TROYANO O VIRUS DOWNLOADER-YK

ROCO25 · Mensaje por **ROCO25** » 15 Abr 2005, 22:32

Hola y saludos a todos, soy muy nuevo en esto y he observado como algunos de vosotros teneis amplios conocimientos en este mundillo así que os pido ayuda sobre este tema. El Mcafee me detecta un troyano como Dowmloader-YK, ubicado en C:\winnt\sytem 32 y en C\winnt. Además observo como lo detecta con diferentes nombres ;cruh32.exe,sdkkq32.exe,mfclx.exe, siendo todos eliminados según el antivirus, pero siempre vuelven aparecer. Además tengo la página About Blank, de acceso a internet, y me salen mensajes diciendome que estoy lleno de espías junto con accesos en favoritos a diferentes enlaces. ¿Que puedo hacer?. os pediría por favor que me lo explicaseís de tal forma que pueda entender toda la jerga que usais, ya que como os digo soy un novatillo en esto. Gracias y un saludo

Mensaje por **maura63** » 16 Abr 2005, 12:28

Consulta link al respecto

https://foros.zonavirus.com/viewtopic.php?t=6291

Y para limpiar a fondo el PC sigue estos pasos

tutorial anti-spyware

https://foros.zonavirus.com/viewtopic.php?t=5148

Y comprobar via windows update que no te falten actualizaciones del sistema operativo que tambien es primordial.

Saludos

maura63

ROCO25 · Mensaje por **ROCO25** » 17 Abr 2005, 23:21

:D GRACIAS MAURA 63, her realizado paso a paso todos los procesos que he observado en el foro. Pasar el AD-Aware, el S&D, el CWshreeder, tanto en modo seguro como normal, pero el problema parece que vuelve a surgir pasado un tiempo, es decir pagina aubout blank y Mcafee detectanto nuevamente troyanos Dowmloader YK. Además se observa un botón rojo al lado del reloj, que me advierte de que tengo espías y/ virus y me envia a una página web de al parecer Microsoft para su reparación, pero dudo de ello totalmente :evil: :que puedo hacer ahora, pasar el log?,

Garcias por la atención y saludos

Mensaje por **maura63** » 18 Abr 2005, 09:05

Comprueba si en agregar o quitar programas tienes algo NO instalado por ti.

Cuando puedas nos pegas el log.

Saludos

maura63

ROCO25 · Mensaje por **ROCO25** » 18 Abr 2005, 12:09

No, no he observado nada anormal en quitar o agregar programas, pero lo que he observado y no se si esto tiene algo que ver que el TC monitor 2.1 BUILD 2043 ofrece la direccción HKLM -softwre-microsoft-windows-currente version-run once, marcada con una cruz apraece actual data "sdkxi32.exe=C:\WINNT\sdkxi32.exe", que es igual que el nombre que elimina el antivirus mcafee (uno de ellos), pero no obstante mandaré el log en cuanto pueda

Mensaje por **maura63** » 18 Abr 2005, 12:15

Informacion al respecto

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453088156

Saludos

maura63

Mensaje por **msc hotline sat** » 18 Abr 2005, 14:01

Prueba el ELISTARA.EXE y sino, arranca en modo seguro y lanza el McAfee en este modo, deshabilitando la restauracion de sistema, y nos cuentas tus progresos como respuesta de este Tema, gracias

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 18-04-2005

ROCO25 · Mensaje por **ROCO25** » 18 Abr 2005, 14:15

En relación a maura 63; Si ,le he echado un vistazo pero no comprendo el inglés, pero vengo a entender que elimine dichas extensiones en el directorio indicado si coinciden con la que el Mcafee me detecta¿es así?, como puedo eliminarla. Úna podría coincidir, concretamente :roll: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\sdkxi32.exe,

al teclear regedit, y dirigirme al directorio concreto éste "individuo "aparece". Bueno no obstante voy con lo del Mcafee en modo seguro, ya que ELISTARA.ASP, no me da resultado, tal y como me indica msc hotline sat.

Os informaré a ver que tal. saludos!

Mensaje por **msc hotline sat** » 18 Abr 2005, 16:02

No, no es del registro de sistema donde debes cambiar las extensiones de los ficheros, y mejor no alteres el registro. De ello ya se cuidaran las utilidades que apliques, sean antivirus o HJT, pero tocarlo con el Regedit es peligroso y puede ser peor el remedio que la enfermedad.

Son los ficheros detectados los que, bien con el antivirus o bien a mano, debes migrarlos lo renomvrarlos.

El antivirus ya te cambiará el registro adecuadamente, especialmente si es el McAfee.

Y mejor que lo hagas arrancando en modo seguro y deshabilitando la restauracion de sistema.

Y estos ficheros, si quieres nos los puedes enviar a zonavirus@satinfo.es anexados a un mail cuyo texto sea un copiar y pegar de este Tema, para que podamos analizarlos y añadirlos al control y eliminacion en nuestras utilidades, como el ELISTARA.EXE

Por último, como sea que actualmente algunos downloaders son generados por la ejecucion de un troyano que intercepta la ejecucion de EXES, y así generarse aun arrancando en modo seguro, gracias a ser ejecutados cuando se ejecuta cualquier EXE, prueba de lanzar la utilidad ELIRESTR.VBS y aceptar los cambios, para que si hay algun fichero que se ejecuta por interceptacion de los ejecutables, sea sacado del registro:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp

Pruebalo e informanos del resultado, como respuesta de este Tema, gracias

NOTA para el staff: La última moda de carga de troyanos es por interceptacion de los ejecutables, y así cargarse en memoria aun arrancando en modo seguro, y aun con mas facilidades, ya que al no estar el antivirus residente, pueden crear virus por ejecucion de droppers, con mas impunidad. Y estas claves no se cisualizan en el HJT, de ahí la moda. Y el Downloader.YK podría ser generado de esta manera, que el antivirus cazaría cada vez que fuera creado o intentado ejecutar, pero no al creador o dropper. De ahí la posible necesidad del uso del ELIRESTR.VBS, que entre otras, elimina la interceptacion de ejecucion de ejecutables en el registro

saludos

ms, 18-04-2005

ROCO25 · Mensaje por **ROCO25** » 19 Abr 2005, 18:23

Me está siendo imposible descargar ELIRESTR.VBS , DESDE ESTE ENLACE que me dejastes http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp

el problemas es mío?, donde puedo bajrme la aplicación para probar?

Mensaje por **maura63** » 19 Abr 2005, 18:24

Pues parece que si, porque lo puedo descargar sin problema.

Saludos

maura63

ROCO25 · Mensaje por **ROCO25** » 19 Abr 2005, 18:39

Pues no hay manera de descargarlo, llevo un buen rato y me da error continuamente. No obstante he pasado en tiempo y tiempo la última versión de ELISTARA.EXE y parece que el problema ha desaparecido :!: , pero no obstante voy a ver si éste condenado cacharro y su trope de troya me deja descargar ELIRESTR.VBS :wink:

Os informaré de lo que ocurra

Mensaje por **maura63** » 19 Abr 2005, 18:42

Por si quedara algun resto

Bajar :

http://www.merijn.org/files/hijackthis.zip

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Saludos

maura63

ROCO25 · Mensaje por **ROCO25** » 19 Abr 2005, 18:53

me sale este mensaje :oops:

No se encontró la página

La pagina "descargas/elirestr.vbs", que usted esta intentando ver a sido eliminada, su nombre a sido cambiado, o no se encuentra disponible.

Usted viene de, "https://foros.zonavirus.com/viewtopic.php?t=50".

Por favor, intente lo siguiente:

Usted a pulsado en un link de la otra pagina, contacte con el administrador de la Web, para informarle de que el link es incorrecto.

Pulse en ATRÁS y pruebe otro link.

HTTP Error 404 - El fichero o el directorio no existe.

ZAntivirus Internet Information Services (ZIIS)

Lamentamos las molestias.

Así que no sé como descargarme ELIRESTR.VBS ? :?:

ROCO25 · Mensaje por **ROCO25** » 19 Abr 2005, 19:59

AHORA parece ir todo bien, pero tengo un problema que antes no estaba, me aparce un mensaje diciendo que WinWord ha generado errores y que se debe reiniciar. Esto es cuando le doy al Word para abrirlo, se abre, y cuando empiezo a escribir es cuando sale, ¿qué puede ser?

Mensaje por **msc hotline sat** » 20 Abr 2005, 14:58

Como que al parecer usa W2k, arranque en modo seguro y realice una correcion de errores del disco duro, lo que antes se llamaba Sacndisk, ya que es posible que de apagar el ordenador sin cerrar las aplicaciones de windows y demás, tiene errores.

Y si con ello no acaba de corregirlos, pues los ficheros pueden estar dañados, será cuestion de arrancar con el CD de instalacion y REPARAR windows (no reinstalar, para no perder las aplicaciones instaladas), y finalizar con un windowsupdate.

saludos

ms, 20-04-2005

ROCO25 · Mensaje por **ROCO25** » 22 Abr 2005, 23:05

Bueno, parece que después de varios sustos en el pc, he conseguido arreglar , gracias a vosotros, los problemas que tenía. en principio me han desaparecido todos los problemas de los troyanos y de la página de inicio.

uchísimas gracias por todo, no he podido deciroslo antes porque ha sido hoy cuando ya he comprobado definictivamente los posibles errores. En cuanto a lo del Word también está solucionado. No obstante me dijisteis que si quería os pasara el log por si hubiese algo oculto por ahí, si es así me lo confirmaís y lo pego aquí mismo.

Mensaje por **maura63** » 23 Abr 2005, 20:05

Pues como tu quierar. Peganos el log.

Tambien te recomiendo instalar y actualizar este

· SpywareBlaster 3.3

versión nueva del SpywareBlaster (3.3 ):

http://www.javacoolsoftware.com/sbdownload.html

Descarga y actualiza, finaliza pulsando en enable protection.

Saludos

maura63