| tatoman |  |
|
2009-09-20 10:08 - Respuestas: 3 - Tema nº: 2622051
Windows XP Profesional Equipo Dell portatil 1,6Mhz 504Mb Ram.
Hola a todos;
he pillado este virusillo (y alguno mas) y no hay manera de quitarlo
Virus BackDoor.IRC.Sdbot.4721
he pasado el Dr.Web Cureit y el Panda Online y los dos lo ven pero la respuesta es la misma, los dos me dicen que es incurable, el Dr. Web pone Incurable.Movido pero sigue apareciendo. He intentado restaurar sistema a un estado anterior, pero no me deja con ninguno; es mas, creo que tambien ha infectado los restores.
Os adjunto el Log del HijackThis por si sirve de algo
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:48:59, on 20/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\tis-sep\Escritorio\jske2aex.exe
C:\DOCUME~1\tis-sep\CONFIG~1\Temp\RarSFX0\2uv2u3.exe
C:\DOCUME~1\tis-sep\CONFIG~1\Temp\RarSFX0\645hrXP.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://correo.telefonica.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint\Apoint.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [StatusClient 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Archivos de programa\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Task manager1] taskmgr1.exe
O4 - HKLM\..\Run: [Intel i386] C:\DOCUME~1\tis-sep\CONFIG~1\Temp\gsf4D\servces.exe
O4 - HKLM\..\Run: [:p] Explore.exe
O4 - HKLM\..\RunServices: [Task manager1] taskmgr1.exe
O4 - HKLM\..\RunServices: [:p] Explore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Task manager1] taskmgr1.exe
O4 - HKCU\..\Run: [:p] Explore.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-21-448539723-842925246-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')
O4 - HKUS\S-1-5-21-99434117-1244589653-1193740320-1126\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-99434117-1244589653-1193740320-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://correo.telefonica.es/iNotes6W.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = servidor.tis
O17 - HKLM\Software\..\Telephony: DomainName = servidor.tis
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F400BC8-98F7-4624-A8E4-BFB17A9022D1}: NameServer = 10.102.196.231,10.102.196.233
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = servidor.tis
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = servidor.tis
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Archivos de programa\lotus\notes\ntmulti.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
End of file - 5855 bytes
Comentarios adicionales: No había instalado ningún programa, ni cambiado nada de hardware en el PC. | |
|
|
| tatoman | |
|
Re: Virus BackDoor.IRC.Sdbot.4721 (solucionado) - 2009-09-20 10:09 - Respuesta 2
Se me olvidaba daros las gracias por adelantado | |
|
|
| tatoman | |
|
Re: Virus BackDoor.IRC.Sdbot.4721 (solucionado) - 2009-09-21 00:55 - Respuesta 4
Hola,
efectivamente, el truco era ese, pero con el Nod 32 ha sido suficiente. Donde no han triunfado ni el DrWeb ni el Panda lo ha hecho el Nod32.
Gracias | |
|
|
|
