-
he estado leyendo por ahí sobre este ejecutable, al parecer no se puede eliminar porque es un archivo de windows XP (SE LO PODÍA HABER METIDO POR EL C*** BILL GAY y su maravilloso XP con sus 75.000 fallos de seguridad. A ver cuando se unen todos los hackers del mundo para hacer un buen sistema operativo) Bien, tranquilidad, al parecer también hay un virus que crea un archivo igual e infecta el PC, eso al menos he leído por ahí, y no sé por qué me da que es lo que tengo y tal vez lo que tenía en el otro ordenador que acabo de formatear. El kerio no para de mostrar una flecha roja de salida lo que quiere decir que constantemente le está denegando la salida no? y además abrí el administrador de tareas para ver los procesos activos y había 4 svchost.exe, dos de ellos ponían servicio local y servicio de red, y los otros dos ponían System. Traté de cerrar esos dos procesos con lo de terminar proceso, el primero se cerró normalmente, pero el segundo nada más picar ahí me puso el mensjito de que tenía un minuto para cerrar todo porque se apagaba el sistema. Windows debe reiniciar porque el servicio de llamada a procedimiento remoto ha finalizado de forma inesperada.
No sé qué hacer, quizás debería bajarme las actualizaciones de seguridad de XP porque el que tengo es de hace tiempo y luego formatear todo e instalar de nuevo, XP, actualizaciones de seguridad, nod 32 y kerio. Qué me aconsejáis? -
A ver, tranquilidad, no te precipites. Primero, el svchost se usa, entre otras cosas, para hacer ping, con lo que es necesario. Permítele acceso, pero sólo a C:/xxxx/system32/svchost.exe, ah, y es normal que haya varios, no te preocupes. Segundo, la regla de oro al hacer las reglas de tu firewall, si no sabes lo que es, denegar. Si ves que internet no va bien, cancelas la regla de prohibición y la permites. Pero nunca hagas reglas genéricas (el programa Internet explorer puede conectarse a cualquier ip, desde cualquier puerto a cualquier puerto), intenta hacerlas lo más cerradas (si puedes haz que se conecte siempre a la misma ip, desde el mismo puerto y al mismo puerto). Lo principal son los puertos locales, que son los más peligrosos.
Como supondrás, a un navegador tienes que permitirle conectarse a cualquier dirección ip y a cualquier puerto remoto. Pero con el puerto 80, 21, 443, 90 y 81 debería ser suficiente, si acaso el 8080 también. Pero eso te lo va pidiendo según navegas, simplemente haz las reglas para que se permitan sólo en ese puerto.
Me estoy liando, pero puedes coger una idea de como va.
Otra cosa, siempre tienes que tener el sistema con todas las actualizaciones de seguridad instaladas. A menos que sea un caso excepcional, como lo está siendo el sp2 actualmente, al que le están encontrando muchos fallos de seguridad y limita mucho el uso de la red.
Por cierto, antes de que se me olvide. Desactiva el firewall que trae windows xp por defecto, no es bueno tener dos firewall ejecutándose al mismo tiempo.
Ah, si, y cuando creas que tienes el sistema perfectamente configurado, haz una regla de cierre, en firewall administration->firewall->advanced crea una regla abajo del todo que niegue acceso a internet a todas las aplicaciones y a todos los puertos. Pero que sea abajo del todo (las reglas de arriba tienen prioridad sobre las de abajo).
-
uff, para mí es complicado, voy muy a ciegas. Cualquier programa que me pone que se intenta conectar, no tengo ni idea de qué contestar, por lo que deniego constantemente, pero tampoco puedo estar cerrando constantemente las ventanas que no dejan de salir así que deniego para siempre activando la ventana que tiene abajo, lo que pasa es que no tengo ni idea de si debería denegar o no, con lo que este programa me supera de momento.
-
Relájate y lee lo que pone, no te angusties. Normalmente te pone que el programa C:/xxx/yyy/msn.exe (por ejemplo) quiere conectarse a tal puerto y no se que más. Pues bien, eso tiene que pasar cuando tú le has dado a conectar en el msn. Entonces le permites conectarse a lo mínimo posible (probando y probando le coges el truco). Si tú no estás haciendo nada y te dice que hay una conexión entrante del programa C:/yyy/xxx/bugbear.exe (por ejemplo), tú no conoces el programa, así que en principio deniegas (sin crear regla, solo dándole a deny), si ves que no te da problemas con la conexión a internet, ni ningún fallo raro, la próxima vez uqe te pregunte le das a create rule y deny. Si estás conectado con el navegador opera y te dice que quiere conectarse a tal puerto y no se cuantas cosas más, pero sin que tú le des a aceptar sigue cargando la página, espera a ver si se carga del todo. Si se carga del todo, deny, sin crear regla (pero sería recomendable apuntar la alerta, x si te vuelve a aparecer, para crear la regla la próxima vez), que no se carga? Pues a crear la regla para permitir (ejemplo muy típico del puerto https, creo que es el 81).
Lo más importante es crear la regla en la opción de abajo (supongo que estás usando la 2.15), en advanced. Ahí es cuando casi siempre tienes que elegir sólo el puerto por el que intenta entrar/salir, y no todos.
Bueno, de todas maneras, en la web denautopia tienes un manual de utilización del kerio 2.15, la dirección es esta
Lee con calma y ya nos contarás.
-
No te preocupes monxp, es sólo cuestión de tiempo, ya le cogeré el tranquillo. Gracias por toda tu información, ya estudiaré el programa para sacarle el máximo partido
-
La verdad es que estoy bastante desesperado. Estoy ahora en otro ordenador. Completamente formateado, después de formatearlo todo, instalo sistema operativo, más actualizaciones de seguridad que las había bajado previamente, más tarjeta gráfica, sonido… más el nod32 y el kerio... todo esto sin conectar el cable de internet. Ahora configuro la red y me dispongo a navegar por internet. El kerio me va poniendo mensajes para que permita o no la conexión. En cuanto aparece C:....\system 32\svchost.exe le doy a permitir siempre y... aparece el mensaje fatídico que me está amargando la vida: Se está apagando el equipo..... ordenado por windows NT authority system. Windows debe reiniciar porque el servicio de llamada a procedimiento remoto (RPC) ha finalizado de forma inexperada. ¿Cómo puede ser si tenía todo formateado y he instalado toda la seguridad que se me ha ocurrido? El antivirus no detecta nada. qué desesperación con el mensaje de los c****** mira que he estado tiempo en internet sin ninguna seguridad, ni antivirus ni nada y jamás me había ocurrido hasta ahora
-
He comprobado que todos mis problemas vienen por culpa de este ejecutable, svchost.exe. Aunque sea un ejecutable que trae la mierda de sistema que es el XP, a mí me está fastidiando sólo él. Aunque esté en el escritorio, si voy al administrador de tareas, esta mierda de ejecutable ocupa al microprocesador en más de un 90%. Si trato de finalizar su tarea, me pone el mensaje de que el equipo se apagará en un minuto…. bla bla... por orden de windowsNT. Windows debe reiniciar porque el servicio de llamada a procedimiento remoto ha finalizado de forma inexperada. Me podéis ayudar y decir qué debo hacer?
-
Ah, si, se me había olvidado, el blaster infecta el svchost.exe y el sasser infecta el lsass.exe. Lo que tienes que hacer es conseguirte el parche del blaster y el del sasser, instalarlos y despues conectarte a internet. Es la mejor solución.
También puedes crear unas reglas:
PARA EL SASSER.
SYSTEM, tcp out.
Local any port
Remote: any address, port 445.Para el BLASTER creo que es la misma regla, pero con el puerto 135.
-
Bueno me dijeron la manera de evitar que el asqueroso me reiniciara el ordenador, inicio/ejecutar/shutdown -a y la verdad que me ha funcionado y me lo quito de encima de manera provisional. Voy a probar a ver si con los parches de blaster o sasser encuantro algo y sino me han dicho que busque el F-Secure que dicen que lo encuentra y lo elimina. A ver si voy avanzando poco a poco. También he leído por ahí que un router me libraría de muchos males, qué opináis?
Gracias monxp te estoy dando un poco la coña porque no contesta nadie más -
No te preocupes hombre, si es que yo también pasé por lo mismo, y me aficioné mucho a la seguridad informática. Aún no se mucho, pero todo se andará.
Un router en multipuesto no permite que cojas el Blaster o el Sasser, pero me parece una solución un tanto cara. Si ya tienes router vale, pero sino no merece la pena. Lo que hace el router en multipuesto, es tener el la ip pública, con lo cual, el blaster y el sasser intentan atacar al router, al que no le pueden hacer nada. Todo esto explicado mal y pronto, claro.
Pensaba que ya te habían dicho lo de shutdown -a, jajaja!! Bueno, pues haces lo de shutdown -a y entras en las siguientes direcciones para bajarte el parche:Blaster y Sasser
Atento a bajarte los parches en el idioma adecuado, sino no podrás instalarlos. Espero haberte ayudado. De todas maneras, si pones las reglas que te he comentado en el kerio ya no tendrás problemas con el blaster y el sasser, y podrás bajarte todos los parches que necesites. Te recomiendo bajarte todo excepto el SP2, que está dando muchísimos problemas, ya se verá si con el tiempo se arreglan o que.
-
Gracias monxp, las reglas las pongo esta noche si tengo tiempo, ahora ya lo tengo a raya, ya te contaré pronto qué he logrado. Una pregunta más, los parches esos eliminan todo o aún tendré que eliminar algún resto del registro? A ver si me los bajo hoy y te cuento si lo he sacado de ahí el asqueroso. Por otra parte creo que voy a deshabilitar lo de restaurar sistema y también he oído que debería desactivar el mensajero de XP aunque ahora no recuerdo muy bien donde estaba pero ya lo he visto una vez y creo que lo desactivaré.
Lo que haré con el cortafuegos si no me dices que hay algo mal en el planteamiento es, hacer reglas que me permitan usar los puertos que necesite para navegar y poco más y poner una regla final para que no permita ninguno más, porque eso de los puertos no lo entiendo aún.
Ahora me está poniendo muhas veces que "…kernel driver...." intenta conectar, y yo... como el gato escaldado...