Backdoor Trojan BDD.

  • Autor Faust
  • Fecha de inicio
Estado
Cerrado para nuevas respuestas
F

Faust

Guest
#1
Hola... recién me registré aquí, espero que puedan ayudarme con esta cosa proque realmente me está matando.

El nombre del virus (o lo que sea, como verán sé muy poco sobre estas cosas) es Backdoor Trojan BDD.

Y... mmm... bueno, copiaré a continuación el log porque lo estuve analizando y realmente no entendí un carajo. u_u'

Logfile of HijackThis v1.98.2

Scan saved at 03:24:01 p.m., on 15/01/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Tutopia Extremo\propelac.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

D:\Programs\Musicmatch\Musicmatch Jukebox\mmtask.exe

D:\Programs\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\DOCUME~1\Faust\CONFIG~1\Temp\19.tmp.exe

C:\Program Files\DeskAd Service\DeskAdServ.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\Program Files\DeskAd Service\DeskAdKeep.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\ClockSync\Sync.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Programs\Soulseek\slsk.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Faust\Mis documentos\Unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {0322B482-424F-59AD-B6ED-18E084759480} - C:\WINDOWS\d3xt32.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [VAIOSurvey] C:\Archivos de programa\Sony\VAIO Survey\LASurvey.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [VAIO Recovery] C:\WINDOWS\Sonysys\VAIO Recovery\PartSeal.exe

O4 - HKLM\..\Run: [WhenUSave] C:\ARCHIV~1\Save\Save.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [BullsEye Network] C:\Archivos de programa\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [Propel Accelerator] "C:\Archivos de programa\Tutopia Extremo\propelac.exe"

O4 - HKLM\..\Run: [QuickFinder Scheduler] "D:\Programs\WordPerfect Office 11\Programs\QFSCHD110.EXE"

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

O4 - HKLM\..\Run: [mmtask] D:\Programs\Musicmatch\Musicmatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [Ulead AutoDetector] D:\Programs\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [WhenUSearch] "C:\Archivos de programa\WhenUSearch\Search.exe"

O4 - HKLM\..\Run: [19.tmp] C:\DOCUME~1\Faust\CONFIG~1\Temp\19.tmp.exe 0 10001

O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKDetct.exe /startup

O4 - HKLM\..\Run: [19.tmp.exe] C:\DOCUME~1\Faust\CONFIG~1\Temp\19.tmp.exe 0 10001

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [ClockSync] C:\Archivos de programa\ClockSync\Sync.exe /q

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\CalibAdobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Programs\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NewShortcut1.lnk = ?

O8 - Extra context menu item: Download with GetRight - C:\ARCHIV~1\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\Programs\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\ARCHIV~1\GetRight\GRbrowse.htm

O8 - Extra context menu item: Permitir pop-ups desde este sitio - C:\Archivos de programa\Tutopia Extremo\pac-addwl.html

O8 - Extra context menu item: Refres&car imagen con calidad total - C:\Archivos de programa\Tutopia Extremo\pac-image.html

O8 - Extra context menu item: Refrescar pá&gina con calidad total - C:\Archivos de programa\Tutopia Extremo\pac-page.html

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programs\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programs\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra button: Corel Network monitor worker - {56B87F42-679D-49ED-BDD4-833DA37B8350} - (no file)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {56B87F42-679D-49ED-BDD4-833DA37B8350} - (no file)

O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programs\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programs\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Corel Network monitor worker - {56B87F42-679D-49ED-BDD4-833DA37B8350} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {56B87F42-679D-49ED-BDD4-833DA37B8350} - (no file) (HKCU)

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.sony-latin.com/vaio/info

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: http://www.gothicfuneral.net

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/clients/y/at1_x.cab

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab

O16 - DPF: Yahoo! Chinese Checkers - http://download.games.yahoo.com/games/clients/y/cct0_x.cab

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c7.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {DD86AC17-BF44-431F-BA3E-923388D0F7EA} (RemoteCfg Class) - http://www.tutopia.com/access/friendly/BothSmall.CAB

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

Bueno, de antemano les agradezco su ayuda... nos vemos.
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola,

Por favor, bájate el HijackThis 1.99.0 y sobrescribe tu version

si dispones de un punto de restauración anterior a los problemas deberías intentar usarlo y después tomar otro log, es la única manera segura y la más rápida de solucionar el problema. Si no dispones de un punto de restauración sigue las siguientes instrucciones:

bájate e instala el Disk Cleaner

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Como mostrar archivos ocultos

Desactiva la opción de restaurar el sistema

Como activar/desactivar restaurar el sistema

Ejecuta el HJT 1.99.0 >> open the misc tools section >> delete a file on reboot >> selecciona uno a la vez estos archivos:

C:\WINDOWS\system32\pbtum.dll

C:\WINDOWS\d3xt32.dll

Acepta y reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Ejecuta el HijackThis 1.99.0.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pbtum.dll/sp.html#12345

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {0322B482-424F-59AD-B6ED-18E084759480} - C:\WINDOWS\d3xt32.dll

O4 - HKLM\..\Run: [WhenUSave] C:\ARCHIV~1\Save\Save.exe

O4 - HKLM\..\Run: [BullsEye Network] C:\Archivos de programa\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [WhenUSearch] "C:\Archivos de programa\WhenUSearch\Search.exe"

O4 - HKLM\..\Run: [19.tmp] C:\DOCUME~1\Faust\CONFIG~1\Temp\19.tmp.exe 0 10001

O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe

O4 - HKLM\..\Run: [19.tmp.exe] C:\DOCUME~1\Faust\CONFIG~1\Temp\19.tmp.exe 0 10001

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: http://www.gothicfuneral.net

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c7.cab



Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files, Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Elimina estos archivos si todavía existen:

C:\Documents and Settings\Faust\configuracion local\Temp\19.tmp.exe

Elimina estas carpetas y todo su contenido si todavía existen:

C:\Archivos de programa\Save\

C:\Archivos de programa\BullsEye Network\

C:\Archivos de programa\WhenUSearch\

C:\Program Files\DeskAd Service\

Limpia la papelera.

Reinicia y reactiva la opción de restaurar el sistema.

Instala la ultima versión de Ad Aware SE, actualízalo y escanéate para que termine de limpiar.

Actualiza tu sistema a través del Windows Update y bájate todas las actualizaciones críticas disponibles para tu sistema operativo.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie