extraño "¿virus?" (No hay informacion sobre el)(SO

[yv-239]

Hola:



Comento mi caso un poco raro, vereis a traves del emule en alguna descarga me descargue una especie de script que programa un apagado (NTAUTORITHY) la misma ventana que el blaster, pero no por la red sino directamente en el programador de tareas de windows. El caso que mi norton 2005 actualizado no lo elimina de ninguna manera el fichero en cuestion se llama yv-239p! y he probado todo (arranque en modo seguro) la restauracion de sistema de xp no me funciona por un error ajeno a dicho fichero por si a alguien os suena la ventanita de apagado del ntauto...dice esto:



hola te lo puse facil...vaya cagada eh? tienes 30 segundos para arreglar esto.



Si alguien fuera tan amable de ayudarme....esto no hay manera de eliminarlo yo he pensado en deshabilitar el PROGRAMADOR DE TAREAS de windows pero no sé me mosquea no encontrar el tal fichero yv-239p!



Gracias de antemano. Un saludo

[msc hotline sat]

Evidentemente no es el Blaster ni ninguna de sus variantes conocidas.



Envianos este fichero "yv-239p!" a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post y te contestaremos como respuesta de este Tema con el resultado del analisis y con la solucion oportuna.



EL BLaster y sus varuantes entrabn por intrusion a traves del RPCDCOM a través del port NetBios 135, por IP, no por ficheros a traves de descargas del emule, que además vemos que ya sabe Vd. de que va.



El mensaje en castellano no tiene nada que ver con el shutdown a los 60 sehundos que lanza windows al detectar el ERROR producido por los virus Blaster y Sasser, este ultimo a traves de desbordamiento del LSASS al querer intrusionar por el TCP445.



Podría mirar de mover dicho fichero a un disquete y reiniciar, con lo cual ya no estaría en el ordenador y no podría cargarlo en el siguiente arranque, mientras tanto.



saludos



m,s, 22-05-2005

[yv-239]

[quote="msc hotline sat"]Evidentemente no es el Blaster ni ninguna de sus variantes conocidas.



Envianos este fichero "yv-239p!" a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post y te contestaremos como respuesta de este Tema con el resultado del analisis y con la solucion oportuna.



EL BLaster y sus varuantes entrabn por intrusion a traves del RPCDCOM a través del port NetBios 135, por IP, no por ficheros a traves de descargas del emule, que además vemos que ya sabe Vd. de que va.



El mensaje en castellano no tiene nada que ver con el shutdown a los 60 sehundos que lanza windows al detectar el ERROR producido por los virus Blaster y Sasser, este ultimo a traves de desbordamiento del LSASS al querer intrusionar por el TCP445.



Podría mirar de mover dicho fichero a un disquete y reiniciar, con lo cual ya no estaría en el ordenador y no podría cargarlo en el siguiente arranque, mientras tanto.



saludos





Buenos dias:



Gracias por contestar. El problema me temo que es precisamente ese, que no encuentro el fichero (he probado con el buscador de windows, he habilitado mostrar archivos y carpetas ocultos, y no parece nada con tal nombre, solo aparece como yv-329 en el registro (que ya he procedido a limpiar) yo opino que se ha copiado con otro nombre en algún archivo de sistema y ahora es imposible encontrarlo. También cabe la posibilidad de que este residente en memoria o algun archivo de la carga del sistema operativo. De ahí que no os lo puedo enviar.



La solución que yo propongo y que no he encontrado quizás sería alguna herramienta que busque scripts de este tipo pero no conozco ninguna aplicación....¿Puede sre esa la solución?



Gracias de nuevo!





[/b]

[msc hotline sat]

Pues paso este Tema al apartado de analisis de logs del HiJackThis, a la espera de que nos copies como respuesta al mismo, el log resultante de lanzar dicha aplicacion, segun se explica en:


[quote]


Instrucciones para enviarnos log del HiJackThis:



Bajar :

http://www.merijn.org/files/hijackthis.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.


[/quote]

Y tras leer los primeros post de este apartado, especialmente el de "OBLIGADA LECTURA":



https://foros.zonavirus.com/viewtopic.php?t=6760



Y los ficheros que aparezcan y no conozcan, abtes de eliminarlos, envianos muestra oara analizarlos !!!



saludos



ms, 23-05-2005

[msc hotline sat]

Mientras nos postea el log del HiJackThis, he buscado mas informacion sobre este fichero, y he encontrado informacion de otros usuarios que habuan posteado dicho log en el que se ve la clave de carga y la ubicacion del fichero en cuestion, que existe en la carpeta de sistema y es un EXE:



O4 - HKCU\..\Run: [Woods Inc] C:\WINDOWS\system32\YV-239P.exe



Al parecer podróa tratarse de un adware, esto es , un troyano quelanza mensajes, en este caso en castellano, y que puede provocar un ERROR de sistema por el que windows lanza el tipico shutdown con reinicio a los 60 segundos, igual que con los errores provocados por todas las variantes de las familias del Blaster o del Sasser, si bien se recuerda que esto lo hace windows siempre que encuentra un ERROR de sistema grave, sea por virus o por incidencia de anomalía de proceso, para salvaguardar el sistema.



Es una avanzadilla de lo que posiblemente veremos en tu log de HJT, si no has eliminado dicha clave.



Lo que está claro es que debería existir dicho fichero en la carpeta de sistema, el cual sería muy importante que nos lo enviaras si lo encontraras...



saludos



ms, 23-05-2005



PD sobre la restauracion de sistema, mire de lanzar esta utilidad para habilitarla o deshabilitarla, que además le restaurará la pestaña de restauracion en PROPIEDADES de MIPC, si le hubiera desaparecido:



SRESTORE.EXE

http://www.zonavirus.com/descargas/srestore.asp



ms.

[yv-239]

Hola!



Perdón por la tardanza (el trabajo y esas cosas) efectivamente era el proceso que ya avanzas en tu post, os cuento de todas formas como lo elimine:



1º Eliminar el archivo yv-239p! que se instala en la subcarpeta de sistema windows32 (ojo se cambia el nombre en cada arranque del sistema).



2º Borrar las entradas del registro HKLM/SOFTWARE/MICROSOFT/WINDOWS/RUN.



3º Borrar las 25 tareas que se programan en el programador de tareas de windows .



Así de simple, en fin, de todas formas muchas gracias por todo.

[capkangooroo]

Hola que tal...



Baje un archivo del emule que en teoria era el crack para un avion payware del flight simulator 2004. Cuando ejecute el .exe al parecer me instalo este virus. Tenia las mismas caracteristicas que ustedes explicaron de la ventana y lo del YV-239P (resulta ser una matricula de un avion venezolano... y por la manera en que se expresa supongo que el programador sera venezolano o colombiano)... La unica diferencia que a mi el virus no me permitia abrir ningun archivo *.exe entonces se me hacia imposible instalar ningun antivirus ni programa anti spyware y ni siquiera ejecutar el regedit ni el msconfig. Como no queria formatear la pc, decidi comenzar a buscar en la carpeta windows. Cada vez que intentaba abrir un ejecutable me aparecian cantidad de ventanas del cmd (con el nombre c:\windows\system32\cmd.exe) y al final descubri que cada vez que pasaba esto, me creaba alrededor de 20 tareas programadas en c:\windows\tasks que programaban un shut down a determinada hora cada una... Eliminando estas tareas lograba que la pc no se apagara nunca y asi podia continuar buscando sobre el archivo que no me permitia abrir ejecutables... Comparando con otra pc me di cuenta que el archivo era c:\windows\system32\wcmd.exe y al moverlo de esa ubicacion se solucionaba el problema de las ventanas de cmd.exe pero cada vez que intentaba abrir un ejecutable me salia una ventana que decia que no sabia como abrir la extension .exe y que seleccionara un programa de la lista... Buscando en foros consegui lo siguiente:

http://www.annoyances.org/exec/show/article07-102



Descargando el archivo y siguiendo los pasos logras arreglar el problema, abrir archivos .exe y editar el registro...



PS: Nunca encontre ningun archivo llamado YV-239P.exe. Pienso que esta es una version nueva del virus.



Espero la informacion sirva de algo y aprovecho para agradecerles toda su ayuda...



Saludos



Juan Ponce

[msc hotline sat]

Agradecemops la informacion, y la complementamos que para solucionar las interceptaciones de las ejecuciones de ficheros, que instalan algunos virus en el registro, en este foro podemos usar el ELIRESTR.VBS que lo soluciona:





ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp



que no se limita a los EXEFILES sino a muchas mas claves de registro que interceptan cualquier ejecucion de ficheros de todo tipo (cualquiera que sea la extension), asi como la edicion del registro, y muchas mas claves afectadas por muchos virus, además la hemos escrito en Visual Basic para que pueda ser usada a pesar de estar interceptados COM, EXE, BAT, PIF, LNK, SCR, REG, etc



Y sin mas que añadir, solucionados los problemas, procedemos a cerrar este Tema



saludos



ms, 9-09-2005