TroYano IRC/SdBot (SOLUCIONADO)

[mercheraspi]

Hola



Mi antivirus (NOD 32) me ha detectado el troyano IRC/SdBot



Me pone que está en la memoria operativa y que no se puede eliminar.

No tengo ni idea de cómo ha entrado, ha sido de repente.

Lo sitúa en c:\windows\system\explorer.exe



Por el momento no veo que de ningún error, pero no lo se tampoco, ha suceido d repente esta tarde.

[lucl]

desactiva restaurar sistema y lanza tu antivirus, deberia poder limpiarlo, para ir a restaurar sistema ve a

inicio----todos los programas----accesorios---herramientas---restaurar sistema y alli la desactivas, pasa el antivirus, y a ver si lo elimina, nos cuentas... saludos

[mercheraspi]

El antivirus no es capaz de quitarlo, lo reconoce pero no puede quitarlo.

[Nuker]

Entra en modo seguro y ejecuta Elitriip, al terminar regresa a modo normal y busca en Unidad C, un log con el nombre infoSat.txt abrelo copia contenido y pegalo aqui. Gracias.



http://www.zonavirus.com/descargas/elitriip.asp



Saludos.

[mercheraspi]

Ya he hecho lo que me has dicho. Este es el informe.



Sun Jun 03 20:32:08 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Jun 03 20:33:53 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Tue Jun 05 22:39:22 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jun 05 22:40:35 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Wed Jun 06 16:09:19 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Jun 06 16:09:31 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Jun 07 00:17:18 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE



Thu Jun 07 00:17:31 2007

EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Sep 21 00:22:49 2007

EliTriIP v3.90 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Fri Sep 21 00:23:35 2007

EliTriIP v3.90 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[mercheraspi]

He heco también varias actualizaciones de seguridad de windows xp

[Nuker]

Enviales ese explorer.exe, pero no lo confundas con el original que esta en system32. Envialo como te informan aqui. Y espera a la actualizacion del EliTriip.



Como Enviar:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Cuidado Nuker, no desafines :wink: , el EXPLORER.EXE original del sistema no se copia en ...\SYSTEM32, que si cuelga de la de %WINDIR% , es la carpeta de sistema, C:\WINDOWS\SYSTEM32\ para el XP, sino simplemente en la carpeta del %WINDIR%, esto es, en C:\WINDOWS\ para el XP



Bueno, aclarado esto, el que nos tienes que enviar es el que dices que detecta NOD32 en esta otra carpeta C:\WINDOWS\SYSTEM\ , que es una tercera carpeta para liar mas la cosa :wink:



Pues este fichero debe ser la nueva variante del SDBOT, virus de IRC cuyas últimas variantes han sido propagadas a través del messenger en las dichosas "fotos" contactos del MSN.



Como bien indica Nuker, envianos dicho fichero como se indica en:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 21-09-2007

[mercheraspi]

Perdonar pero me he perdido un poco. Después de psar el Elitrip, el Nod no me lo detecta ya.

La verdad es que no se seguro si está, pero tampoco se como comprobarlo si no es con el NOD.



Si he de hacer algo más decidme como por favor, porque ando un poco perdida en este punto.

[msc hotline sat]

Pues si no lo encuentra en c:\windows\system\explorer.exe ni en carpeta c:\muestras m ni lo detecta ya con su antivirus, entendemos que con todo lo realizado ha sido eliminado, a pesar de que costó lo suyo ... :wink:



Damos por solucionado el Te,ma y lo cerramos, pero si le volvioera a pasar , lo primero envienos dicho fichero conforme indicado y tras analizarlo, implementariamos su control y eliminaicon en nuestras utilidades, de lo cual informariamos en el foro.



saludos



ms, 21-09-2007