Trojan IRC backDoor.Sdbot.55.AC

Estado
Cerrado para nuevas respuestas

thuNNy

Nuevo Miembro
Miembro
#1
Hola amigos, me encuentro con un gran problema. tengo el Trojan IRC backDoor.Sdbot.55.AC y no se como diablos eliminarlo...le he pasado multitud de antivirus,spyware...incluso online. y no lo borro, el unico que lo detecta es el AVG pero no lo borra...despues de 4 o 5 días decidi volver a instalar windowsXp y nada vuelve a salir el virus...despues me decidi a hacer un FDISK y FORMAT todo desde MSDOS pero ahora el virus no me sale...pero se que sigue ahi ya que mi PC sse sigue bloqueando de la misma forma que antes...necesito ayuda. si alguien quiere que postee un log que me diga que antivirus uso para sacarlo y lo posteo muchas gracias por adelantado...

PD espero tener suerte en este en otros foros no ha habido nada de suerte nadie sabia que hacer...
 
A

Arwing

Guest
#2
Hola, descarga el programa HijackThis de esta misma página, después crea una carpeta especialmente para él, por ejemplo en C:\HijackThis\, luego ejecútalo, presiona Scan y luego Save Log, guarda el archivo, ábrelo con el Bloc de Notas y pega el log aquí.

Por pura curiosidad, ¿en qué otros foros has ido a pedir ayuda?

Arwing
 

thuNNy

Nuevo Miembro
Miembro
#3
Hola amigo. Muchas gracias por adelantado por acudir en mi ayuda. Aqui te posteo el Log del scan realizado a mi PC

Logfile of HijackThis v1.98.2

Scan saved at 15:24:15, on 18/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\AVPersonal\AVGUARD.EXE

C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe

C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Archivos de programa\AVPersonal\AVGNT.EXE

C:\Archivos de programa\Grisoft\AVG6\avgcc32.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HijackThis 1.98.2\HijackThis 1.98.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [AVG_CC] C:\Archivos de programa\Grisoft\AVG6\avgcc32.exe /startup

O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{53040320-A7F4-43EB-9CF6-92CA3F7B059C}: NameServer = 195.235.113.3 195.235.96.90

Bueno pues aquí esta el LOG, a ver si encuetras el maldito malware...si en el supuesto no lo encuentras ¿que lo ocurre a mi PC? antes del formateo del PC se me bloqueaba internet a causa del malware...sin embargo ahora no se hace visible el virus pero se me sigue colgando de la misma forma...(cada 15 min tengo que reiniciar). Gracias

PD ==> Con respecto a tu pregunta sobre los foros...pienso que no es buena idea que publique aquí sus direcciones mas que nada porque no pretendo criticar ningún foro, ya que pienso que alguien se puede dar por aludido. Muchas Gracias de nuevo
 

alnitak

Ex-Admin
Miembro
#4
Ningun troyano resiste el formateo, en tu sistema no hay rastro de malwares ejecutandose, todavia veo que no tienes el SP1 instalado y si tu sistema está registrado legalmente deberías instalarlo cuanto antes al igual que las demas actualizaciónes criticas porque existen muchas vulnerabilidades que has sido solucionadas con el SP1 y parches sucesivos.

Mientras no tengas tu sistema actualizado debes obligatoriamente usar en firewall o te infectarás sin duda con algún gusano, adware o troyano antes o despues.

Si no dispones de un firewall activa el de XP aunque no es lo mas seguro que he visto y la proteccion que te puede brindar no se compara con la de un firewall de verdad.
 

thuNNy

Nuevo Miembro
Miembro
#5
HOla, gracias por haber echado un vistado a mi LOG. Los SP de Windows no me gusta instalarlos entre otras cosas porque siempre me han generado mas Bugs de los que tenia antes. Pero me resulta bastante extraño que se me cuelge la conexión a intenet cada 15 min aproximadamente, y despies de haber formateado el el HD...a lo mejor no estamos hablando de un trioyno ya que la primera vez que decidi formatear el disco duro lo hice desde el programa de instalación de XP y el virus voy a aparecer nada mas cargarse el SO.

En fin, muchas gracias por tu tiempo, intentante por lo menos actualizar mi navegador y lo referente a mi conexión a internet. y sobretodo instalare un Firewall lo que ocurre es que no tengo muy claro su manejo, y me gustaría encontrar un manual para principiantes sobre Zone Alarm.
 

thuNNy

Nuevo Miembro
Miembro
#6
por favor, como lo borro...ya me esta jod... mucho

LOG SACADO DESPUES DEL AVISO DE PRESENCIA DE VIRUS CON HIJACKTHIS Logfile of HijackThis v1.98.2 =================================================================================================

Scan saved at 16:39:59, on 19/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\AVPersonal\AVGUARD.EXE

C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe

C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Archivos de programa\AVPersonal\AVGNT.EXE

C:\Archivos de programa\Grisoft\AVG6\avgcc32.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\HijackThis 1.98.2\HijackThis 1.98.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [AVG_CC] C:\Archivos de programa\Grisoft\AVG6\avgcc32.exe /startup

O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab

Mensaje

==========================================================================

AVG Resident Field

Trojan horse IRC/BackDoor.Sdbot.55.AC

is found in file

C:\WINDOWS\System32\VPC32.EXE

To remove this virus, please run AVG for Windows

===========================================================================

Scaneo el DIsco Duro con el AVG, lo detecta pero no lo borra...despues me sigue saliendo este mensaje.

Procesos activos en el TASK cuando me salio el aviso anterior

tASK MANAGER

============

notepad.EXE

AVGCC32.EXE

WROS.EXE

AVWUPSRV.EXE

AVGSERV.EXE

AVGUARD.EXE

EXPLORER.EXE

SPOOLSV.EXE

SVCHOST.EXE

SVCHOST.EXE

SVCHOST.EXE

SVCHOST.EXE

LSASS.EXE

SERVICES.EXE

wuauclt.EXE

taskmgr.EXE

WINLOGON.EXE

CSRSS.EXE

SMSS.EXE

System.EXE

Proceso inactivo d...System 98
 

alnitak

Ex-Admin
Miembro
#7
No hay ningún malware activo en tu sistema, y no puedo decirte como desactivar algo que no está activo.

Tienes información sobre el Sdbot.ac aquí:

http://www.enciclopediavirus.com/virus/vervirus.php?id=1348

y como puedes ver no hay ninguna sintoma de infeccion en tu log.

Ahora bien, ve como se propaga:

Se propaga por redes compartidas utilizando el puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.

Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo:
El gusano intenta infectarte automaticamente, la mejor manera de defenderse es mantener el sistema actualizado y un firewall activado así como cerrar el netbios si no se necesita, pero NO ESTÁS INFECTADO, los antivirus están también para eso, previenen las infecciones.
 

oaki

Nuevo Miembro
Miembro
#8
despues de un formateo cualquier virus o lo que sea queda eliminado,el problema que tienes debe deberse a otro tema,quizas algún conflicto.. B)
 
Estado
Cerrado para nuevas respuestas
Arriba Pie