20 replies to this topic

[Carlosslow]

Alguien conoce para que es este programa?? cada ves que inició Windows me sale este mensaje:

Error

Execution of the specified command has failed.

No sabia que era lo que lo provocaba y supe que era un programa llamado Kolder.exe y se encuentra en esta ubicacion:

C:\WINDOWS\system32\f0r0r

Que me recomiendan??

[Bad_CRC]

Que me recomiendan??

Que uses el sentido común y no te bajes / ejecutes todo lo que hay por la red

Simplemente con buscar "kolder.exe" en google se ve que no es nada bueno ^^

[DyDyMan]

Y parece bastante chungo... ¿Has visto el informe en dshield.org, Bad_CRC? Según dice, tiene toda la pinta de ser un rootkit para Win32, con scanner de puertos, sniffer, comprobación de que se estén ejecutando antivirus, referencias a IRC, Bot, Spam y SYNFlood...

[Carlosslow]

Ahhh osea que ejecuta virus el hijo de ·$%.

Conrazon me meustra una ruta de error al archivo especificado... porque ya borre los demas... que bien... Encontrare el maldito programa y juro... JURO QUE!

[Bad_CRC]

Una solucion bastante simple para librarse de spyware y toda esa mierda, es usar programas free y open source en lugar de programas de pago crackeados.

[DyDyMan]

Muy cierto, aunque en este caso, según he leído en otro foro que me sacó el Google, parece que este entra con un dialer porno...

[Carlosslow]

Me acabas de descubrir...
ahhh no no!!!... lo de porno yo nooo!! Lo de crakeo si

Edited by Carlosslow, 16 May 2004 - 11:18 PM.

[Bad_CRC]

Pues eso, usar firefox, free y open source.

[Carlosslow]

Estoy sacando solucion de esta pagina:
http://www.computerc...nt-1-36951.html
Algunos procesos que el tiene tambien los tengo -->csrss y csrsss es el mismo?

[DyDyMan]

No, no son lo mismo. Sólo uno es del sistema.
Y échale un ojo al fichero HOSTS, que igual también lo tienes lleno de direcciones IP sospechosas.
En teoría, el fichero HOSTS (en \WINDOWS\SYSTEM32\DRIVERS\ETC\) sólo debería tener la entrada

127.0.0.1          localhost

[goku]

Pues eso, usar firefox, free y open source.

Orale, el mejor consejo es ese

[Carlosslow]

Bueno... esn este link vienen unas instrucciones de msconfig.

A mi me salen estos procesos:

-pctspk
-NEWDOT 1 (No puedo poner la linea curveada )
-jusched
-dirote
-ccApp (Norton)
-zlclient (Zone Alarm)
-dumprep 0 -k
-ctfmon
-nxiqbdj
-Micorsoft Office
Puerto Symantec Fax Starter Edition

En la carpeta que me diste DyDyMan vienen 5 archivos:
-hosts
-lmhosts
-networks
-protocol
-services

(No entendi lo que pusiste... lo de local host)

[DyDyMan]

El archivo HOSTS es de texto. Lo abres con un editor de texto como el notepad y miras a ver si tiene algo más de lo que te he puesto.
Respecto a la lista de programas en el "Run" del msconfig, mejor los ponías con todos los directorios por delante para hacernos una mejor idea de lo que son y dónde están.

[DyDyMan]

Me he autoenviado por email un fichero HOSTS de un equipo que tengo funcionando en otra parte. Te lo pongo aquí para que veas lo que debe tener. Cualquier otra cosa que haya en ese fichero probablemente haya sido añadida por software espía o virus.

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
# 
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
#
#      102.54.94.97     rhino.acme.com          # servidor origen
#       38.25.63.10     x.acme.com              # host cliente x

127.0.0.1       localhost

Si ves que tu fichero HOSTS está mangoneado, puedes eliminar todo su contenido, copiar este y pegarlo en el tuyo.

[Hallowed]

DyDyMan, este es el mensaje que me viene en hosts:
## Copyright © 1993-2001 Microsoft Corp.
#
# This file has been automatically generated for use by Microsoft Internet
# Connection Sharing. It contains the mappings of IP addresses to host names
# for the home network. Please do not make changes to the HOSTS.ICS file.
# Any changes may result in a loss of connectivity between machines on the
# local network.
#

Si pongo el tuyo no me afectara en nada?
Aparte aqui estan los procesos de inicio de msconfig:

ELEMENTO DE INICIO
1.-pctptt
2.-pctspk
3.-NEWDOT 1 (No puedo poner la linea curveada )
4.-jusched
5.-dirote
6.-ccApp (Norton)
7.-zlclient (Zone Alarm)
8.-dumprep 0 -k
9.-ctfmon
10.-nxiqbdj
11.-Micorsoft Office
12.-Puerto Symantec Fax Starter Edition

COMANDO

1.-pctptt
2.-pctspk
3.-rundll32 C:\ARCHIV 1\NEWDOT 1.DLL, NewDotNetStartup
4.-C:\Archivos de programa\java\j2re1.4.2_04\bin\jusched.exe
5.-C:\WINDOWS\System32\f0r0r\kolder.exe C:\WINDOWS\System32\f0r0r\dirote.exe
6.-"C:\Archivos del programa\Archivos comunes\Symantec Shared\ccApp.exe
7.-C:\ARCHIV1\Zone Labs\ZoneAlarm\zlclient.exe
8.-%systemroot%\system32\dumprep 0 -k
9.-C:\WINDOWS\System32\ctfmon.exe
10.-nxiqbdj.exe
11.-C:\ARCHIV 1\MICROS 2\Office\OSA9.exe -b -l
12.-C:\ARCHIV 1\MICROS 2\Office\3082\OLFSNT40.exe

UBICACION

1.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
7.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
8.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
9.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
10.-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
11.-Common Startup
12.-Common Startup

[Carlosslow]

Ahh si, lo que puso Hallowed es lo mio ^-^ un poco largo no? Alguien le entiende porque yo no le hayo forma =S

[Vaughamm]

1 y 2 drivers pci? No sé, ni idea

3 No es nada malo, pero tampoco es algo que necesites. Es un plugin que se pilla descargando programas free y shareware. Cárgatelo en agregar/remover programas, se llama new.net

5 tiene mala pinta (es el directorio donde estaba el archivo infectado ppi.exe, no?)

10 nombre raro = sospechoso

[DyDyMan]

Huy, casi me paso por alto el hilo este...

A ver, Vaughamm prácticamente ya lo ha dicho todo. Por mi parte:

1 y 2: Según Google, pctptt.exe y pctspk.exe son parte de los controladores de los modems PCTEL
3: NewDotNet es un engendro ad-ware/spy-ware bajo el pretexto de un nuevo conjunto de dominios enrutables sólo con su software (dominios .tienda, .shop, .viaje, .gratis y demás giliflautadas). El muy desgraciado descarga y ejecuta código arbitrario desde su web. Puedes eliminarlo desinstalándolo desde "Agregar o Quitar Programas"
4: El run-time de Java. No se toca.
5: Tu principal problema. El troyano que te ha invadido. ¡A muerte!
10: No me suena de nada, y a Google tampoco le suena. Haz una búsqueda de archivos en tu disco duro a ver en qué directorio aparece. Si está en el mismo directorio "f0r0r" del otro fichero, entonces fijo que es más porquería.

Ah, y tu fichero HOSTS está limpio. Puedes dejarlo como está.

[Carlosslow]

Listo!. creo que esa era el error de que no podia encontrar la ruta especifica porque la carperta f0r0r yA no existía ^-^ Gracias Panda por eliminarloS!
Y sobre el archivo nxiqbdj.exe creo que era un archivo del worm w32.gaobot por si mas no lo recuerdo... ademas si ustedes no lo conocen no creo que sea necesario para el sistema asi que... uncheked!
GraciaS DyDyMan y Vaughamm!!! Muchas gracias!! ^-^

[Vaughamm]

Malaware, troyano y virus. Si es que tenías el pack completo! Seguro que se estaban pegando entre ellos Espero que hayas limpiado todo y tengas suerte a partir de ahora

Edited by Vaughamm, 18 May 2004 - 04:46 PM.

[Carlosslow]

No se si viste un episodio de los simpson... no lo recuerdo muy bien hace mucho que no lo pasan ese capitulo... donde el gordo tenia tantos virus que se peleaban entre ellos mismos y no le hacian nada a su computadora