Hey, saludos a todos, he aqui un problema que me esta dando dolores de cabeza:

Recientemente reinstale WIN XP, y a los pocos minutos de estar en internet, me apareció el singular mensaje de este gusano: This system is shutting down. Please save all work. This shutdown was initiated by NT AUTHORITY\SYSTEM Windows must now restart because the Remote Procedure Call (RPC) service terminated unexpectedly." y el minuto que dá para reiniciarse. Sé que este es el gusano porqué recientemente a un primo yo le eliminé el gusano manualmente de su ordenador.

Al querer hacer lo mismo, me dijo a mi mismo: fácil! oh sorpresa, al darle ctrl-alt-sup y detener el proceso, no se encuentra msblast.exe, y al querer ir al registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run y localizarlo de nuevo, tampoco esta! y el dam mensaje sigue apareciendo y reiniciando la pc, ya actualizé mi virus def. de symantec y realizé un full scan pero nada... no logro encontrar el archivo... alguien sabe como puedo quitar este gusano de mi pc?

Gracias,

L.-

Joder, que put*** ... Bueno, no se si habras probado con el parche, si te sirve me alegro jeje, aqui esta el link:

http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

Un saludo !!

hey Dwarft, gracias por el consejo, ya bajé el parche y que crees? el maldito mensaje sigue apareciendo!

Pero he aquí algo que he hecho:

Analizando la situación: Decidí instalar el ZoneAlarm, un firewall bueno, entonces ya instalado y todo me pregunta que programas deseo que accesen a internet; y curiosamente hay dos archivos que no me fueron muy confiables y les di de click NO; me fije en los nombres y son los siguientes:

svchost.exe y
fsg_4104.exe

Al no parecerme confiables, decidí hacer unas búsqueda en mi ordenador de estos archivos, y he aquí los resultados:

SVCHOST.EXE-3530F672.pf en C:\Windows\prefetch
svchost en c:\windows\system32
SVCHOST en c:\windows\system32\wins

y


FSG_4104.EXE-0BF4E77C.pf en C:\Windows\prefetch
fsg_4104 en c:\windows\system32


Al buscarlo en el registro de Windows para borrar el VIRUS W32.Blaster.Worm, (en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run) el único que me aparece es fsg_4104.exe como "Trickler" de nombre.

¿será este el virus? ¿es conveniente borrarlo? ¿es algùn archivo del sistema?

Agradeceré mucho su ayuda!

Hola Otisoped, el vius blaster te esta tirando el servicio de RPC del windows XP abajo por lo que el sistema tiene configurado por defecto el reiniciar el sistema.Lo primero es que abras la ventana de administrar con el boton derecho sobre MIpc y te vete a servicos ali vusta un servico que se llama llamada a procesimiento remoto y lo abras, el la tercera pestaña ( Recuperacion ) configura el servico para que no te reinicie el equipo sino que solo reinicie el servico, lugo bajate el PQREMOVE de la pagina de panda (www.pandasoftware.es) y desinfecta el virus.Despues baja el parche e instalalo para que no te vuelva a infectar.

Un saludo a todos.

Pues volviendo a el tema acerca de los archivos....Se llaman aplicaciones.
El svchost.exe (Aplicación.-Generic Host Process for Win32 Services).
Este archivo, además de ejecutarse muchísimas veces y consumir tantos recursos, es el encargado de ejecutar los servicios que corren desde una DLL (dynamic-link libraries) en el WINDOWS XP.
El archivo Svchost.exe se encuentra en la carpeta %SystemRoot%\System32.
Cuando se inicia Windows, Svchost.exe chequea el registro para poder armar la lista de servicios que necesita cargar. Cada instancia de Svchost.exe puede ejecutar uno o mas servicios, todo depende de la manera en que se inicie.

Respecto al archivo fsg_4104.exe, más bien conocido como ya dijiste con anterioridad "Trickler", habitualmente el programa "Trickler" es instalado automáticamente por el programa de Gator o pudo haberse instalado por algún software que te hayas descargado últimamente.
El propósito de Trickler es recopilar la información sobre los sitios del Web que visitas. Trickler proporciona estadísticas agregada a los vendedores de tercera persona sobre usuarios, patrones de tráfico, y la información relacionada del sitio del Web. Lo mejor sería es que lo pasaras por algún "spybot", un antitroyano, o un antivirus en su defecto.
En este foro hay porgramas antitroyanos, antivirus, los spybots, etc. pruébalos y a la mejor te sirve de algo.

Saludos

Hola, Primero que nada gracias por las respuestas.

Con respecto a las aplicaciones y el desempeño que he observado al NO permitir su acceso a internet, ha sido bueno, ya que la pc no se ha reiniciado y no me ha ha vuelto a aparecer el mensaje de que la pc se va a reiniciar; estoy ya por darle permanentemente el no en acceso a internet, es recomendable?

¿con esto estare ya limpio del virus? porque al parecer no se ha vuelto a activar.

Y es necesario que baje la herramiento de PQREMOVE? cual debo bajar? existe la del blaster, blasterB y BLASTERC; también debo de tener en preferencia, aunque no haya ejecutado el PQREMOVE, en que Reinicie el servicio, no es equipo?

Gracias!

Cuando yo reinstale el XP me pasó lo mismo. Apliqué los parches correspondientes de microsoft y eliminé el virus con el stinger (dejemonos de manualidades, si hay una aplicación gratuita que lo hace)
El stinger te mira unos 32 virus (los últimos gusanos aparecidos, variantes incluidas)
He aprovechado este post para recomendar esta herramienta.

http://vil.nai.com/vil/stinger/

Saludos

Disculpen ya se que el post tiene un mes de antiguedad.
pero como podria sacarlo mediante el regedit ?.
arriba sale adonde ay que dirijirse pero yo me pregunto pk nombre lo tengo que buscar ya dentro del directorio run.
saludos


pd:disculpen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Ahí esta el blaster.

a se eso pero por que nombre lo ubico?.
saludos

Si no me olvido, debe aparecer con el nombre de blast32 o algo por el estilo... busca bien en la ubicacion k te paso kifo pues ahi es donde se esconde el virus...
En todo caso, te doy un truco para k puedas utilizar el pc sin k se te apague a cada instante... en el windows, cambia la fecha del sistema operativo... en vez de dejar el 2003 cambia por otrafecha por ej el 1999... fue un dato k me dieron hace un tiempo ya pero k si me resulto varias veces...

1º deten el rpc por defecto eso se consige ejecutando la orden dcomcnfg
en la consola que sale desactiva la opcion servicios de componentes
dentro de esta equipos y dentro mi pc lado derecho del raton sobre mi pce y propiedades
veras que hay varias una pone propiedades predeterminadas desactiva la casilla de arriba del todo esto parara el dcom rpc automatico
luego entra por ejemplo en www.symantec.com y baja el fixblaster.exe ejecutalo y a ciontinuacion pon los parches de microsoft con eso el blaster no buelve e afectarte mas

ale un saludo y k te sea leve