Mi computadora esta infectada por Backdoor.Win3(SOLUCIONADO)

[CarlaI]

[b][size=150]Hola! oajalá puedan a yudarme con este virus, hice un análisis y apareció ese nombre, el problema que presenta mi computadora es que no me deja entrar a internet, por que hay una clave que no lo permite, tengo que quitarla para poder abrir una pagina, gracias por la atención y este es el análisis que hice:[/size][/b]





lunes, 05 de mayo de 2008 0:15:49

Sistema operativo: Microsoft Windows XP Professional, (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 4/05/2008

Registros en la base antivirus: 662101





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\



Estadísticas

Número de objeros analizados 60277

Virus encontrados 1

Objetos infectados 1 / 0

Objetos sospechosos 0

Duración del análisis 01:18:03



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\maktub_16@hotmail.com\real\members.stg Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\maktub_16@hotmail.com\shadow\members.stg Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Historial\History.IE5\MSHist012008050420080505\index.dat Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Temp\~DF3DDA.tmp Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Temp\~DF3DDF.tmp Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Temp\~DF470B.tmp Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Temp\~DF4710.tmp Object is locked saltado



C:\Documents and Settings\Marisol\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Marisol\Mis documentos\Mis archivos recibidos\lcapi0.log Object is locked saltado



C:\Documents and Settings\Marisol\Mis documentos\Mis archivos recibidos\MsnMsgr.txt Object is locked saltado



C:\Documents and Settings\Marisol\Mis documentos\Mis archivos recibidos\Transport0.log Object is locked saltado



C:\Documents and Settings\Marisol\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Marisol\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\Muestras\WINMEDIA.EXE.Muestra EliTriIP v4.67 Infectados: Backdoor.Win32.VB.ccn saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



Análisis completado.

[msc hotline sat]

Pues, como ya te debe indicar el C:\infosat.txt, envianos este fichero para analizar:



C:\Muestras\WINMEDIA.EXE.Muestra EliTriIP v4.67 Infectados: Backdoor.Win32.VB.ccn saltado



recuerda:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 6-5-2008

[CarlaI]

[b][size=150]Perdon pero no se en donde esta ese fichero o como hacerle, en el infosat no aparece, o de donde tengo que buscarlo y mandarlo??[/size][/b]

[msc hotline sat]

Como se te indica, está en C:\muestras\



C:\Muestras\WINMEDIA.EXE.Muestra EliTriIP v4.67 Infectados: Backdoor.Win32.VB.ccn saltado



saludos



ms.

[CarlaI]

[size=150]No puedo enviar el fichero, por que no tengo la opcion o no se donde pueda estar para ponerle contraseña al zip, y no me dejan mandarlo por e-mail, ojalà pudieran ayudarme a poder mandar este fichero, gracias.[/size]

[msc hotline sat]

Pues siga las detalladas instrucciones que da flacoroo en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=24875



saludos



ms, 26-05-2008

[CarlaI]

[size=150]Ok, no tengo esa opcion de winzip, solo de carpeta comprimida, no puedo enviarla asi, no me dejan!ç[/size]

[Marysol]

[size=150]Mi computadora se puso como loca a abrir paginas de internet explorer!!! tuve que apagarla por que no se le quitaba!!, y no puedo mandar la muestra!!! que puedo hacer!![/size]

[msc hotline sat]

Primero arranca en modo segur0 , en dicho modo empaquetas el fichero indicado con password VIRUS (desde opciones avanzadas) y una vez empaquetado, arrancando en modo normal o desde otro ordenador, nos envias dicho fichero



saludos



ms, 28-05-2008

[CarlaI]

Lo siento, pero no puedo empaquetar la carpeta y no puedo enviarla, no aparece esa opción!!! ayudenme!!

[koga]

Pues estamos suponiendo que tiene instalado Winzip o Winrar para comprimir, si tiene Winzip siguiendo los pasos detallados pro flacoroo deberia poder hacerlo sin problemas (fijese de star siguiendo correctamente los pasos) si por otra parte tiene winrar, debe hacer click con el boton derecho del mouse sobre el archivo a comprimir, elegir la opcion [b]Añadir al archivo...[/b](o add to file...) al presionarlo aparecera una ventana en la pestaña General, debera elegir la pestaña [b]Avanzado[/b] y hacer click donde dice [b]Establecer contraseña[/b], escribe la contraseña (virus) la repite y luego le da aceptar, deberia crearse el archivo comprimido y con contraseña en la misma carpeta y con el mismo nombre que tenia el archivo original.







Saludos.

[CarlaI]

Pero no tengo instalado winzip o winrar, supomgo que es por eso , pero que puedo hacer?

[lucl]

Pues muy facil ve a



http://www.winrar.es



y descargatelo , lo instalas en el pc y luego vas al archivo que nos interesa, pones el cursor del raton y clickas con el boton derecho, te saldran unos iconos como de libritos , le das a añadir al archivo te saldra una ventana que te pone general, buscas la pestaña de avanzado y le das a poner contraseña , escribes la palabra VIRUS y luego la repites y le das a aplicar y entonces se te generara el archivo con el mismo nombre del que quieres enviar. Y es este con forma de librito el que debes enviar, nos cuentas si pudiste. Saludos

[CarlaI]

[size=150]Muy bien, ya pude enviar el fichero!! gracias por su ayuda!![/size]

[lucl]

Si lo enviaste esta tarde estate atenta a tu post mañana que te diran algo sobre el envio , saludos

[msc hotline sat]

Lo veremos en unas 4 horas, cuando entremos a trabajar en SATINFO



Si se ha recibido, hoy mismo trataremos de analizarlo y monitorizarlo, tras lo cual implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 4-6-2008

[msc hotline sat]

Recibda la muestra, resulta ser un backdoor que paasamos a controlar con el ELITRIIP 4.77 de hoy



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus




[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



saludos



ms, 4-06-2008

[CarlaI]

[size=150]Este es el informe:[/size]

Thu Jun 05 14:32:38 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu Jun 05 14:32:44 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\WINMEDIA.EXE.Muestra EliTriIP v4.67 --> Eliminado, Backdoor.VB.CCI



Nº Total de Directorios: 5442

Nº Total de Ficheros: 63414

Nº de Ficheros Analizados: 15623

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Jun 05 14:41:56 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 7

Nº Total de Ficheros: 31

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jun 05 14:42:07 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jun 05 14:42:12 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Jun 05 14:42:15 2008

EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[CarlaI]

[size=150]Pero aun está la carpeta de winrar con el fichero que mande, también tiene que eliminarse?[/size]

[lucl]

Si ya puedes eliminarla puesto que ya el elitriip te quito el backdoor y dinos si ya va bien tu pc para poder cerrar el tema si fuera el caso, saludos

[CarlaI]

[size=150]Volví a analizar mi computadora y apareció otro virus que no había aparecido antes, este es el informe:[/size]



KASPERSKY ONLINE SCANNER INFORME

jueves, 05 de junio de 2008 17:46:11

Sistema operativo: Microsoft Windows XP Professional, (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 5/06/2008

Registros en la base antivirus: 739953





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\



Estadísticas

Número de objeros analizados 63184

Virus encontrados 1

Objetos infectados 1 / 0

Objetos sospechosos 0

Duración del análisis 01:22:01



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\maktub_16@hotmail.com\real\members.stg Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\maktub_16@hotmail.com\shadow\members.stg Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Historial\History.IE5\MSHist012008060520080606\index.dat Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Temp\~DF93C0.tmp Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Temp\~DF93C5.tmp Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Temp\~DF9DA3.tmp Object is locked saltado



C:\Documents and Settings\Marisol\Configuración local\Temp\~DF9DAC.tmp Object is locked saltado



C:\Documents and Settings\Marisol\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\Marisol\Mis documentos\Mis archivos recibidos\lcapi0.log Object is locked saltado



C:\Documents and Settings\Marisol\Mis documentos\Mis archivos recibidos\MsnMsgr.txt Object is locked saltado



C:\Documents and Settings\Marisol\Mis documentos\Mis archivos recibidos\Transport0.log Object is locked saltado



C:\Documents and Settings\Marisol\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\Marisol\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\Marisol\UserData\index.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\RECYCLER\S-1-5-21-436374069-299502267-725345543-1004\Dc42.EXE Infectados: Trojan-Downloader.Win32.IstBar.ud saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



Análisis completado.

[lucl]

Vacia la papelera de reciclaje, y listo, saludos

[CarlaI]

[size=150]Ya la vacié, pero hay una carpeta con ese nombre recycler, traté de eliminarla pero no se pudo, dice que sdenegó el acceso, como puedo eliminarla?[/size]

[lucl]

No no, no debes eliminar la carpeta recycler, si no tan solo vaciar la papelera. La carpeta es fidedigna de windows y no debes quitarla porque tendras problemas. Pasa de nuevo el online y veras como ya no te aparece el virus que viste, saludos

[CarlaI]

[size=150]Bueno, pues creo que ya no hay virus!!! muchisimas gracias, de verdad, por ayudarme a deshacerme de estos virus, es un excelente foro, espero que sigan así, por que de verdad es una gran ayuda!!,muchas, muchas gracias!!!!!! y felicicdades por el foro!!! hasta pronto, que tengan un buen dia!!![/size]