virus que se ejecuto en el registro...

yokoshima · #1 (**permalink**) 13/05/2005, 08:10

hola, les comento que estaba en mi pc y de repente me sale un mensaje del bitdefender que si queria modificar mi registro un tal ftp.exe....??

yo muy pavo, dije a lo mejor esto es una aplicacion extra del sql que ayer un minuto antes lo habia instalado, pero resulta que acepte y ademas dije recordar siempre... al final resulto ser un maldito virus, ahora estoy en el trabajo asi que no recuerdo el nombre... pero a cada rato despues de accionarlo me sale un mensaje que su conputador fue infectado, pero bitdefender lo blokeo y su ordenador no esta infectado

siempre la ruta es de la carpeta system32...

entonces comenze a buscar el virus y lo encuentra y lo elimina pero vuelve al rato, pero no alcanza a infectarme... por mi antivirus...

como lo saco definitivamente...??

no quiero realizar una restauracion....quiero borrarlo no quiero perder con un maldito virus....

salu2 y de antemano gracias

aguilapelona · #2 (**permalink**) 13/05/2005, 11:42

Vuelve a hacerle un scan con tu antivirus pero esta vez en modo seguro con funciones de red (a prueba de fallos). Luego pasale un antivirus en linea de preferencia que sea el trend micro.

Luego nos cuentas.

Saludos

yokoshima · #3 (**permalink**) 13/05/2005, 13:33

gracias....

entonces lo realizo a modo a prueba de fallo y un scan on-line ....

salu2

yokoshima · #4 (**permalink**) 17/05/2005, 07:38

hola....

no puedo eliminar el virus que tengo...

se llama backdoor.???.ftpb.gen lo de interrogacion no recuerdo el nombre, lo busque en internet y no encontro nada...

hise todo lo señalado.... apague el restaurar de sistema, luego ingrese en el de apruba de fallo, con funciones de red, antes habia descargado el nod32 y un programa para borrar cookies, ademas pase mi nod32 y no encontro nada, salvo algo que decia que estaba protegido y que no tenia acceso... raro...

luego pase el antivirus de trendmicro y no encontro nada... para terminar en buscar en el modo normal, tb no encontro nada...

pero a cada rato me sale el mensaje que estoy infectado por tal virus y que mi antivirus lo blokeo... pero despues aparece nuevamente......

y asi varias veces.... es una lata, nose como eliminarlo..

que me recomiendan...???

hasta ahora la cuenta en combate va asi;

virus=10--yokoshima=0

salu2

3pies · #5 (**permalink**) 17/05/2005, 07:53

Mira este link de www.alerta-antivirus.es:

Busca el nombre concreto, y pincha el link del mismo, para seguir las instrucciones y poder acabar con el virus:

http://alerta-antivirus.red.es/virus...ombre=backdoor

yokoshima · #6 (**permalink**) 17/05/2005, 09:57

gracias vere que pasa.....

salu2

yokoshima · #7 (**permalink**) 18/05/2005, 09:26

asi es mi virus que tengo...

Cita:

Backdoor.BotGet.Ftp

Nombre: Backdoor.BotGet.Ftp
Alias: W32/Sdbot.worm.bat.b (McAfee)
Tipo: Script Gusano Backdoor
Tamaño: -
Descubierto: 22.09.2004
Detectado: 22.09.2004
Propagación: Media
Peligrosidad: Media
In The Wild:

Síntomas:

Descripción técnica:

Backdoor.BotGet.Ftp?.Gen detects scripts used by some IRC bots (eg: SDBot family) and worms (eg: Lovgate) in propagation from one computer to another.

Files detected are

Backdoor.BotGet.FtpA.Gen is a batch file that runs system utility FTP.EXE with a ftp script that downloads the worm on the victim computer and executes it, deletes the ftp script and then it deletes itself (the ftp script is detected as Backdoor.BotGet.FtpB.Gen)

Computers on which such files are detected are most likely to lack patches for the Operating System (see Backdoor.SDBot.Gen / Backdoor.Agobot.3.Gen description) and/or have weak passwords on accounts with administrator rights.

Usually, if such a file is found on a computer in a LAN, it is very possible that other systems may have been compromised as well.

Desinfección:

Recomandations are removing suspicious entries in hives
HKCU and HKLM at

\Software\Microsoft\Windows\Current Version\Run or
\Software\Microsoft\Windows\Current Version\Runservices

install the latest patches and change passwords on all accounts with administrator rights, and also check for bogus user accounts with administrator rights (created by the virus) and delete them.

Utilidad de desinfección:
N/A

Virus analizado por:

Vicol Patrick
Bitdefender Virus Researcher

Recomandations are removing suspicious entries in hives
HKCU and HKLM at

\Software\Microsoft\Windows\Current Version\Run or
\Software\Microsoft\Windows\Current Version\Runservices

install the latest patches and change passwords on all accounts with administrator rights, and also check for bogus user accounts with administrator rights (created by the virus) and delete them.

que quiere decir con eso...??? no entiendo muy bien que debo hacer.... que es HKCU and HKLM y despues que debo hacer... de verdad ando perdido..

debo cambiar todas las password de adminitrador y que debo cheaquear...??

porfavor ayudenme, expliquemenlo facil... no tan tecnico....

salu2 y gracias...

AREA 51 · #8 (**permalink**) 18/05/2005, 11:16

HKCU and HKLM significan HKEY_CURRENT_USER y HKEY_LOCAL_MACHINE del registro, en cuanto a lo de cambiar la cuenta de administrador, pues significa que tienes crear una nueva cuenta de administador en XP con una contraseña nueva ya que el virus intenta acceder a ella.

Mas detalles:
http://alerta-antivirus.red.es/virus....html?cod=4997
http://www.symantec.com/avcenter/ven....sdbot.aq.html -> ingles

Salu2.

yokoshima · #9 (**permalink**) 18/05/2005, 14:26

Muchas gracias...

unas preguntas...

como borro la cuenta administrador ya que no aparece dentro de las cuentas de usuario... ???

y mi cuenta esta sin password y es adminitrador... es necesario tb cambiar mi cuenta...??

eso es...

espero que me ayuden... gracias ahora la cuenta con el virus es de

virus=10 >_< yokoshima=10

salu2

yokoshima · #10 (**permalink**) 26/05/2005, 14:28

me la gano el virus.....

cambie la contraseña y sigue igual el desgraciado....

tendre que formatear.... si alguien se apiada de mi y me da un truco para poder eliminarlo se lo agradeceria.....

salu2

yokoshima · #11 (**permalink**) 30/05/2005, 10:21

porfin.......

al maldito le pune ganar........

escanie mi equipo con el Nod32 y no encontro nada, luego con el trend online y tambien nada......

pero siempre mi antivirus lo detectaba pero lo bloqueaba, osea no me infectaba completamente... pero a cada rato salia el mensaje.....

asi que al final lo hize con mi antivirus Bitdefender y lo encontro y lo elimine... y eso fue todo........

asi que la cuenta finalizo de esta forma:

yokoshima 100 <-> Virus 10

jejeje

salu2

cachao · #12 (**permalink**) 30/05/2005, 16:46

hola yohoshima...
Yo tengo el mismo problema que tu con Backdoor.BotGet.FtpB.Gen. Tambien tengo Bitdefender. Puedes indicarme como lo has solucionado. Gracias

yokoshima · #13 (**permalink**) 31/05/2005, 07:48

Cita:

Iniciado por cachao

hola yohoshima...
Yo tengo el mismo problema que tu con Backdoor.BotGet.FtpB.Gen. Tambien tengo Bitdefender. Puedes indicarme como lo has solucionado. Gracias

facil..

solo hise un escaneo total del disco duro luego, borre la cuarentena y listo..

especificamente me encontro los virus en las carpeta de:

C:\Documents and Settings\blablabla\Configuración local\temp... y en \Archivos temporales de Internet

tambien en windows en la carpeta:
system32

en esas carpetas buscalas y te encontra al virus.....

ok salu2

v_i_n_i_c_i_o · #14 (**permalink**) 31/05/2005, 07:51

ya probaron con un antispyware?

si escribe en el registro prueben una aplicación que se llama C:\WINDOWS\SCANREGW.EXE
Esta aplicación vuelve tu registro a la normalidad