locked
Windows XP Profesional SP3 recien instalado con VIRUS RRS feed

  • Pregunta

  • Estimados Microsoft, Les paso a comentar que luego de realizar una instalacion limpia de Windows XP SP3 con todos sus controladores instalados y en perfecto funcionamiento, al conectarla a la Red de Internet, pasados unos segundos deja de navegar por Internet Explorer.

    Revisando el registro he notado que se genera automaticamente un archivo llamado ltzqai.exe en Documents and Settings\Usuario\Datos de Programa

    Este archivo a su vez me genera los siguientes archivos de registro en HKLM - Software - Microsoft - Windows - CurrentVersion - Run

    msvmiode.exe - syscache.exe - cfdrive.exe

     

    Por favor si pueden contestarme como solucionarlo se los agradecere ya que he formateado la PC 4 veces y hace lo mismo.

     

    Saludos

    Alejandro!

    lunes, 23 de agosto de 2010 20:37

Respuestas

  • Estimados, gracias por las respuestas!

    Finalmente lo que hice fue descargarme el Wsus Offline, con el que instalo todos los Updates antes de conectarla a la red y con esto he solucionado mi problema.

    Saludos!

    jueves, 2 de septiembre de 2010 13:45

Todas las respuestas

  • Estimados Microsoft, Les paso a comentar que luego de realizar una instalacion limpia de Windows XP SP3 con todos sus controladores instalados y en perfecto funcionamiento, al conectarla a la Red de Internet, pasados unos segundos deja de navegar por Internet Explorer.

    Revisando el registro he notado que se genera automaticamente un archivo llamado ltzqai.exe en Documents and Settings\Usuario\Datos de Programa

    Este archivo a su vez me genera los siguientes archivos de registro en HKLM - Software - Microsoft - Windows - CurrentVersion - Run

    msvmiode.exe - syscache.exe - cfdrive.exe

     

    Por favor si pueden contestarme como solucionarlo se los agradecere ya que he formateado la PC 4 veces y hace lo mismo.

     

    Saludos

    Alejandro!


    donde has conseguido el medio de instalacion(disco)??? luego de instalado el sistema operativo que utilizas para instalarle los drivers? algun medio extraible o que? definitivamente es un virus que esta accediendo por algun medio extraible o esta incluido en el disco de instalacion...

    Cuentanos!


    njguibert.wordpress.com
    martes, 24 de agosto de 2010 12:03
    Moderador
  • Jesus gracias por preguntar.

    Te comento que el disco de instalacion es un CD Original de Windows XP SP3, y los controladores son los originales del Mother.

    La PC funciona correctamente con todo instalado!

    El inconveniente surge cuando conecto el cable de red a una de mis conexiones a Internet.

    Con la otra conexion no me pasa!

    martes, 24 de agosto de 2010 17:05
  • Jesus gracias por preguntar.

    Te comento que el disco de instalacion es un CD Original de Windows XP SP3, y los controladores son los originales del Mother.

    La PC funciona correctamente con todo instalado!

    El inconveniente surge cuando conecto el cable de red a una de mis conexiones a Internet.

    Con la otra conexion no me pasa!

    cual otra conexion?

    los drivers de donde se lo instalas?


    njguibert.wordpress.com
    martes, 24 de agosto de 2010 18:02
    Moderador
  • Yo pienso en driver curruptos, de todas formas, por que no te instalas el essentials de microsoft, lo pasas y nos dices donde tienes los virus??

    Y si no...por que no pruebas instalar y que windows update instale los controladores envez de ponerle tu los tuyos? asi...sales un poco de dudas.

    De todas formas, no entiendo lo de las conexiones, pasar por algun equipo puesto como ad-hoc o algo???

    Comentanos!

    Saludos!

    martes, 24 de agosto de 2010 21:09
  • Gracias por contestar!!

    Es bastante simple en realidad, tengo 2 conexiones a Internet. Telecentro y Telmex en 2 routers diferentes en el mismo rango de IPs.

    Aclaro que no me pasa solo con una PC si no con cualquier nueva instalacion que realice!!!

    Cuando yo tengo todo instalado y conecto el cable de red para actualizar windows y para lo que fuere, si lo hago al router de Telmex no tengo problemas, pero si me conecto al Router de Telecentro en seguida me genera estos archivos y a los pocos segundos me deja de navegar!!

    Estoy bastante seguro de que se trata de virus y mas que nada necesito saber si hay algun parche de Windows que pueda aplicar antes de conectar a la red de Internet.

    Saludos!

    miércoles, 25 de agosto de 2010 13:12
  • Gracias por contestar!!

    Es bastante simple en realidad, tengo 2 conexiones a Internet. Telecentro y Telmex en 2 routers diferentes en el mismo rango de IPs.

    Aclaro que no me pasa solo con una PC si no con cualquier nueva instalacion que realice!!!

    Cuando yo tengo todo instalado y conecto el cable de red para actualizar windows y para lo que fuere, si lo hago al router de Telmex no tengo problemas, pero si me conecto al Router de Telecentro en seguida me genera estos archivos y a los pocos segundos me deja de navegar!!

    Estoy bastante seguro de que se trata de virus y mas que nada necesito saber si hay algun parche de Windows que pueda aplicar antes de conectar a la red de Internet.

    Saludos!

    en un equipo luego de que te deje de navegar si lo cambias al router en el cual no te da el problema, volves a tener conexion?

    es totalmente imposible que al salir por una puerta de enlace te suceda eso en una instalacion recien echa... se pude decir que se podria en el caso de que en ese router tengas una ip publica fija y un proceso en el equipo afectado establesca comunicacion con un host desconocido el cual te deshabilita la navegacion remotamente. Pero solo si tuvieras un codigo malicioso, cosa totalmente imposible si el disco es original .

    Por que medio le instalas los drivers? podrias monitorear el sistema con el process monitor y process explorer, con el primero para ver toda las acciones que se realizan y con el segundo quien crea el proceso.

    Tambien en uno que ya no tenga conexion monitorear la tabla de enrutamiento (route print) y ver si no hay alguna entrada incorrecta. Asi como hacer ping a alguna ip publica por ej 200.40.0.83 y ver si llega...

    Y para terminar verificar en el directorio C:\Windows\System32\Drivers\Etc el archivo hosts en busca de entradas incorrectas...

    Links:

    Process Explorer: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

    Process Monitor: http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

    Suerte!


    njguibert.wordpress.com
    jueves, 26 de agosto de 2010 11:48
    Moderador
  • Jesus gracias por contestar!

    Con respecto a los Drivers creo que ya lo tenemos que descartar!!! Me pasa con cualquier PC nueva que instale con sus respectivos CDs/DVDs de instalacion.

    El equipo que conecte a la conexion de Telecentro y ya me genero estos archivos ya quedo infectado!! Despues conecte donde lo conecte sigue infectado y sin navegar!!!

    Con respecto a pinguear una IP publica lo hice y no responde ni a host ni a IP.

    El archivos que genera los procesos, por lo que lei es el ltzqai.exe

    Ya se que es un virus y estube leyendo como eliminarlo tambien!!

    Mi problema en realidad es que ya que me dedico a Servicio Tecnico y armo muchas PCs por dia, no quiero que me pase esto con la conexion de Telmex ya que es mi conexion mas rapida!!!

    Necesito saber si hay algun KB de Microsoft que lo frene o algo que le puede aplicar a la PC antes de conectarla a la red!!

    Saludos

     

    jueves, 26 de agosto de 2010 15:08
  • Jesus gracias por contestar!

    Con respecto a los Drivers creo que ya lo tenemos que descartar!!! Me pasa con cualquier PC nueva que instale con sus respectivos CDs/DVDs de instalacion.

    El equipo que conecte a la conexion de Telecentro y ya me genero estos archivos ya quedo infectado!! Despues conecte donde lo conecte sigue infectado y sin navegar!!!

    Con respecto a pinguear una IP publica lo hice y no responde ni a host ni a IP.

    El archivos que genera los procesos, por lo que lei es el ltzqai.exe

    Ya se que es un virus y estube leyendo como eliminarlo tambien!!

    Mi problema en realidad es que ya que me dedico a Servicio Tecnico y armo muchas PCs por dia, no quiero que me pase esto con la conexion de Telmex ya que es mi conexion mas rapida!!!

    Necesito saber si hay algun KB de Microsoft que lo frene o algo que le puede aplicar a la PC antes de conectarla a la red!!

    Saludos

     

    monitorea con process monitor...

    njguibert.wordpress.com
    jueves, 26 de agosto de 2010 15:44
    Moderador
  • Auque este problema no termino de entenderlo la verdad.....si conectas a un router por ethernet entra el virus? es que no lo entiendo...

    Por que no te pones en contacto con el isp y se lo dices? deben de hacerse responsables de sus productos y quizas te den una solucion.

    Comentanos.

    Saludos!

    jueves, 26 de agosto de 2010 20:06
  • cuentanos si pudiste solucionar tu problema, ya que necesito una respuesta precisa para esta conversacion
    njguibert.wordpress.com
    martes, 31 de agosto de 2010 14:39
    Moderador
  • Yo popondria aparte de instalar todo desde CD Originales  (Be original) XP 3 y Drivers, asi como la instalacion de AV Original con su Actualizacion bajada desde el de telmex, (que dices que no es la que se infecta) y ver que pasa.

    Otro caso es que hagas un CD Maestro con algun programa Tipo NLite bajando todas las actualizaciones

    Otro es que instales normalmente y acualizes manualmente,

    Lo que me imagino que quieres es que te digamos baja este patch, que se hizo especificamente para este troyano, o deshabilita este servicio para que no se meta el troyano y puedas actualizar.

    Deja seguir buscando y haber si encuentro algo, pq se escucha facil pedir pero no encontrar.


    IT Field Support Analyst. Continual Service Improvement....ADD Value!!!
    martes, 31 de agosto de 2010 14:48
  • Yo popondria aparte de instalar todo desde CD Originales  (Be original) XP 3 y Drivers, asi como la instalacion de AV Original con su Actualizacion bajada desde el de telmex, (que dices que no es la que se infecta) y ver que pasa.

    Otro caso es que hagas un CD Maestro con algun programa Tipo NLite bajando todas las actualizaciones

    Otro es que instales normalmente y acualizes manualmente,

    Lo que me imagino que quieres es que te digamos baja este patch, que se hizo especificamente para este troyano, o deshabilita este servicio para que no se meta el troyano y puedas actualizar.

    Deja seguir buscando y haber si encuentro algo, pq se escucha facil pedir pero no encontrar.


    IT Field Support Analyst. Continual Service Improvement....ADD Value!!!


    en varias conversaciones se ha hablado de nlite y de como se agregan codigo malicioso a las futuros medios creados...

    y ese parche no existe en un medio el cual tenga el service pack 3... pasaba antes de los service pack cuando se modificaba el svhost y daba problemas de conexion...

    Saludos


    njguibert.wordpress.com
    martes, 31 de agosto de 2010 14:52
    Moderador
  • Estimados, gracias por las respuestas!

    Finalmente lo que hice fue descargarme el Wsus Offline, con el que instalo todos los Updates antes de conectarla a la red y con esto he solucionado mi problema.

    Saludos!

    jueves, 2 de septiembre de 2010 13:45
  • Me alegro de saberlo, tenia curiosidad la verdad...

    Alguna idea de que era finalmente?

    Saludos!

    viernes, 3 de septiembre de 2010 12:22
  • He sabido de los codigos que maneja nlite, pero a tu punto de vista recomendarias alguno?.

    gracias por tu aportacion.


    IT Field Support Analyst. Continual Service Improvement....ADD Value!!!
    viernes, 3 de septiembre de 2010 22:16
  • <Mario Antonio Aguilar Moguel> escribió en el mensaje  news:b412f15b-4950-4a4f-8ca7-14d4306d3c1f@communitybridge.codeplex.com...

    He sabido de los codigos que maneja nlite, pero a tu punto de vista  recomendarias alguno?.

    gracias por tu aportacion.


    IT Field Support Analyst. Continual Service Improvement....ADD  Value!!!

    Método manual, confiable, probado y seguro:

    Cómo crear un CD de Windows XP SP2 integrado y "booteable" (Nero)
    http://www.multingles.net/docs/jmt/xpsp2.htm

    Aunque se refiere a Service Pack 2 originalmente, funciona sin problemas  con SP3, logicamente cambiando los nombres que correspondan.
    El artículo no lo dice, pero es necesario dar un nombre corto al   Service Pack, de:
    WindowsXP-KB936929-SP3-x86-ESN.exe
    a:
    SP3.exe


    Saludos cordiales. Ivan

    sábado, 4 de septiembre de 2010 19:34