Virus Backdoor-BDD

Responder
toXicosmos
Mensajes: 33
Registrado: 20 Jul 2004, 09:04
Ubicación: En algun lugar de la galaxia

Virus Backdoor-BDD

Mensaje por toXicosmos » 25 Feb 2005, 10:33

pues el problema es q al iniciar IE me abre una pagina (about:blank) y automaticamente se me abre el antivirus diciendom q tngo un virus y lo elimina xro vuelve ha parecer cuando inicio el Explorer, xfavor necesito ayuda, gracias y salu2

toXicosmos
Mensajes: 33
Registrado: 20 Jul 2004, 09:04
Ubicación: En algun lugar de la galaxia

Mensaje por toXicosmos » 25 Feb 2005, 10:36

ahi va un escaneo del hijackthis

Logfile of HijackThis v1.97.7
Scan saved at 10:31:23, on 25/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Archivos de programa\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\myCIO\Agent\myAgtSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\carpserv.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\Archivos de programa\Archivos comunes\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\myCIO\Agent\myagttry.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\myCIO\VScan\McShield.exe
C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe
C:\Archivos de programa\Archivos comunes\Nokia\Services\ServiceLayer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
\Axa3\mis programa\Anti spy-ware, anti-troyanos,etc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lfvlw.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lfvlw.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lfvlw.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lfvlw.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lfvlw.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lfvlw.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lfvlw.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = "C:\Archivos de programa\Outlook Express\msimn.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {0B910E65-4CD0-713C-7AEC-596165F29413} - C:\WINDOWS\iejq.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Display Settings] C:\Archivos de programa\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\ARCHIV~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Archivos de programa\Archivos comunes\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe
O4 - HKLM\..\Run: [myCIO.com ASaP] C:\WINDOWS\myCIO\Agent\myagttry.exe
O4 - HKLM\..\Run: [myCIO.com Splash] C:\WINDOWS\myCIO\VScan\Splash.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Image Transfer.lnk = C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - http://descargaseguridad.telefonica.terra.es/VS2/bin/myCioAgt.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.apc.es/webcam/AxisCamControl.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) - http://eros11.prosperity.es/jinitiator/jinit.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4357/mcfscan.cab
O16 - DPF: {FAACB119-D8DD-4F91-9AE9-9CDE6FD230DB} (CentroSeguridad Class) - https://centroseguridad.telefonica.terra.es/central/CentroSeguridad.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C61C0A30-DD45-4249-8727-DE58827C7F31}: NameServer = 195.235.96.90,195.235.113.3

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 25 Feb 2005, 10:39

Mira si con el ELISTARA.EXE detecta algun gusano y con dicho programa, elimina la pagina actual e indicale la que desea como pagina de inicio, pues aunque figure un about blank , muchas aplicaciones acceden a paginas de biscadores (asiaticos) que descargan virus y troyanos, como es el caso el HOME SEARCH ASSISTANT y el Backdoor.BDD

Tras ello, si se mantiene el problema, indiquenoslo como respuesta de este Tema.
saludos

ms, 25-02-2005

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 25 Feb 2005, 10:43

Nueva versión del Hijack This : 1.99.1
Bajar :
http://www.zonavirus.com/descargas/tren ... ckthis.asp




Conecta via windows update y trata de actualizar, te falta parches

Logfile of HijackThis v1.97.7
Scan saved at 10:31:23, on 25/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)


Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

toXicosmos
Mensajes: 33
Registrado: 20 Jul 2004, 09:04
Ubicación: En algun lugar de la galaxia

Mensaje por toXicosmos » 25 Feb 2005, 11:09

pues ahora parece q no se abre, m los elimino el elistara...y ahora todo funciona bien, voy actualizar el explorer y tal muxas gracias a los 2

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 25 Feb 2005, 11:33

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe BLASTER.C VIRUS


Baja esta utilidad y luego intenta actualizar

http://www.zonavirus.com/descargas/elitriip.asp

Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 25 Feb 2005, 11:57

Dado lo indicado mira de lanzar el ELISTARA de hoy, v 5.01 :

http://www.zonavirus.com/descargas/elistara.asp

que es muy posible que ya elimine ficheros y, claves ya conocidas, y tras ello, si persiste el problema, lance de nuevo el HJT indicado por Maura63 y compruebe si todavía hay la clave:

O2 - BHO: (no name) - {0B910E65-4CD0-713C-7AEC-596165F29413} - C:\WINDOWS\iejq.dll

si es así, busque el fichero C:\WINDOWS\iejq.dll y nos lo envia a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pègar de este post, y una vez analizado el fichero le indicaremos si borrarlo incluida dicha clave.

Si ya no lo encuentra, es que era gusano conocido y el ELISTARA.EXE ya lo ha eliminado.

NOTA: Hoy hemos tenido dos casos de asociados a nuestro servicio tecnico con el mismo problema, BACKDOOR-BDD, y entre el ELISTARA:EXE y el antivirus en modo seguro se ha solucionado el problema

saludos

ms, 25-02-2005

Responder

Volver a “Foro HijackThis - copia y pega tu log”