Posible virus, WwYNcTq.exe

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
GGG
Mensajes: 14
Registrado: 20 Nov 2010, 18:08

Posible virus, WwYNcTq.exe

Mensaje por GGG » 29 Sep 2012, 10:37

Hola.

Ayer me encontré con que no me funcionaban las letras acentuadas (se duplicaba el acento, típico, según tengo entendido de los keyloggers). Revisé el regedit y en HKCU\SW\MS\Windows\CurrentVersion\Run me encontré una invocación a C:\Windows\System32\WwYNcTq.exe. Revisé esa ubicación y efectivamente aparecía ese archivo con fecha de ayer mismo a las 16:53. Por más vueltas que le he dado no caigo en que hice en ese instante que explique la aparición del bicho, que creo que sería importante para prevenir, pero bueno. Borré la entrada en el regedit y el propio archivo pero al reiniciar volvían a estar las dos cosas y se seguían duplicando los acentos. Lo hice un par de veces más con el mismo resultado. Me guardé una copia y repetí el borrado "a prueba de fallos" borrando, además, la papelera de reciclaje. Con eso parece que se resolvió pero como no las tenía todas conmigo restauré desde un punto de restauración de anteayer.

He sometido al archivo en cuestión a los dos antivirus que tengo en casa, el McAfee 8.7.0i y el Avast gratuito 7.0.1426 y para ninguno de los dos tiene nada.

He enviado el archivo sospechoso.

Saludos,

GGG
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Posible virus, WwYNcTq.exe

Mensaje por msc hotline sat » 29 Sep 2012, 13:20

Es un típico efecto de los SPY ZBOT, de los cuales el Y ya lo cazamos heuristicamente con el ELISTARA, pero la variante Z ha de ser detectada manualmente con el SPROCES, salvo que ya nos hayan enviado muestra pedida con el analisis del log de dicha aplicacion.



Pues pruebe el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 29-9-2012





NOTA: Y aunque eliminando la clave ya no se carga el fichero que nos decía, C:\Windows\System32\WwYNcTq.exe, si aun lo tiene, envienoslo tambien para analizar, y veremos qué es, tenga o no tenga que ver con lo del doble acento, gracias. ms.
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”