Virus Backdoor.IRCBot.gen

Mensaje por **admin** » 10 Abr 2004, 19:02

Prueba con esta utilidad.

http://www.zonavirus.com/descargas/EliSlutA.exe

****************************************

Para ejecutarla, arranque en modo seguro y ejecutela. Si no le detecta el gusano, es que no era este o ya estaba eliminado, pero en cualquier caso no le hará ningún daño.

Si con esto no se soluciona, hazmoslo saber en este mensaje.

¿Como arrancar en modo seguro?

https://foros.zonavirus.com/viewtopic.php?t=49

Nachete · Mensaje por **Nachete** » 11 Abr 2004, 12:54

No ha habido suerte con el EliSlutA.exe y la verdad es que se me empieza a acabar la paciencia con este maldito troyano, no entiendo cómo despues de borrar el archivo con el virus me aparece de nuevo al de un tiempo, por que?

Mensaje por **admin** » 11 Abr 2004, 17:01

A ver otra cosa q he visto.

Mata este proceso sdbotserver.exe y busca y elimina los siguientes ficheros:

heibai.net.txt

sdbot+n-e.txt

sdbotserver.exe

Es el metodo rudimentario

Nachete · Mensaje por **Nachete** » 11 Abr 2004, 18:17

Este gusano no debe ser muy normal porque no tengo ni el proceso ni los archivos que me has comentado que elimine, he buscado en todas partes y nada de nada.

Debo decir que el Kaspersky me detecta realmente 3 virus en estos archivos

C:\WINNT\system32\syncagent.exe Infectado Backdoor.IRCBot.gen

C:\WINNT\system32\ixplores.exe Infectado Backdoor.SdBot.gen

y a veces (aunque muy pocas)

C:\WINNT\system32\musirc4.71.exe Infectado Win32.Parite.b

pero tambien aparece otras veces

C:\WINNT\system32\musirc4.71.exe Infectado Backdoor.IRCBot.gen

No tengo ni idea de qué hacer, en 3 horas el antivirus ha detectado y eliminado 19 archvos infectados que son siempre los mismos

C:\WINNT\system32\musirc4.71.exe

C:\WINNT\system32\syncagent.exe

C:\WINNT\system32\ixplores.exe

Creo que estoy protegido porque tengo el Zone Alarm instalado para evitar accesos externos aunque no se si funciona muy bien, espero que si, si se te ocurren más ideas comentamelo, te agradezco la ayuda aunque no haya sido muy fructifera de momento.

Gracias y un saludo

Mensaje por **admin** » 11 Abr 2004, 18:27

Hazme una lista de todos los procesos que tienes arrancados y vamos a ver y filtrar los comunes y eliminar lo q no nos sirven

Mensaje por **cañera** » 11 Abr 2004, 18:29

pasa el elistuta en a modo prueba de errores desactivando restaurar sistema y ya puestos le pasas tu antivirus actualizado de la misma manera;

inicio/panel de control/sistema/restaurar sistema lo desactivas y aceptas,reinicias y pulsas repetidas veces F8 hasta salirte una pantalla diferente a la habitual y es donde elijes la opcion modo seguro o modo prueba de errores.

cuentanos como te fue.

Nachete · Mensaje por **Nachete** » 12 Abr 2004, 00:15

Habia pasado el elisluta.exe en a modo de prueba de errores y nada de nada.

Listado de procesos:

avpcc.exe

avpcc.exe

avpm.exe

csrss.exe

Explorer.EXE

fppdis2a.exe

iexplore.exe

jusched.exe

lsass.exe

MsnMsgr.Exe

MSTask.exe

nvsvc32.exe

Proceso inactivo del sistema

regsvc.exe

services.exe

smss.exe

SOUNDMAN.EXE

spoolsv.exe

svchost.exe

svchost.exe

svchost.exe

System

taskmgr.exe

tidslmon.exe

vsmon.exe

winampa.exe

winlogon.exe

WinMgmt.exe

wuauclt.exe

WZQKPICK.EXE

zclient.exe

He pasado el kaspersky, el stinger, el norton y el sophos y na de na, estoy totalmente desesperado.

Mensaje por **admin** » 12 Abr 2004, 01:10

Procesos Sospechosos:

~~[b]~~jusched.exe [/b]

sirve para conectarte con la empresa Sun software que es la creadora de la utilidad Java. Por tanto no es malo ni nada, pero tampoco es necesario que ese proceso esté en marcha. (SOBRA)

~~[b]~~fppdis2a.exe[/b]

Proceso absolutamente esencial para el software pdfFactory

~~[b]~~nvsvc32.exe[/b] (posible infectado el virus YAHA o Agobot)

NVIDIA Driver Helper Service, se instala con los drives de nvidia (SOBRA)

~~[b]~~regsvc.exe[/b]

Remote Registry Service, Parte de Windows, permite acceder al registro remotamente (SOBRA)

~~[b]~~SOUNDMAN.exe[/b]

Pertenecen a los drives de tu tarjeta de sonido que llevas integrada en la placa.

~~[b]~~tidslmon.exe[/b]

Este proceso es del Kit USB de Telefonica

~~[b]~~vsmon.exe[/b] (posible infectado por el virus YAHA o Agobot o Troj/Backdoor Helios)

y despues de lo visto , no sigo poniendo los procesos, por q los virus que te comento, modifican e infectan esos ficheros y alguno mas, con lo consiguiente te recomiendo que le pases varios antivirus on-line y nos digas que resultados te ha dado para contrastarlos con los virus que te comento o si es alguna de sus variantes, para saber si tendrias que instalar de nuevo las aplicaciones o que cosa hacer...........

· Lista de antivirus online gratis

http://www.zonavirus.com/Antivirus_on_line.asp

Mensaje por **msc hotline sat** » 13 Abr 2004, 12:44

El IRCBOT es una variante comprimida con UPX de la familia del SDBOT, que crea un gusano en :

c:\windows\system\RPCX1sq23.exe

el cual llama en dos claves del registro de sistema, desde RUN y RUNSERVICES en HKLM... que tienen de valor windowsupdate.

Vamos a implementar al ELISLUTA.EXE el control y eliminacion de esta variante, y la subiremos hoy mismo a esta web. Será la versión 3.0 del ELISLUTA:

http://www.zonavirus.com/descargas/EliSlutA.exe

Bajalo y prueba de nuevo. Si no te lo detecta y elimina, envianos el fichero que te detecte el antivirus como infectado a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post.

saludos

ms, 13-04-2004

Mensaje por **msc hotline sat** » 14 Abr 2004, 11:52

Ya disponible la v 3.0 del ELISLUTA.EXE para control de la variante indicada del SDBOT que es controlada como IRCBOT, segun indicado en anterior post.

En cuanto esté disponible el nuevo DNS de uploads, lo subiremos a esta web.

saludos

ms, 14-04-2004