PDA

Ver la versión completa : 4484.exe ?



elnota
04/09/2003, 14:47
olas, me pasaba q al abrir el Administrador de tareas, msconfig y supongo q algo mas (aunq yo solo descubri esas), se me cerranba a los 2 segundos o asi.
Al final, haciendolo rapido, quité un proceso q me parece que eran numeros, y se acabo el problema ese. Luego ejecute el msconfig y desactive del menu de inicio 4484.exe q era lo q al parecer causaba el problema (me parece, no puedo estar seguro).
está en la carpeta c:windows/config/
De q se trata ?

saludoss

elnota
04/09/2003, 21:57
ah, pues esta vez a pasado lo mismo, pero con otro programa, no se si antes me equivoque y era este o que el que se cierre no se debe a esto:
svpool21.exe
¿Qué es?

Alguna sugerenciaa

Saludos

NEUROHZ
04/09/2003, 23:48
Tienes que dar más datos y asegurarte de que lo que escribas se corresponda exactamente con el original (que no falte/cambie ninguna letra o número).
Suponiendo que lo que te pasa sea achacable a un bichejo, deberías probar con los escaneos on line (post-it en este subforo, arriba).
¿No usas antivirus ni cortafuegos? ...¿no te detectan nada anómalo?
¿Bajo qué SO?
Por lo poco que comentas, podría ser un troyano, en cuyo caso un cortafuegos empezaría por cortar su comunicación con el exterior.

SalU2

elnota
05/09/2003, 10:28
svpool21.exe
Al cerrar esto se acaba el problema del cierre.
si uso cortafuegos, el norton, pero no detecta nada extraño.
Tengo win XP.

NEUROHZ
05/09/2003, 12:35
Con esa denominación exacta no se me ocurre ni encuentro nada...
En el caso de que fuera un bichejo, puede que le hayan cambiado el nombre para que se haga más difícil detectarlo por el usuario, pero eso no debería afectar a un antivirus, que lo detectaría por su código. Me dices que usas cortafuegos de Norton, pero no comentas nada de si también tienes su antivirus, bien actualizado y monitorizando permanentemente... (sin esto último, de poco sirven).
Por cierto, si fuera un troyano, un cortafuegos debería dar avisos de sus intentos de conexión; no me has comentado nada de esto.

Puede tener semejanza con la última (data de Agosto) variante del troyano Graybird, pero en este caso el nombre del ejecutable sería sp00lsv.exe (no svpool21.exe) ...fíjate que son dos ceros, no dos letras "o"; no se si en el caso de que me hablas esto último también ocurre, en cuyo caso pudiera ser alguna variante más moderna aun de este bichejo (...o que no hubieras anotado bien los datos, pero entonces estamos dando palos de ciego).

Sin más datos es lo que te puedo decir. Si sigues teniendo dudas, repito que deberías pasarte varios escaneos on line (links en el post-it). Otra opción tendrías si el tamaño de ese fichero fuese menor de 1 MB: mandarlo a KasperskyLabs para que lo analicen (enlace en el mismo post-it). Para encontrarlo, suele estar en windows/system, aunque en tu caso con WinXP seguramente esté en windows/system32.

Ahora a modo sólamente ORIENTATIVO:
Para evitar que se cargue al inicio, puedes abrir el archivo WIN.INI y buscar bajo "[windows]" alguna entrada como esta:
run = c:\windows\system\sp00lsv.exe ó svpool21.exe
...habría que dejarla (NO lo hagas aun) como
[Windows]
run =

Para limpiar el registro tendrías que buscar entradas que hagan referencia a él. Probablemente se encuentren por estas ramas:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

...estas últimas opciones que te comento (lo del win.ini y el registro del win) NO te las recomiendo sin saber lo que estás llevando entre manos y menos sin saber aun si es un bichejo o no (te las menciono SÓLO a modo orientativo). Ten en cuenta que yo no me puedo hacer responsable de lo que no haga con mis propias manos, así que antes tienes por delante muchas otras opciones para probar. Ya contarás si encuentras algo por donde te digo y el resultado de varios escaneos on line.
Suerte.

SalU2

elnota
05/09/2003, 16:59
Si tengo el antivirus norton y bien actualizado.
Tambien he copiado bien: es svpool21.exe

He mirado el norton y avisa de varios intentos de conexion, q por cierto pone : atacante mas frecuente: 217.4.84.121 [pD9045479.dip.t-dialin.net]

voi a pasar esos escaneos online q dices a ver q pasa

Saludos

elnota
05/09/2003, 19:56
pues los escaneos no an encontrao nada, no se, quizá no sea ningun virus/troyano? solo 1 aplicación q requiere algún otro programa.
pero pq iba a hacer eso 1 aplicación?

Gracias y saludoS

NEUROHZ
06/09/2003, 02:54
Localiza dónde está ubicado. Mira a ver si aparece por donde te dije en el anterior post...
Una vez que lo tengas a la vista, averigua cuánto pesa. Si es menor de 1 MB se le puede enviar a KasperskyLabs.

Desde el principio te comento que no tenemos la certeza de que sea un bichejo. Haciendo una búsqueda por su localización quizás pueda ser orientativo (aunque sólo eso, orientativo). De todas formas, tengo pocos datos para poder decirte algo más concreto...
Si fuera un bichejo, es probable que fuese un troyano, en cuyo caso deberías buscarlo entre las alertas del cortafuegos, pero no quién es el atacante más frecuente, si no sólo los que procedan de esa aplicación, a ver qué pone exactamente.

SalU2

NEUROHZ
06/09/2003, 08:51
Otra cosa más: escanéate con algún programa tipo SpyBot, Ad-Aware (ambos gratuitos, mejor usa los dos tras actualizarlos) o PestPatrol (bastante completo, pero de pago). Detectan mucha morralla que no está incluída en las bases actualizables de los antivirus y el svpool21.exe podría serlo.

SalU2

elnota
07/09/2003, 01:26
Pues esta dnd dijiste: C:\windows\system32

ocupa 50 kb

pues si miro en norton, existe una conexion abierta con svpool21.exe, te pongo lo k me pone:

Protocolo Ejecutable Local Enviado Recibido Tiempo

TCP svpool21.exe nuevo:atuh 0 0 el mismo k llevo conectado

me parece k lo de "nuevo" es el nombre q tiene este pc.


He pasado el Spybot actualizado y me encuentró mucha basura (lo paso y al cabo de varios dias, inmunizando incluso, me encuentro mas basura), pero nada de svpool21.exe


gracias por la ayuda y saludos

elnota
07/09/2003, 01:30
Protocolo Ejecutable Local Enviado Recibido Tiempo

TCP svpool21.exe nuevo:atuh 0 0 el mismo k llevo conectado
salió bastante desordenado..


Protocolo --- TCP
Ejecutable -- svpool21.exe
Local--------- nuevo:atuh
Enviado------ 0
Recibido ----- 0
Tiempo ------- el mismo k llevo conectado

NEUROHZ
07/09/2003, 02:13
La inmunización del SpyBot sirve para algunas cosas sólo, de ahí que sea necesario realizar escaneos periódicamente con el programa (teniendo sus bases actualizadas previamente ...hace muy poco fue la última actualización). Además, en varios días puedes visitar diversas webs y bajarte o instalar cualquier cosa que no sea trigo limpio, de ahí que te vuelva a encontrar más basura.

Tiene pinta de ser un troyano, pero dices que te aparece como una conexión abierta... yo de tí la cerraba en el acto (mediante cortafuegos). Aunque no haya ninguna comunicación con el otro lado, en caso de ser un troyano eso significaría que ningún cliente ha tenido contacto con el servidor todavía, seguramente porque has "apagado" el svpool21.exe.
Si perteneciera a otra aplicación que necesitara comunicarse con el exterior, supongo que ya te habrías dado cuenta de que no funciona en este intervalo de tiempo.

Busca en las cadenas del registro que te comenté y en el win.ini, seguramente encontrarás señales de él ahí, pero antes de quitarlo manualmente queda otra opción: al ser menor de 1 MB lo puedes enviar a KasperskyLabs; el enlace lo tienes en el mismo post-it de los escaneos on line. Cuéntame qué te dicen.

SalU2

elnota
07/09/2003, 15:05
Esto es lo q me dice al subir el svpool21.exe

svpool21.exe Infected: Backdoor.Spyboter.gen

Statistics:

--------------------------------------------------------------------------------
Known viruses: 73480 Updated: 7.09.2003
File size (Kb): 257 Scan time: 00:00:01
Speed (Kb/sec): 257 Virus bodies: 1
Archives: 0 Packed: 0
Folders: 0 Files: 1
Suspicious: 0 Warnings: 0

pues al parecer era un troyano, pero pq no bloqueaba esta conexion el norton?. y pq ni el norton ni los antivirus online lo detectaban?
Ahora q hago, borro ese archivo solo¿

por cierto mientras subia el svpool21.exe encontre otro con nombre muy parecido spoolsv.exe, q tb lo vi ejecutado en el administrador de tareas junto con el otro. pero lo subo y me dice k esta limpio.

saLudoss

elnota
07/09/2003, 15:13
en
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
encuetro:
svchost. Datos: svpool21.exe

borro esa cadena?

NEUROHZ
07/09/2003, 15:57
Pues se confirmaron las sospechas...

Aparte de buscar donde te dije antes, lo mejor será que abras el regedit y utilices su herramienta de búsqueda (para "svpool21.exe"). Donde aparezca, te vas a la derecha y borra sus entradas (sólo esas, donde aparezca). Probablemente serán estas dos:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once

Busca antes una carpeta desde el explorador del win que se llame "kazaabackupfiles" (te habrá entrado por este p2p o IRC y probablemente estará alojada en /system), la mandas a la papelera y elimínala luego de allí también.

Luego reinicias y con suerte, ya deberías tener el problema resuelto ;)

SalU2

NEUROHZ
07/09/2003, 16:20
Me dejaba algunas cosas en el tintero...



pues al parecer era un troyano, pero pq no bloqueaba esta conexion el norton?

Bueno, no hay que conceder permisos porque si en los cortafuegos... seguramente en algún momento te preguntó y se lo permitiste sin pensarlo mucho.



y pq ni el norton ni los antivirus online lo detectaban?

Te puedo confirmar que tanto el Kaspersky (esto lo has podido comprobar tú mismo) como NOD32 lo detectan. De otros antivirus no soy partidario, por mucha fama que puedan tener, entre ellos el Norton (este es un ejemplo más, aunque luego haya gente que diga que es bueno sin apenas argumentos serios).



...encontre otro con nombre muy parecido spoolsv.exe, q tb lo vi ejecutado en el administrador de tareas junto con el otro. pero lo subo y me dice k esta limpio.

Aunque hay bichejos que producen un spoolsv.exe nocivo, en este caso lo descartamos porque ya te lo han analizado. En condiciones normales no hay que preocuparse, al tratarse del spool de impresión (el que pone los archivos para imprimir en la cola de espera).

Bueno, creo que ya no me dejo nada. Una vez que termines con la limpieza haz lo que quieras, pero hay mejores antivirus y cortafuegos que Norton...

SalU2

elnota
07/09/2003, 23:56
e encontrado, a parte del otro k ya borre,:
Shell valor: explorer.exe svpool21.exe

eso lo borro, verdad?

no encontre nada de kazaabackupfiles, aunq seguro k me entró por l kazaa, pq instalaba mucha mierdaaa

saludoss

NEUROHZ
08/09/2003, 00:54
Utiliza el comando buscar cuando abras el regedit y todas las entradas donde aparezca"svpool21.exe" elimínalas. Puede que aparezca también por HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon por ejemplo, por eso mejor haz una búsqueda completa en todo el registro.
Por si acaso, busca también "kazaabackupfiles".

No olvides hacer el resto:

- Indicarle al sistema que no te oculte ningún tipo de archivo. En XP te vas al explorador del win > Herramientas > Opciones (de carpeta)... en "Archivos y carpetas ocultos", MARCA "Mostrar todos los archivos y carpetas ocultos" y DESMARCA "Ocultar archivos protegidos del sistema operativo".

- Buscar "svpool21.exe" y "kazaabackupfiles" desde el explorador de windows (esto ya te lo comenté antes). Bórralo donde te aparezca y luego lo eliminas de la papelera.
Es probable que te entrara bajo alguno de estos nombres:
C&C Generals_crack.exe
FIFA2003 crack.exe
NBA2003_crack.exe
AquaNox2 Crack.exe
UT 2003_bloodpatch.exe
Unreal2_bloodpatch.exe
Battlefield1942_bloodpatch.exe
Porn.exe
AVP_Crack.exe
zoneallarm_pro_crack.exe
(son los que suele utilizar, ubicándose dentro de la carpeta kazaabackupfiles)

- Mira a ver si tienes algo así en el SYSTEM.INI (el archivo system.ini lo encontrarás en la carpeta c:\system\windows):

[boot]
shell = explorer.exe svpool21.exe

...en ese caso, deberías dejarlo así:

[boot]
shell = explorer.exe

- No olvides tampoco mirar en el WIN.INI (está en la misma ubicación del system.ini) lo que te comenté posts atrás.

Cuando termines y reinicies, abre el administrador de tareas y comprueba que no se haya cargado en el inicio. No busques sólo "svpool21.exe", busca también estos otros nombres por si acaso fuera cierta variante de ese bichejo:

wupdate.exe
5py.exe
taskmger.exe
msupdate32.exe

Con suerte no habrá ninguno, pero si te apareciera alguno ya me lo dirías y te indicaría cómo actuar.

SalU2

elnota
08/09/2003, 01:35
Ya he borrado todo lo q llevaba svpool21.exe en el registro.

He buscado lo k me comentas y no encuentra nada.

También he mirado el system.ini y win.ini pero no aparece nade de svpool21.exe, parece estar todo correcto.

ahora solo me queda reiniciar y comprobar, pero ahora q me va a 22 constantes el overnet mejor q se quede asi toda la noche y mañana por la mañana lo compruebo :D:D:D

podrías recomendarme 1 cortafuegos y 1 antivirus mejor q el norton ?

Saludos y gracias por tu tiempo neurohz

NEUROHZ
08/09/2003, 02:08
Yo utilizo Kerio como cortafuegos y de antivirus monitorizando permanentemente el Amon de NOD32; para escanear a demanda utilizo el Kaspersky. Aquí tienes algo orientativo:
http://www.beeeeee.net/nautopia/maty/ranking_antivirus_cortafuegos.htm

De todas maneras, si quieres leer un rato diversas opiniones, hay varios hilos por el foro (te dejo un par de ejemplo):
http://www.forospc.com/forophp/viewtopic.php?t=20129&sid=d4d5baf6c51a240d6f0cf4f1c6e063dd
http://www.forospc.com/forophp/viewtopic.php?t=16682&sid=d4d5baf6c51a240d6f0cf4f1c6e063dd

SalU2

---Bulblight---
08/09/2003, 10:07
El problema que ha tenido puede pasar utilizando el Kazaa-Lite???

elnota
08/09/2003, 10:44
a mi me an dicho k el kazaa lite viene limpio

NEUROHZ
08/09/2003, 10:59
El kazaa Lite viene limpio de spy, pero si os bajáis un troyano camuflado, vais a estar en las mismas. Por cierto, la red kazaa es de las más pobladas por bichejos...

SalU2

PD: Lebowsky (:P), al no decir nada supongo que se te habrá resuelto el problema del svpool21.exe. Confírmamelo si es así.

---Bulblight---
08/09/2003, 11:02
No vendría mal que hiciesemos una lista entre todos de los procesos que normalmente funcionan en Xp y win2000.

Asi si aparece algo que no está en la lista, podríamos empezar a mosquearnos.

Se que existen cosas en la web, pero era por tener datos centralizados y con la aplicaiones que todos solemos emplear.

NEUROHZ
08/09/2003, 12:35
Lo mismo que estás diciendo ya hubo quien lo pidió en el subforo Windows (que es el lugar adecuado), pero personalmente no soy partidario, te explico el porqué: algo así no cabe ni en un par de páginas del foro (al menos, no comentado en condiciones); como cada uno le da un uso diferente al PC, no se puede hacer una lista válida para todos, así que lo mejor es acudir a webs dedicadas (que para eso están precisamente) y a partir de ahí, hacer las cosas sabiendo lo que nos traemos entre manos y ajustándolas a nuestras necesidades concretas.

Además, un virus puede infectar o simular un proceso con el mismo nombre del original, con lo que la lista en ese sentido tampoco sería muy de fiar. Eso sin contar con los procesos debidos a aplicaciones que cada uno haya instalado en su equipo... bufff, sería una lista interminable.

En su día ya hablé un poco del tema y dejé un enlace bastante bueno relacionado con lo que pides:
http://www.forospc.com/forophp/viewtopic.php?t=14924&sid=847f88ef5f3cc6bcac1e4f727eb50cc3
http://www.wininfo.com.ar/main.html

SalU2

elnota
08/09/2003, 15:04
Asi es, ya esta arreglado, al abrir el Administrador de tareas, no se cierra, y no aparece svpool21.exe por ningunna parte, lo borre del registro y de todas partes. tampoco aparece ninguna conexion abierta de svpool21.exe

Saludoss