• Con el fin de ofrecerle una experiencia de navegación adaptada a sus necesidades le informamos de que esta web utiliza cookies. Puede deshabilitarlas en las opciones de su navegador web. Mas info Politica de Cookies Free data recovery software

Trojan-Downloader.BAT.Ftp.ab (SOLUCIONADO)

Estado
Cerrado para nuevas respuestas
A

Americangraffiti

Member
Buenas! llevo un par de días luchando con este troyano y nos e como eliminarl, he visto foros pero no me ha quedado claro. Utilizo el nod32 y tengo instalado s&d el adware 2007 y el a-squared y este último me elimino un par de troyanos y uno era este pero con versión modificada supongo y lo he pasado varias veces y no me lod etecta. Al final he pasado el antivirus kaspersky online y este es el resultado:

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\o Infectados: Trojan-Downloader.BAT.Ftp.ab saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Un abrazo y aver si me podeis hechar una ayudita.
 
 
Hola Americangraffiti, bienvenido a la web. Peganos un log de hijackthis para poder analizarlo más detenidamente, el tutoria puedes encontrarlo en nuestra web principal:
DOCUMENTO: MANUAL - TUTORIAL HijackThis :: Razorman.net :: Trucos Windows Vista,Noticias de Informatica. Emule,P2P.Tutoriales,Trucos Windows XP :: Razorman.net :: Trucos Windows Vista,Noticias de Informatica. Emule,P2P.Tutoriales,Trucos Windows XP
La aplicación puedes descargarla desde aqui, descarga la tercera opción:
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
Saludos
 
 
Gracias por la información que me ahs dado, aqui te dejo el log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:23, on 16/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\syssmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ángel\Escritorio\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows TW] bhamdiss.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [MicroSoft Getway Dire] wfxvarcrh.exe
O4 - HKLM\..\RunServices: [Windows TW] bhamdiss.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1205503709187
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A79812C-4CD5-4D14-BC6B-80129251C2AC}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

Gracias por la ayuda!
 
 
Hola, ese log esta bastante limpio, hay una entrada que desconozco y que no encuentro informacion por ningun sitio:

O4 - HKLM\..\Run: [Windows TW] bhamdiss.exe
Hacer clic para expandir...

ya te digo que no se que es, ni he visto informacion, no te puedo asegurar nada y por supuesto que la borres...

Tienes un enlace a Alexa ¿es voluntaria o lo desconocias?

Lo demas esta limpio.

Salu2
 
 
Lo desconozco, no se que es eso de Alexa!! Que debod e hacer?

Muchas gracias por tu información!
El problema es que el ordenador se me reinicia alos 15 o 20 minutos y nose porque..

Un abrazo y gracias;)
 
 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Hacer clic para expandir...

Esos son 2 enlaces a Alexa un webranking...
 
 
Los elimino con killbox no? Un abrazo y muchas gracias;)
 
 
No, en el tutorial que te puso dunanea se explica, es darle a fix chequed. V´s!
 
 
Ok, ya lo he hecho aver si no se me reinicia solo! Muchas gracias por vuestra ayuda!;) De los mejores foros que he encontrado! salu2!
 
 
Ok, gracias. Nos mantienes informados por favor. V´s!
 
 
He actualizado hoy, el a-squared y me ha detectado Trojan.RAR.KillFiles.b. en dos archivos. Los he eliminado por eso! Gracias, salu2!
 
 
Ok, ¿damos entonces el tema por solucionado?
 
 
No, todavía se me reinicia el ordenador.
 
 
O4 - HKLM\..\Run: [Windows TW] bhamdiss.exe
Hacer clic para expandir...

¿Has mirado que es esa entrada? ¿a que programa corresponde? si eso vuelve a pegar otro LOG a ver si hay algo nuevo....

Salu2
 
 
Esto me sale:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:30:31, on 23/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\a-squared Free\a2service.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\syssmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Ángel\Escritorio\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [MicroSoft Getway Dire] wfxvarcrh.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1205503709187
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A79812C-4CD5-4D14-BC6B-80129251C2AC}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe
 
 
Referente a esta entrada tampoco se encuentra nada. Yo la eliminaria
O4 - HKLM\..\RunServices: [MicroSoft Getway Dire] wfxvarcrh.exe
Hacer clic para expandir...
Saludos
 
 
ok gracias, ahora lo haré! Esque es muy raro, se me reinicia solo al cabo de un tiempo, ha veces me dura más el rodenador encendido y otras menos! en fin.. Muchas gracias!;)
 
 
Acabo de pasar el totalscan de panda, y me ha salido esto:

Peligrosidad alta:
W32/SDBot.LRR.... Virus Activo
C:\WINDOWS\SYSTEM32\SYSSMON.EXE

Peligrosidad baja:

W32/Sdbot.ftp.... Virus Latente

C:\WINDOWS\system32\o

Un saludo y gracias
 
 
Esta es la información que he podido encontrar con respecto a ese virus:
Efectos

SDBot.LRR realiza las siguientes acciones:
Se propaga y afecta a otros ordenadores creando copias de sí mismo.
Permite acceder de manera remota al ordenador afectado, para realizar en el mismo acciones que comprometen la confidencialidad del usuario o impiden su trabajo.




Método de Propagación
SDBot.LRR no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos entre pares (P2P), etc.

Otros Detalles
SDBot.LRR tiene las siguientes características adicionales:

Tiene un tamaño de 392192 Bytes.

Si te es posible, descargate el kaspersky versión de prueba durante días, desinstala todos los antivirus que tienes y pasale este:
Kaspersky Internet Security
Haber si conseguimos eliminarlo. Tu diras
 
 
Última edición:
Ese log esta limpio, haz lo que te dice duna. Salu2
 
 
Estado
Cerrado para nuevas respuestas
Back
Arriba