Sdbot.worm.gen.j y Sdbot.worm.gen.y

alvipi · Mensaje por **alvipi** » 06 Abr 2005, 23:17

Hola a todos:

desde hace unos días tengo problemas, el antivirus me detecta estos virus y dice que los elimina, pero siempre vuelven a salir.Ha llegado un momento que no me deja copiar, pegar, entrar a ciertas págs. web, etc, y lo más importante no me deja descargarme muchos ficheros, ni instalar, ni desinstalar.

Ya no se que hacer!!!

Le pasé el hijackthis y me salió esto:

Logfile of HijackThis v1.99.1

Scan saved at 22:39:14, on 05/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\msdtc.exe

C:\MSSQL7\binn\sqlservr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\ARCHIV~1\LAUNCH~1\CPLBCL53.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\MSSQL7\Binn\sqlmangr.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\MSSQL7\binn\sqlagent.exe

C:\WINDOWS\SYSTEM32\cidaemon.exe

C:\WINDOWS\SYSTEM32\cidaemon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Sandra\CONFIG~1\Temp\Rar$EX00.146\HijackThis.exe

C:\WINDOWS\SYSTEM32\cmd.exe

C:\WINDOWS\SYSTEM32\ftp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ei.upv.es/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\system32\pavdr.exe,C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\CPLBCL53.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Administrador de servicios.lnk = C:\MSSQL7\Binn\sqlmangr.exe

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O4 - Global Startup: Picture Package Menu.lnk = ?

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,84/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096926641842

O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C673E7-065D-4A5B-9AA9-5425F9473655}: NameServer = 194.224.52.36 194.224.52.37

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

Por favor, si alguien sabe algo por favor, ayudarme!!!

GRACIAS

Mensaje por **msc hotline sat** » 07 Abr 2005, 09:31

Ante todo si el problema es detectado por los antivirus, debe solucionarlos con ellos, sin tocar manualmente el registro, además de que con el HJT solo se ve un 1 % del registro de windows, y muchas claves viricas no se ven ni pueden ser eliminadas con él.

Arranque en modo seguro y lance su antivirus en modo de eliminacion.

Además pruebe el ELITRIIP :

http://www.zonavirus.com/descargas/elitriip.asp

sobre la entrada de estos bichos, recuerde que además de las vulnerabilidades del RPCDCOM y LSASS, ya controladas por los parches de microsoft, acostumbran a entrar por comparticiones administartivas, de lo que puede protegerse haceindo caso a lo indicado en:

http://www.satinfo.es/web/2003/comparticions.html

saludos

ms, 7-04-2005