus escanea, no os atacará (pero es cuestión de tiempo)

Para desinfectarse, es necesario actualizar Windows con un parche de seguridad que neutralice los ataques producidos sobre el puerto 135, y os lo podeis descargar desde las direcciones siguientes, según tengais los siguientes sistemas operativos:

Windows 4.0 Server: Download
Windows 4.0 Terminal Server Edition: Download
Windows 2000: Download
Windows XP Professional y Home Edition: Download
Windows XP 64 bit edition (en inglés): Download
Windows 2003 Server 32 bits Edition: Download
Windows 2003 Server 64 bits Edition (en inglés): Download

Para mayor seguridad para vosotros, y por si tuvierais alguna duda sobre la procedencia de estos enlaces, podeis ir directamente a la web de microsoft, donde podreis ver la misma información:

http://support.microsoft.com/default...rusblaster.asp

Puede que os encontreis con el problema (como a mi me a sucedido) que mientras os estais bajando el parche, vuelva a atacar el virus, y os reinicia la máquina, por lo que os expongo unos pequeños pasos para anular "temporalmente" el reinicio del pc.

Paso 1:
Lo primero que debemos hacer es encontrar el servicio de Windows que hace que se reinicie la máquina, para ello, pulsamos sobre INICIO , luego en EJECUTAR y escribimos lo siguiente: %SystemRoot%\system32\services.msc /s

Paso 2:
Busca el servicio Llamada al procedimiento Remoto(RPC) , pulsa el botón de la derecha del ratón y selecciona Propiedades

Paso 3:
Selecciona la lengueta Recuperación , y cambia los valores de los campos: Primer Error , Segundo Error y Siguientes Errores por No realizar ninguna acción (con esto no anulamos el virus, es más, puede que el ordenador se vuelva algo inestable cuando el virus esté atacando otra vez, ya que estamos forzando que no se reinicie el pc ante un error de sistema, pero al menos podremos acabar de bajarnos el parche, es lo que hay)

Paso 4:
Pulsamos Aceptar para grabar los cambios, cerramos la ventana Servicios y reiniciamos el PC

Paso 5:
Una vez reiniciado, nos conectamos a internet y bajamos el parche correspondiente según tengamos uno u otro sistema operativo. Una vez echo esto, reiniciamos de nuevo, y muy importante, NO NOS CONECTAMOS A INTERNET!!!

Paso 6:
Ahora solo nos queda por hacer una serie de comprobaciones antes de instalar el parche, primero pulsamos sobre INICIO , y luego en BUSCAR , introducimos como búsqueda el archivo msblast.exe , y si nos sale alguno en la carpeta Windows/System32 lo borramos, ya que es ahí donde reside el virus. Porteriormente, miramos que en el registro de Windows no hay una classe llamada "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill ", para ello, pulsamos sobre INICIO , EJECUTAR , e introducimos "REGEDIT.EXE ". Una vez dentro del Registro, entramos en "HKEY_LOCAL_MACHINE ", luego en "SOFTWARE ", luego en "Microsoft ", luego en "Windows ", luego en "CurrentVersion ", luego en "Run " y por último verificamos que no existe la linea "windows auto update " con la referencia al programa msblast.exe ; en caso de que existiera, lo seleccionamos, botón de la derecha, y pulsamos ELIMINAR .
Por último, verificamos que en los procesos del sistema no se está ejecutando el virus, para ello, pulsamos a la vez CONTROL+ALT+SUPRIMIR , entramos en la pestaña Procesos , y si en la lista que nos muestra aparece el proceso msblast.exe , lo seleccionamos y pulsamos sobre Terminar proceso

Paso 7:
Si has seguido todos los pasos, o simplemente no has encontrado ninguna entrada en los registros que te he descrito,ya puedes instalar el parche; una vez hecho esto, reinicia el sistema, y ya podrás navegar tranquilo ;)

Por último, recordaros que no está de más ir actualizando vuestro Windows con el sistema automático de Windows Update, a modo de bajaros las últimas versiones de los parches de seguridad que van saliendo.

Sin más, recibid un cordial saludo, y espero no haber sido demasiado rallante con este mensjae, pero creo que es la forma más rápida de eliminar el puto vius este, que me ha tenido 4 días dándome por culo (sorry por la expresión ,pero es que no podía más xDDD)

Un saludo a todo el mundo.

LeCLUB

Última edición por LeCLUB; 15/08/2003 a las 03:07
  #2 (permalink)  
Antiguo 15/08/2003, 02:17
Avatar de LeCLUB  
Fecha de Ingreso: abril-2003
Ubicación: Barcelona (España)
Mensajes: 205
Antigüedad: 21 años, 6 meses
Puntos: 1
Una útima cosa,

Una vez instalado el parche, no os olvideis de volver a dejar el servicio Llamada al procedimiento Remoto(RPC) como estaba (paso 2), es decir, con las opciones: Primer Error , Segundo Error y Siguientes Errores con el valor Reiniciar Sistema .

Un saludo, y ya comentareis que tal

LeCLUB
  #3 (permalink)  
Antiguo 15/08/2003, 21:11
Avatar de <-·DröGnÄn·->  
Fecha de Ingreso: diciembre-2002
Ubicación: Mendoza, Argentina
Mensajes: 1.405
Antigüedad: 21 años, 11 meses
Puntos: 1
Hola,
¿Cuál es la dirección para descargar el parche para windows 98?
Saludos
__________________
Diego Crescentino

Gracias por la ayuda...
  #4 (permalink)  
Antiguo 15/08/2003, 21:56
Avatar de Aisengard  
Fecha de Ingreso: marzo-2003
Ubicación: en el ojo de la tormenta
Mensajes: 3.566
Antigüedad: 21 años, 8 meses
Puntos: 0
O es un olvido o dicho "virus" solo ataca a los guindous mencionados y no al 98 asi que estate tranquilo

Mayor informacion, ir a la pagina de micro$oft para mas informes
__________________
Lo que puedes hacer, o has soñado que podrías hacer, debes comenzarlo. La osadía lleva en sí, genio, poder y magia". :aplauso: (J.W. von Goethe)


  #5 (permalink)  
Antiguo 16/08/2003, 15:47
 
Fecha de Ingreso: diciembre-2002
Mensajes: 158
Antigüedad: 21 años, 11 meses
Puntos: 0
Creo que solo ataca a los ventanitas mas o menos nuevo

Ademas se me ocurre que le que tengo Firewall, no deveria infestarse, por que el puerto 135 no esta abierto si por que si
o por lo menos el FW te tendria que avisar de que estan tratando de abrir un puerto externamente

Saludos
  #6 (permalink)  
Antiguo 16/08/2003, 15:54
Avatar de baxter  
Fecha de Ingreso: diciembre-2001
Ubicación: Localhost
Mensajes: 160
Antigüedad: 22 años, 10 meses
Puntos: 0
No estes tan seguro de que los sistemas win95 y win98 esten excentos de este ataque, el atacante no se llama Blaster, sino Randox, observa este link

Suerte
__________________
Hoc unum scio, me nihil scire
Linux registered user #453853
  #7 (permalink)  
Antiguo 19/08/2003, 11:21
Avatar de cvander
Moderador
 
Fecha de Ingreso: abril-2001
Ubicación: Ciudadano del mundo
Mensajes: 13.638
Antigüedad: 23 años, 7 meses
Puntos: 1792
Otra solución... Infectarte con el virus Nachi.A

Esto me ha resultado muy gracioso.

Fuente: ELMUNDO.ES

Cita:
INSISTEN EN EL USO DE LOS 'PARCHES' PARA WINDOWS
El nuevo virus 'Nachi.A' es capaz de desinstalar el gusano 'Blaster'


MADRID.- Varios laboratorios que desarrollan antivirus, así como el Centro de Alerta Temprana sobre Virus y Seguridad Informática, ha detectado la aparición del nuevo gusano Nachi.A (W32/Nachi.A), que ha sido diseñado para aprovechar la vulnerabilidad RPC DCOM que afecta a algunas versiones del sistema operativo Windows. Este virus es capaz de desinstalar el gusano Blaster en los ordenadores infectados.

Según diversos fabricantes de software de seguridad citados por Entrebits.com, 'Nachi' entra en el sistema aprovechando los mismos agujeros de seguridad que Blaster para entrar en PC con Windows XP y Windows 2000. El CAT ha calificado su peligronsidad como 'baja'.
Nachi.A no se propaga por correo electrónico, sino que ataca máquinas remotas vía TCP/IP intentando provocar en ellas un desbordamiento de buffer para obligar a la máquina atacada a descargarse una copia del gusano. A tal fin, incorpora un servidor TFTP (Trivial File Transfer Protocol).

Sin embargo, una vez dentro, Nachi.A busca y elimina el fichero con el gusano Blaster (msblast.exe) e intenta descargar e instalar un parche de seguridad de Microsoft, que cierra el agujero de seguridad a través del cual se introducía Blaster. Además, si el año de la fecha actual es 2004, Nachi.A se autoelimina de la máquina atacada.

Este gusano, originario de China, también puede hacer uso de otra vulnerabilidad conocida como WebDav, cuya información y parche correspondiente puede obtenerse en la siguiente dirección de Microsoft.
__________________
- Christian Van Der Henst
Platzi
  #8 (permalink)  
Antiguo 19/08/2003, 15:40
Avatar de Mithrandir
Colaborador
 
Fecha de Ingreso: abril-2003
Mensajes: 12.106
Antigüedad: 21 años, 6 meses
Puntos: 25
Jejeje

Si, tambien lo habia leido.

Me recuerda al worm CodeRed y CodeBlue de Linux, que creo fue algo similar.
__________________
"El hombre, en su orgullo, creó a Dios a su imagen y semejanza."
Friedrich Nietzsche
  #9 (permalink)  
Antiguo 31/08/2003, 08:59
 
Fecha de Ingreso: agosto-2003
Mensajes: 2
Antigüedad: 21 años, 2 meses
Puntos: 0
Hola a todos, aprovechando que estais con el tema de msblast, necesito ayuda, he solucionado el problema de ms blast en algun sistema xp, pero ahora estoy con uno en el que no me aparece ni el ejecutable msblast, ni referencia en el registro a este, he buscado y tampoco encuentro ninguna referencia a ninguna de sus variantes(ya sea nachi o penis o laught o teekids(o algo asi)o root..vamos que he buscado todas las que yo creia que podian aparecer y nada, ni rastro)pero el pc sigue apagandose al conectarlo a la red, cualquier sugerencia me sera de gran ayuda, gracias de antemano
  #10 (permalink)  
Antiguo 02/09/2003, 13:23
Avatar de LeCLUB  
Fecha de Ingreso: abril-2003
Ubicación: Barcelona (España)
Mensajes: 205
Antigüedad: 21 años, 6 meses
Puntos: 1
Exclamación

Sabir, lo primero de todo es que instales un firewall en la máquina que está siendo atacada. (norton, zone alarm, etc)

Luego, si quieres que tu PC no se apague constantemente y desconoces cual es el servicio que hace que se reinicie la máquina, pulsa INICIO -> EJECUTAR -> y escribe SHUTDOWN -a (con esto anularas el apagado automático del equipo)

Una vez hecho esto, solo te queda esperar con tu firewall a que el virus ataque de nuevo , para mirar el puerto al que intenta acceder, y el servicio que utiliza, con esa información, creo que te será más facil indagar sobre qué virus és, y buscar el parche necesario.

Espero que te haya servido de ayuda.

Un saludo

LeCLUB
  #11 (permalink)  
Antiguo 03/09/2003, 14:17
Avatar de cordobes  
Fecha de Ingreso: febrero-2002
Mensajes: 94
Antigüedad: 22 años, 9 meses
Puntos: 0
HOLA GENTE
TENGO ESTE MALDITO VIRUS.
LO LOCALICE EN LA CARPETA WINDOWS!SYSTEM32 PERO NO SE DEJA ELIMINAR.
POR FAVOR NECESITO SABER COMO BORRAR ESTE VIRUS.
MUCHAS GRACIAS
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 2 personas




La zona horaria es GMT -6. Ahora son las 15:00.