Cómo eliminar Back Orifice 2000 (SOLUCIONADO)

[CoRVo]

Hola. Estoy desesperado. No se cómo (pq cuando entró no estaba haciendo nada raro) me ha entrado un troyano. El norton me salta con una ventanita que dice que bloquea el intento de intrusión y tal...me da sus datos y de ahí se que es este virus:



Back Orifice 2000



He estado leyendo sobre él por la web y me ha entrado un poco de miedo...



El caso es que ningún manual para eliminarlo me vale...pq los nombre no coinciden, lo puertos no coinciden, el peso del archivo...en fin, no lo encuentro por ningún lado.



He probado el PER antiviruso, Ad-Aware, Spybot...mi norton (es el antivirus que uso)...etc y ningún anti troyanos lo localiza.



El colmo ha sido cuando esta mañana, tras toda la noche el ordenador encendido...noto que la ventanita de bloqueo de intrusion llevaba un tiempo sin salir (antes salía cada 5 minutos). Miro y resulta que el norton tiene la proteccion desactivada!!!...yo no se cómo se ha puesto así pq yo no he sido...lo único que se me ocurre es que el Hacker está usando el virus y la ha desactivado él.



Necesito una solución para no tener que formatear...tengo mucha información y sería un gran fastidio...formatear siendo el último recurso:



¿Me podéis ayudar?...¿Cómo lo encuentro?... ¿Cómo lo borro?



Sois mi última esperanza.



Muchísimas gracias por vuestra atención...espero a ver que me decís con ansia y desesperación :cry:



Un saludo!



CoRVo^^

[msc hotline sat]

Prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





y tras reiniciar, nos posteas el contenido de C:\INFOSAT;TXT, gracias



saludos



ms. 24-8-2006

[CoRVo]

[quote="msc hotline sat"]Prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





y tras reiniciar, nos posteas el contenido de C:\INFOSAT;TXT, gracias



saludos



ms. 24-8-2006[/quote]

DIOS! Qué maravilla! que velocidad de respuesta! Muchísimas gracias por atenderme. A ver, al lío:



Paso el ELISARA por C:\ y el resultado es que detecta 2 archivos infectados y los elimina...pero yo creo que no son los que me están provocando el problema, aunq no se...estaba escribiendo sus nombre cuando le he dado de nuevo al ELISARA sin querer y se me ha cerrado el IE...se han borrado los nombres de los archivos que ha eliminado pero se que eran:



Un archivo .DLL que decía que era un "hotbar (dropper)"

y otro era un .EXE de un programita que bajé hace meses pero no recuerdo que decía que era...voy a pasar de nuevo el ELISARA, pero si ya lo ha eliminado no se si saldrá de nuevo.



De todas formas, el NORTON decía que el virus era el BACK ORIFICE 2000 y ha surgido el problema hace 2 días, cuando el programita lo baje hace como 4 meses.



Paso de nuevo el ELISARA por si acaso, pero si con estos datos es suficiente espero una respuesta.



Por ahora los únicos síntomas son:



- Norton bloquea intento de intrusion y dice que es Back orifice 2000...salta esta ventanita cada 5 minutos mas o menos



- Anoche se me desconecta la autoprotección del Norton ella sola y hoy ya no me salta ni una sola vez la ventanita de bloqueado intento de intrusion... :?:



Muchas gracias por todo!!



^^

[CoRVo]

Vale! perdon por el doble posteo pero no se puede editar y ya he pillado lo que me pedías. Es esto:





Thu Aug 24 11:46:41 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Aug 24 11:48:47 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\FABIO\PRoGRaMaS\INSTALADOR_CALCULOGAMETRO.EXE --> Eliminado, Bifrose (dropper)

C:\FABIO\PRoGRaMaS\XP CODEC PACK 1.3.3.EXE --> AutoExtraible

C:\FABIO\PRoGRaMaS\Kapersky antivirus\KAPERSKY ANTIVIRUS 5.0.227 ESPAñOL.EXE --> AutoExtraible



Thu Aug 24 11:58:10 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\FABIO\PRoGRaMaS\XP CODEC PACK 1.3.3.EXE --> AutoExtraible

C:\FABIO\PRoGRaMaS\Kapersky antivirus\KAPERSKY ANTIVIRUS 5.0.227 ESPAñOL.EXE --> AutoExtraible

[msc hotline sat]

NO me parece suficiente, a pesar de que te has cargado un Bifrose



Ahora prueba el ELITRIIP.EXE y luego nos posteas de nuevo el contenido del infosat, gracias





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





saludos



ms 24-8-2006

[CoRVo]

Dicho y hecho...desgraciadamente, en la ventanita no ha aparecido ningún virus detectado...eso sí, al ppio cuando he iniciado el programa me ha preguntado si quería bloquear no se que intento de intrusión...le he dado a que sí, por supuestO.



Otra cosa es que los estoy pasando con todo cerrado menos el NORTON...pq me da miedo quedarme sin proteccion aún si sólo es mientras paso el elitriip...el norton estará impidiendo el buen funcionamiento del elitriip?



Bueno, el TXT:





Thu Aug 24 11:46:41 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Aug 24 11:48:47 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\FABIO\PRoGRaMaS\INSTALADOR_CALCULOGAMETRO.EXE --> Eliminado, Bifrose (dropper)

C:\FABIO\PRoGRaMaS\XP CODEC PACK 1.3.3.EXE --> AutoExtraible

C:\FABIO\PRoGRaMaS\Kapersky antivirus\KAPERSKY ANTIVIRUS 5.0.227 ESPAñOL.EXE --> AutoExtraible



Thu Aug 24 11:58:10 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\FABIO\PRoGRaMaS\XP CODEC PACK 1.3.3.EXE --> AutoExtraible

C:\FABIO\PRoGRaMaS\Kapersky antivirus\KAPERSKY ANTIVIRUS 5.0.227 ESPAñOL.EXE --> AutoExtraible



Thu Aug 24 12:05:16 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Aug 24 12:05:39 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Aug 24 12:06:10 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\FABIO\PRoGRaMaS\XP CODEC PACK 1.3.3.EXE --> AutoExtraible

C:\FABIO\PRoGRaMaS\Kapersky antivirus\KAPERSKY ANTIVIRUS 5.0.227 ESPAñOL.EXE --> AutoExtraible





La última info es de las 12:06 y el elitriip lo he pasado a las 12:40 así que no ha añadido nada de nada...que puedo hacer??



muchísimas gracias...se resuelva esto al final o no...este foro es genial!



^^

[msc hotline sat]

Releyendo sus posts veo que dice:



- Norton bloquea intento de intrusion y dice que es Back orifice 2000...salta esta ventanita cada 5 minutos mas o menos





Si es asi, no llegó a entrarle el virus y no lo vamos a encontrar :lol:



De todas formas arranque en modo seguro, desactive la restauraciomn de sistema y lance el antivirus de su ordenador, y si lo detecta, podrá eliminarlo



Comentenos sus progresos, gracias



saludos



ms 24-8-2006



Nota: Compruebe que tras reiniciar, el AV quede residente, sino desinstalelo y reinstalelo de nuevo

[CoRVo]

[quote="msc hotline sat"]Releyendo sus posts veo que dice:



- Norton bloquea intento de intrusion y dice que es Back orifice 2000...salta esta ventanita cada 5 minutos mas o menos





Si es asi, no llegó a entrarle el virus y no lo vamos a encontrar :lol:



De todas formas arranque en modo seguro, desactive la restauraciomn de sistema y lance el antivirus de su ordenador, y si lo detecta, podrá eliminarlo



Comentenos sus progresos, gracias



saludos



ms 24-8-2006



Nota: Compruebe que tras reiniciar, el AV quede residente, sino desinstalelo y reinstalelo de nuevo[/quote]

Exacto! lo bloqueaba ayer...pero esta noche de alguna manera se desactivo sola la protección del antivirus...no se cómo. Hoy ya no me aparece más la ventanita...ayer aparecía cada 5 minutos y hoy no aparece...no se si es pq:



a) el virus ha entrado



b) el virus ya no está...aunque no lo he eliminado yo



Y por otro lado el ELITRIIP.EXE me dice al iniciarse que si quiero bloquear un intento de intrusión TCP445...con lo cuál parece ser que hay algo ahí.



Aunque ya hice ayer lo de poner modo seguro y pasar el NORTON, lo voy a hacer de nuevo. En unas horas pondré aquí los resultados...aunque mucho me temo que serán los mismos de ayer: negativos.



No entiendo esto:

"Nota: Compruebe que tras reiniciar, el AV quede residente, sino desinstalelo y reinstalelo de nuevo"



¿Residente? como puedo comprobar eso?...aunq no puedo reinstalarlo porque no tengo el CD (me lo instaló un informático y se lo llevó) así que igualmente...



Voy a hacer el escaneo...volveré con el resultado.



Me repito, pero: Muchísimas gracias, en serio.





^^

[msc hotline sat]

Pues tras escanear y eliminar lo que detectes, reinicia y prueba el test del EICAR y asi sabras si estas porotegida:





http://www.vsantivirus.com/eicar-test.htm



saludos



ms, 24-8-2006

[CoRVo]

bueno, he hecho todo y no ha encontrado nada.



Al reiniciar el Norton se inició con la protección desactivada...no se por qué...eso puede significar algo?



Yo lo que he hecho es activarlo de nuevo...pero ya me quedo preocupado por si no me está protegiendo...



El test lo tengo que hacer tras reactivarlo o tal y como se inicio con el PC (Es decir, desactivado).



EDIT: he hecho el test tras reactivar el NORTON y lo ha detectado todo...



Bueno, eso me aclarará si me protege el antivirus o no...pero, que hago con el Trojan Back Orifice 2000? y...pq al reiniciar el PC desde modo seguro el NORTON se inició desactivado?



^^

[msc hotline sat]

Reinicie el ordenador y vea si tal cual arranca le controla el Test o no, y nos lo comenta



Y por otro lado vea si lanzando el antivirus le detecta o no el BO, y nos informa de todo ello, gracias



saludos



ms, 24-8-2006

[CoRVo]

[quote="msc hotline sat"]Reinicie el ordenador y vea si tal cual arranca le controla el Test o no, y nos lo comenta



Y por otro lado vea si lanzando el antivirus le detecta o no el BO, y nos informa de todo ello, gracias



saludos



ms, 24-8-2006[/quote]

al reiniciar dps de modo seguro no lo detecta pq está desactivado de inicio el NORTON...no se pq.



Dps, yo le doy a activar auto-protect y entonces el test lo pasa normal y lo detecta todo.



La verdad...puede que durante el proceso que hemos seguido, o en algo que yo hiciera haya borrado el virus? pq ya no sale la ventanita de bloqueado intento de intrusion.



Por otro lado, como debes saber, el Back orifice no causa daños por sí mismo, si no que no hace más que dejar un puerto abierto y quedarse listening para que el cliente pueda entrar en mi ordenador y hacer ya....pues casi lo que quiera...por eso, lo mismo lo tengo dentro y no hace nada...o lo mismo lo conseguí borrar.



Como podría saberlo?



^^

[msc hotline sat]

Lanzando un escaneo con tu antivirus o con uno ONLINE:



[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]





Pero no creo que lo tengas, mas bien evitaste la intrusion... pero compruebalo



Y los backdoors son peligrosos al ofrecer el control remoto al hacker del otro lado





Lo que tienes que conseguir es que se active el residente protector tras arrancar windows, automaticamente, de lo contrario no estarias protegido



saludos



ms, 24-8-2006

[CoRVo]

[quote="msc hotline sat"]
Lo que tienes que conseguir es que se active el residente protector tras arrancar windows, automaticamente, de lo contrario no estarias protegido



saludos



ms, 24-8-2006[/quote]

EXACTO



Estoy totalmente de acuerdo en que el problema ahora es ese.



Explico mi situación a ver qué soluciones podéis o puedes proponerme:



El norton tiene un icono amarillo en la barra de inicio que está normal si el auto protect está activado. Si no lo está aparece una aspa roja y blanca sobre el símbolo, señal de q la protección automática está desactivada. En las opciones tengo puesto que se inicie el auto protect al iniciar windows y hasta ahora siempre lo ha hecho.



El virus o el hacker o lo que sea ha debido cambiar algo...pq ahora, al reiniciar apararece el NORTON con el aspa de no auto protect...pero si miro en opciones, siguen estando bien (autoprotect al iniciarse)...esto pasa desde anoche, es decir, unas 24 horas dps del primer aviso de bloqueo de intrusión. Y, casualmente, también coincide con el momento en que las ventanas de bloqueo de intrusión han dejado de aparecer.



Mis dudas:



¿Esto es que me ha entrado el Back orifice definitivamente?



¿Cómo puedo hacer que el NORTON vuelva a activarse al inicio de windows?



En definitiva, ¿Qué puedo hacer?





Muchas gracias por todo!!



^^

[CoRVo]

NOTA: las ventanitas del Norton diciendo: "Bloqueo de intento de intrusión" han vuelto.... :(

[msc hotline sat]

Y asi será hasta que los ordenadores remotos que le intentan infectar, sigan infectados o Vd cambie de rango de IP



Como que no va a cambiarse por eso de ISP, otra solucion es pomer un cortafuegos, que yo le recomiendo por hardware, pero hasta uno de soft como el Zone Alarm le sirve, o aguantar los intentos de intrusion, pero eso si, protegido con el antivirus residente,. sino le entrarña el bicho!



Y si su antivirus no le queda residente, o lo desinstala y reinstala de nuevo o instala otro !



Pero le indiqué que lanzara el antivirus ONLINE y nos informara, y no nos dice nada ???





saludos



ms, 25-8-2006

[CoRVo]

Disculpa! la verdad es que se me olvidó postearla pq el resultado fue este:



Resultados de la exploración Exploración completada. 76243 archivos explorados. No se han encontrado virus.





He probado a encender y apagar el ordenador, y en general el NORTON sí se activa al iniciarlo...sin embargo, cuando lo reinicio, a veces (no siempre) no se activa al inicio y tengo que seleccionar yo "activar auto protect"



Hoy sólo ha saltado la ventana de Bloqueo de intrusión una vez...esta aleatoriedad no se si se debe a que a veces entra y a veces no, o a que sólo lo intenta a veces...[b]¿Qué puede ser?[/b]



A parte, [b]me gustaría que me aclarase que significa que el antivirus "quede residente"[/b]



En fin, me gustaría saber su opinión y que me contestara a esas dos cuestiones.



Muchísimas gracias por su atención y siento las molestias de este topic tan largo... :oops:



^^

[msc hotline sat]

Está claro que solo ba a intentar entrar cuando la máquina remota infectada que te envía el gusano está en marcha, y no siempre el usuario de la misma, que probablemente no sabe que tiene este virus, como hubiera sido tu caso si no te hubiera avisado el antivirusm tiene el ordenador en marcha...



Un programa está residente cuando está avyino en memoria, ocupando CPU, mientras que otros se ejecutan, hacen su accion y tras ello la CPU se olvida de ellos, como por ejemplo un escaneo, que terminado el mismo no permanece en memoria, a diferencia de un shield o protector, que una vez lanzando se mantiene activo hasta que se cierra el ordenador o se desactiva expresamente-



Es la diferencia entre tirar un tiro o pescar con red, lo primero se acaba pronto, mientras que lo segundo permanece "residente"



y considerando solucionado el problema, procedemos a cerrar el Tema.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 25-8-2006