La computadora se reinicia automáticamente y aparece un cuadro de diálogo de error csrss.exe.
Utilice la solución "Trojan Scavenger":
1. Los usuarios deben aplicar el parche MS05-039 de manera oportuna, especialmente los usuarios de Win2000 deben compensar las vulnerabilidades del sistema de manera oportuna. ;
2. Agregue nuevas reglas al firewall personal para bloquear los puertos TCP 139 y 445;
3 Al navegar por Internet, debe activar la función de monitoreo en tiempo real. el software antivirus y actualícelo a tiempo.
4. Desenchufe el cable de red y desconecte la red
c:\winnt\system32\services.exe terminó inesperadamente con el código de estado 128. El sistema ahora se apagará y reiniciará. .
La onda expansiva anterior fue lsass.exe, pero ahora se ha convertido en services.exe.
Según investigaciones no oficiales, esto se debe a que después de que Microsoft lanzó recientemente la vulnerabilidad MS05-039, aparecieron algunas herramientas tontas para explotar la vulnerabilidad MS05-039. Después de que el desbordamiento sea exitoso, puede obtener la máxima autoridad de. el sistema! ! ! Debido a que el daño es muy grave, solicite el parche MS05-039 de inmediato. ! !
La vulnerabilidad MS05-039 es una vulnerabilidad de seguridad grave que permite a un atacante exitoso controlar completamente la computadora comprometida. Se puede decir que "W32/Zotob.A-net" y "W32/Zotob.A-net" son los primeros intentos de explotar esta vulnerabilidad para la propagación, y romper esta vulnerabilidad es su objetivo principal. W32/DrudgeBot.A-net ha utilizado con madurez este método de propagación y, combinado con otros métodos de propagación (descifrar contraseñas débiles, etc.), ha mejorado enormemente sus capacidades de propagación. Atacar esta vulnerabilidad es sólo uno de sus métodos de propagación. tiene su propio propósito específico (eliminar automáticamente una gran cantidad de programas espía y publicitario que pueda tener la máquina infectada, abrir puertas traseras y esperar el control remoto por parte de piratas informáticos, etc.). Esto demuestra que el método de propagación mediante la explotación de esta vulnerabilidad ha madurado y es previsible que este método de propagación sea adoptado por más virus en el futuro.
Características de este gusano:
1. Cree un mutex llamado B-O-T-Z-O-R en el sistema para garantizar que solo se esté ejecutando un gusano infectado.
2, cópiese a sí mismo en la siguiente ubicación:
%System%\csm.exe
3 Modifique la siguiente clave de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\. Ejecutar
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Agregue el valor clave debajo de estos dos elementos: "csm Win Updates" = "csm.exe", para que se puede ejecutar cuando se inicia el sistema.
4. Modifique el siguiente valor clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
Establezca en 4 para deshabilitar Win2000/XP* * *Disfrute del servicio de acceso
5. Conéctese al servidor IRC wait.atillaekici.net a través del puerto TCP8080
6. Abra un servicio FTP en el puerto TCP33333. , genera direcciones IP aleatorias e intenta escanear los hosts infectados con estas direcciones. Al explotar la vulnerabilidad del servicio Plug and Play (MS05-039), el gusano abrirá la puerta trasera del puerto TCP8888 en el sistema de destino y lo infectará. p>
8. Copie el archivo %System%\2pac.txt al sistema recién infectado y ejecute el script FTP en él
9. Descargue %System% a través del servicio FTP habilitado \jaja. exe y ejecutarlo en el nuevo destino
10. Agregar el siguiente contenido al archivo de hosts resultará en la imposibilidad de acceder al nombre de dominio o actualizar la base de datos de virus;
. ... Hecho por ... ¡¡¡Salude a un buen amigo [ELIMINADO] en las próximas 24 horas!!!
127.0.0.1 www.symantec.com
127.0.0.1 respuesta de seguridad. symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist .com p>
127.0.0.1 lista de virus.com
127.0.0.1 lista de virus.com
127.0.0.1 f-secure.com
127.0.0.1 www .f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www. avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0 .0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee .com p>
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 descargar.mcafee.com
127.0.0.1 despacho.mcafee.com
127.0.0.1 seguridad.nai.com
127.0.0.1 nai.com
127.0 .0.1 www.nai.com
127.0.0.1 actualización.symantec.com
127.0.0.1 actualizaciones.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 actualización en vivo. symantec.com
127.0.0.1 cliente.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www .grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0 .0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
El siguiente artículo: puede consultarlo
Solución:
1. Obtenga el último parche de Microsoft para el sistema correspondiente.
Dado que el gusano modificó el archivo de hosts, puede obtener parches de otros sistemas o eliminar directamente el contenido recién agregado anteriormente en el archivo de hosts.
2. Elimine los contenidos agregados del registro mencionados anteriormente y los archivos agregados correspondientes.
3. BLOQUEAR los siguientes puertos en el firewall o política de seguridad IP:
TCP 139/445
TCP 8080
Nota importante : Este artículo contiene información sobre cómo modificar el registro. Antes de modificar el registro, asegúrese de hacer una copia de seguridad del registro y de saber cómo restaurarlo si ocurre algún problema.
Para obtener información sobre cómo realizar una copia de seguridad, restaurar y editar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 (/kb/256986/) Instrucciones del registro de Microsoft Windows
Síntomas
Cuando inicia Windows 2000 Server y aparece el mensaje "Preparando conexión de red...", es posible que reciba el siguiente mensaje de error:
El el sistema se está apagando. Guarde todo el trabajo en progreso y cierre la sesión. Cualquier cambio no guardado se perderá. Este apagado fue iniciado por NT AUTHORITY\SYSTEM.
El proceso del sistema C:\WINNT\SYSTEM32\SERVICES .EXE finalizó inesperadamente con el código de estado 128. El sistema se apagará y reiniciará.
Causa
Si se hace referencia incorrectamente a una carpeta compartida en la siguiente clave de registro, es posible que se produzca este problema. :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Shares
Si se deja una fecha de vencimiento en la siguiente clave de registro para un recurso compartido que ya no existe. Este problema también puede ocurrir con el valor de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security
Solución
Advertencia: El uso incorrecto del Editor del Registro puede causar problemas graves que Es posible que deba reinstalar su sistema operativo. Microsoft no puede garantizar que pueda resolver los problemas causados por el uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su propia responsabilidad.
Para resolver este problema, siga estos pasos: 1. Reinicie su computadora en modo seguro: a.
b. Cuando reciba el mensaje "Seleccione un sistema operativo para iniciar", presione la tecla F8.
c. En el menú Opciones avanzadas de Windows, utilice las teclas de flecha para seleccionar Modo seguro y luego presione Entrar.
d. Si está ejecutando otro sistema operativo en su computadora, use las teclas de flecha para seleccionar Microsoft Windows 2000 en la lista que aparece y luego presione Entrar.
2. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit en el cuadro Abrir y luego presione Entrar.
3. Busque y haga clic en la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares
4. a. En el menú Registro, haga clic en Exportar archivo de registro.
b. En el cuadro Nombre de archivo, escriba Shares_RegKey y luego haga clic en Guardar.
Este paso guardará la clave de registro de Shares en el archivo de texto Shares_RegKey, que podrá utilizar para restaurar la clave de registro más adelante. De forma predeterminada, este archivo se guarda en la carpeta Mis documentos. Para obtener información sobre cómo restaurar claves de registro, busque el tema "Importación de claves de registro" en la Ayuda del Editor del Registro.
5. Examine la lista de valores en el panel derecho del Editor del Registro.
Verás que la columna "Datos" contiene la ruta a la carpeta compartida. Por ejemplo, es posible que vea una línea similar a la siguiente:
CSCFlags=0 MaxUses=4294967295 Ruta=E:\NS Permissions=0 Observación= Tipo=0
Se refiere a Es la carpeta compartida E:\NS.
6. Para cada valor, utilice el Explorador de Windows para asegurarse de que la ruta que se muestra en la columna Datos represente una carpeta compartida existente. Elimina todos los valores que no correspondan a una carpeta compartida.
7. Salga del Editor del Registro y luego reinicie su computadora.
¡Mata con herramientas para matar!