¿Virus Win32/IRCbot.gen!K solución?
Holaaa porfis necesitooo ayuda con estooo, porfisss, tengo el antivirus avg, y windows vista ultimate, por favor ayudame, para saber que hagooo.
Nombre de registro:System
Origen: Microsoft-Windows-Windows Defender
Fecha: 10/10/2009 19:34:56
Id. Del evento:3004
Categoría de la tarea:Ninguno
Nivel: Advertencia
Palabras clave:Clásico
Usuario: No disponible
Equipo: mabelita0
Descripción:
El agente de Protección en tiempo real Windows Defender detectó cambios. Microsoft recomienda analizar el software que realizó estos cambios para comprobar la existencia de posibles riesgos. Puede usar información sobre el funcionamiento de estos programas para elegir si permite su ejecución o los quita del equipo. Permita los cambios sólo si confía en el programa o el editor de software. Windows Defender no podrá deshacer los cambios que permita.
Consulte la siguiente información para obtener más detalles:
http://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/IRCbot.gen!K&threatid=133044
Id. Del examen: {FB9FE31A-89A9-4B01-8F60-B98CE698D8EF}
Usuario: mabelita0\mabelita
Nombre: Backdoor:Win32/IRCbot.gen!K
Id.: 133044
Id. De la gravedad: 5
Id. De la categoría: 6
Ruta en la que se encontró: process:pid:2516
Tipo de alerta: Spyware u otro software potencialmente no deseado
Tipo de detección: Heurísticos
XML de evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}" EventSourceName="WinDefend" />
<EventID Qualifiers="0">3004</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2009-10-10T17:34:56.000Z" />
<EventRecordID>94219</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>mabelita0</Computer>
<Security />
</System>
<EventData>
<Data>%%827</Data>
<Data>1.1.1505.0</Data>
<Data>{FB9FE31A-89A9-4B01-8F60-B98CE698D8EF}</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data Name="Domain">mabelita0</Data>
<Data Name="User">mabelita</Data>
<Data Name="SID">S-1-5-21-1979507854-2268047096-840402719-1000</Data>
<Data>Backdoor:Win32/IRCbot.gen!K</Data>
<Data>133044</Data>
<Data>5</Data>
<Data>6</Data>
<Data Name="FWLink">http://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/IRCbot.gen!K&threatid=133044</Data>
<Data>process:pid:2516</Data>
<Data>1</Data>
<Data>%%805</Data>
<Data>
</Data>
<Data>
</Data>
<Data>1</Data>
<Data>%%821</Data>
</EventData>
</Event>
Nombre de registro:System
Origen: Microsoft-Windows-Windows Defender
Fecha: 10/10/2009 19:34:56
Id. Del evento:3004
Categoría de la tarea:Ninguno
Nivel: Advertencia
Palabras clave:Clásico
Usuario: No disponible
Equipo: mabelita0
Descripción:
El agente de Protección en tiempo real Windows Defender detectó cambios. Microsoft recomienda analizar el software que realizó estos cambios para comprobar la existencia de posibles riesgos. Puede usar información sobre el funcionamiento de estos programas para elegir si permite su ejecución o los quita del equipo. Permita los cambios sólo si confía en el programa o el editor de software. Windows Defender no podrá deshacer los cambios que permita.
Consulte la siguiente información para obtener más detalles:
http://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/IRCbot.gen!K&threatid=133044
Id. Del examen: {FB9FE31A-89A9-4B01-8F60-B98CE698D8EF}
Usuario: mabelita0\mabelita
Nombre: Backdoor:Win32/IRCbot.gen!K
Id.: 133044
Id. De la gravedad: 5
Id. De la categoría: 6
Ruta en la que se encontró: process:pid:2516
Tipo de alerta: Spyware u otro software potencialmente no deseado
Tipo de detección: Heurísticos
XML de evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Windows Defender" Guid="{11CD958A-C507-4EF3-B3F2-5FD9DFBD2C78}" EventSourceName="WinDefend" />
<EventID Qualifiers="0">3004</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2009-10-10T17:34:56.000Z" />
<EventRecordID>94219</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>mabelita0</Computer>
<Security />
</System>
<EventData>
<Data>%%827</Data>
<Data>1.1.1505.0</Data>
<Data>{FB9FE31A-89A9-4B01-8F60-B98CE698D8EF}</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data>
</Data>
<Data Name="Domain">mabelita0</Data>
<Data Name="User">mabelita</Data>
<Data Name="SID">S-1-5-21-1979507854-2268047096-840402719-1000</Data>
<Data>Backdoor:Win32/IRCbot.gen!K</Data>
<Data>133044</Data>
<Data>5</Data>
<Data>6</Data>
<Data Name="FWLink">http://go.microsoft.com/fwlink/?linkid=37020&name=Backdoor:Win32/IRCbot.gen!K&threatid=133044</Data>
<Data>process:pid:2516</Data>
<Data>1</Data>
<Data>%%805</Data>
<Data>
</Data>
<Data>
</Data>
<Data>1</Data>
<Data>%%821</Data>
</EventData>
</Event>
1 Respuesta
Respuesta de anesara4
1
El termino "puerta trasera" (backdoor) describe un grupo específico de Caballos Troyanos (Troyan Horses). Los mismos no pueden auto-esparcirse a otros ordenadores. Los "puerta trasera" permiten a atacantes tener control total sobre la PC victima. En su mayoría se dividen en tres partes:
1. Servidor
La parte que es colocada en la PC victima y toma el control del PC.
2. Cliente
Un pequeño programa usado por el atacante para conectar al Servidor y as poder controlar el ordenador.
3. Editor
Una herramienta adicional para crear el programa Servidor. Permite al atacante crear un Servidor único además de permitir setear todas las opciones y reglas para el Servidor.
Los "puerta trasera" son de amplia expansión hoy da. Aparte de los Gusanos, Discadores, Spyware y Troyanos, los "puerta trasera" son uno de los programas más peligrosos para quienes navegan la Weby es el Backdoor. Win32. IRCBot. Gen uno de ellos .. descarga este program, actualízalo y examina tu pc (a fondo) . espero tus resultados .. http://rapidshare.com/files/285672069/a-squared_Anti-Malware.rar
1. Servidor
La parte que es colocada en la PC victima y toma el control del PC.
2. Cliente
Un pequeño programa usado por el atacante para conectar al Servidor y as poder controlar el ordenador.
3. Editor
Una herramienta adicional para crear el programa Servidor. Permite al atacante crear un Servidor único además de permitir setear todas las opciones y reglas para el Servidor.
Los "puerta trasera" son de amplia expansión hoy da. Aparte de los Gusanos, Discadores, Spyware y Troyanos, los "puerta trasera" son uno de los programas más peligrosos para quienes navegan la Weby es el Backdoor. Win32. IRCBot. Gen uno de ellos .. descarga este program, actualízalo y examina tu pc (a fondo) . espero tus resultados .. http://rapidshare.com/files/285672069/a-squared_Anti-Malware.rar
Hola mira te mando algunos resultados de varias cosas que hice como irme al modo seguro
te MSNCleaner 1.7.5 by www.forospyware.com
- Reporte Creado: 11/10/2009 a las 16:32:40
- Sistema Operativo: Windows Vista
- Modo de Inicio: Prueba de fallos
_________________________________________
Archivos detectados: 0
Archivos eliminados: 0
Archivos no eliminados: 0
<<<<<<< No se ha encontrado ningún archivo >>>>>>>
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2775
Windows 6.0.6000 (Safe Mode)
11/10/2009 16:23:56
mbam-log-2009-10-11 (16-23-56).txt
Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 225993
Tiempo transcurrido: 40 minute(s), 5 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 1
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Data Serivce (Malware.Trace) -> Quarantined and deleted successfully.
Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
C:\Windows\9new.exe (Malware.Trace) -> Quarantined and deleted successfully.
te MSNCleaner 1.7.5 by www.forospyware.com
- Reporte Creado: 11/10/2009 a las 16:32:40
- Sistema Operativo: Windows Vista
- Modo de Inicio: Prueba de fallos
_________________________________________
Archivos detectados: 0
Archivos eliminados: 0
Archivos no eliminados: 0
<<<<<<< No se ha encontrado ningún archivo >>>>>>>
Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2775
Windows 6.0.6000 (Safe Mode)
11/10/2009 16:23:56
mbam-log-2009-10-11 (16-23-56).txt
Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 225993
Tiempo transcurrido: 40 minute(s), 5 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 1
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Data Serivce (Malware.Trace) -> Quarantined and deleted successfully.
Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
C:\Windows\9new.exe (Malware.Trace) -> Quarantined and deleted successfully.
Pues ahora abre el archivo de cuarentena y elimínalo y luego pasa este otro programa http://ccleaner.softonic.com/
sorry por lo tonto de mi pregunta pero como ubico el archivo, porque no lo encuentro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully." aqui estas ... si o detecto el -squared_Anti-Malware eliminalo y luego pasa el ccleaner para limpiara todos los archivos del registro ..
