W32/Sdbot.Worm.gen.j ( ayuda)

Estado
Cerrado para nuevas respuestas

CHAMAN_CL

Nuevo Miembro
Miembro
#1
hola, me agarre ese gusano, buscandoo en interne como supuestamente eliminarlo salia buscar SYSMSVC:EXE y eliminar mas la entrada MsWindows SysDate en varias parte del registro pero ninguna de estas cosas las encontré no estan, antes de lees esto ya había eliminado unas entradas del reistro relacionadas con worm.gen, pero mcfee me sigue encontrando el gusano y supuestamente eliminandolo, al correrlo no lo encuentras pero a los días denuevo aparece. ayudit porfa
 

alnitak

Ex-Admin
Miembro
#2
Por favor, bájate el HijackThis 1.98.2 crea una nueva carpeta que sea solo para el y sálvalo en ella, después ejecútalo, dale a Scan, después a Save log, salva el log y cópialo aquí.
 

CHAMAN_CL

Nuevo Miembro
Miembro
#3
no me deja salvar el log, aparece aviso de mcfee que en esa carpeta ( la del hijack) se infecto con el troyano Exploit-MhtRedir.gen, y al tratar de salvar el log me dice que no existe y si deceo crearlo crea el arch de texto pero sin nada también sale un msj de acceso denegado al block de nota , corro antivirus para ver si puedo deay
 

CHAMAN_CL

Nuevo Miembro
Miembro
#4
ya esta corte unos procesos que me parecieron raros y pude lo malo que fueron como 3 y no los anote espero que me puedas ayudar y gracias, ahi esta el log.

Logfile of HijackThis v1.98.2

Scan saved at 19:59:26, on 13/12/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\McAfee\McAfee AntiSpyware\MssCli.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\McAfee\McAfee AntiSpyware\Msssrv.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

c:\archivos de programa\mcafee.com\vso\mcmnhdlr.exe

C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Archivos de programa\NavExcel Search Toolbar\NavExcelBar.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Archivos de programa\NavExcel Search Toolbar\NavExcelBar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [Daemon14] C:\ARCHIV~1\MICROS~3\GAMECO~1\STRATE~1\daemon14.exe

O4 - HKLM\..\Run: [_AntiSpyware] C:\Archivos de programa\McAfee\McAfee AntiSpyware\MssCli.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsc...83/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1097112053357

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab32846.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmg...,20/mcgdmgr.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F91DFDD3-AE9F-4832-9D98-A1BADDD2D60E}: NameServer = 200.50.96.90 200.54.144.227
 

alnitak

Ex-Admin
Miembro
#5
en tu log no salen las entradas de ningún gusano, es posible que el mismo Windows lo esté restaurando, haz lo siguiente:

Con el HJT cheja esta y dale a fix:

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe

Despuésdesactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Escaneate con tu antivirus.

Vuelve a activar la opción de restaurar el sistema.
 

CHAMAN_CL

Nuevo Miembro
Miembro
#6
trate de eliminar la entrada y me salio un error recuatico no me dejo pero filo aprovecho de formatiar esta cosa = gracias alnitak, la otra ves ya me ayudaste a eliminar algo así que compadre con ataos te lo mando pa ka jajja
 
Estado
Cerrado para nuevas respuestas
Arriba Pie