BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Ayuda: Kryptik.CNC (Troyano) - Spy.Zbot.YW (Troyano)

1
BocaDePez

Hola,
Tenia un par de dudas, ayer al iniciar el portatil el Nod32 me detecto un troyano, les dejo el mensaje:

c:\documents and settings\david\datos de programa\ykunu\picoo.exe - Variante modificada de Win32/Kryptik.CNC (Troyano)
c:\documents and settings\david\datos de programa\ykunu\picoo.exe > UPX v13_m8 - Variante modificada de Win32/Kryptik.CNC (Troyano)

Despues de esto elimine todas las cookies y libere espacio en disco, luego hice un escaneo profundo con el nod32 y me salio esto:

Comienzo: 25/03/2011 22:32:54
Registro de sucesos
NOD32 Scanner versión 5983 (20110324) NT
- Está correcto en memoria operativa
en el sector activo de arranque del disco físico 1 - Error leyendo sector de disco

Fecha: 25.3.2011 hora: 22:32:59
La Tecnología Anti-Stealth está activada.
Discos, carpetas y archivos analizados: C:; D:
C:\pagefile.sys - Error abriendo archivo (Acceso denegado) [4]
C:\hiberfil.sys - Error abriendo archivo (Acceso denegado) [4]
C:\WINDOWS\system32\sdra64.exe - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\cooper.mine - Variante modificada de Win32/Kryptik.FUS (Troyano)
C:\WINDOWS\system32\config\system.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\DEFAULT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SOFTWARE - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SYSTEM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\lowsec\local.ds - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\lowsec\user.ds - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\ntuser.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Temp\tmpbb08073a\secure.exe »UPX v13_m8 - Variante modificada de Win32/Kryptik.CNC (Troyano)
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Datos de programa\AdobeUM\a.exe - Win32/Spy.Zbot.YW (Troyano)
C:\Archivos de programa\WinRAR\default.sfx »RAR - No es posible hallar el siguiente archivo o volumen comprimido
C:\Archivos de programa\Eset\updfiles\upd7F55.ver »RAR »update.ver - Archivo comprimido dañado - el archivo podría no ser extraido.
C:\Archivos de programa\Spotify\spotify.exe »ZIP - Archivo comprimido dañado
C:\Archivos de programa\Total Video Converter\StarBurn_SuperVideoCD.iso »ISO »AVSEQ01.MPG - Archivo comprimido dañado
C:\Archivos de programa\Total Video Converter\StarBurn_VideoCD.iso »ISO »AVSEQ01.DAT - Archivo comprimido dañado
C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP169\A0036027.exe »ZIP - Archivo comprimido dañado
C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP173\A0036152.exe »UPX v13_m8 - Variante modificada de Win32/Kryptik.CNC (Troyano)
Cantidad de archivos analizados: 311601
Cantidad de amenazas detectadas: 4
Hora de finalización: 23:16:37 . Tiempo total de análisis: 2618 seg (00:43:38)

Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.

Luego reinicie y me salio otro mensaje del nod32:

c:\documents and settings\david\datos de programa\ykunu\picoo.exe - Variante modificada de Win32/Kryptik.CNC (Troyano)
c:\documents and settings\david\datos de programa\ykunu\picoo.exe > UPX v13_m8 - Variante modificada de Win32/Kryptik.CNC (Troyano)

Le pase otro escaneo y me salio esto:

Comienzo: 26/03/2011 2:19:13
Registro de sucesos
NOD32 Scanner versión 5986 (20110325) NT
- Está correcto en memoria operativa
en el sector activo de arranque del disco físico 1 - Error leyendo sector de disco

Fecha: 26.3.2011 hora: 02:19:16
La Tecnología Anti-Stealth está activada.
Discos, carpetas y archivos analizados: C:; D:
C:\pagefile.sys - Error abriendo archivo (Acceso denegado) [4]
C:\hiberfil.sys - Error abriendo archivo (Acceso denegado) [4]
C:\WINDOWS\system32\sdra64.exe - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\DEFAULT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SOFTWARE - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SYSTEM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\lowsec\local.ds - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\lowsec\user.ds - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\SoftwareDistribution\DataStore\DataStor e.edb - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp .edb - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb .log - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\ntuser.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{55BE0A63-5746-11E0-847B-000E35C78EA9}.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Internet Explorer\Recovery\Active\{55BE0A64-5746-11E0-847B-000E35C78EA9}.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP173\A0036159.exe - Win32/Spy.Zbot.YW (Troyano) - Puesto en cuarentena - Eliminado
Cantidad de archivos analizados: 77776
Cantidad de amenazas detectadas: 1
Cantidad de archivos desinfectados: 1
Hora de finalización: 02:41:09 . Tiempo total de análisis: 1313 seg (00:21:53)

Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.

NO SE, VE VE QUE ESTA VEZ ELIMINO EL Spy.Zbot.YW.
LUEGO BUSCQUE CON EL BUSCADOR DE WINDOWS TODOS ESTOS ARCHIVOS QUE SE SUPONEN QUE SON MALICIOSOS PERO SOLO ME ENCONTRO EL: picco.exe y el secure.exe ( localizados en C:/windows/pretefch) Y LOS PASE CON VARIOS ANTVIRUS ONLINE Y ME PONE QUE NO SON MALICIOSOS.

HOY LE HE PASADO EL ANTIVIRUS DE NUEVO Y ME SALE ESTO:

Comienzo: 26/03/2011 1055
Registro de sucesos
NOD32 Scanner versión 5986 (20110325) NT
- Está correcto en memoria operativa
en el sector activo de arranque del disco físico 1 - Error leyendo sector de disco

Fecha: 26.3.2011 hora: 10:11:04
La Tecnología Anti-Stealth está activada.
Discos, carpetas y archivos analizados: C:; D:
C:\pagefile.sys - Error abriendo archivo (Acceso denegado) [4]
C:\hiberfil.sys - Error abriendo archivo (Acceso denegado) [4]
C:\WINDOWS\system32\sdra64.exe - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\system.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\software.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\default.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\DEFAULT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SECURITY - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SOFTWARE - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SYSTEM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\config\SAM - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\lowsec\local.ds - Error abriendo archivo (El archivo está bloqueado) [4]
C:\WINDOWS\system32\lowsec\user.ds - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\ntuser.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\ntuser.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{837AD113-5789-11E0-847C-000E35C78EA9}.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Internet Explorer\Recovery\Active\{837AD114-5789-11E0-847C-000E35C78EA9}.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Internet Explorer\Recovery\Active\{C3EBED50-5789-11E0-847C-000E35C78EA9}.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Internet Explorer\Recovery\Active\{9CBC3CE0-578A-11E0-847C-000E35C78EA9}.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Internet Explorer\Recovery\Active\{BCD949A0-578A-11E0-847C-000E35C78EA9}.dat - Error abriendo archivo (El archivo está bloqueado) [4]
C:\Archivos de programa\WinRAR\default.sfx »RAR - No es posible hallar el siguiente archivo o volumen comprimido
C:\Archivos de programa\Eset\updfiles\upd7F55.ver »RAR »update.ver - Archivo comprimido dañado - el archivo podría no ser extraido.
C:\Archivos de programa\Spotify\spotify.exe »ZIP - Archivo comprimido dañado
C:\Archivos de programa\Total Video Converter\StarBurn_SuperVideoCD.iso »ISO »AVSEQ01.MPG - Archivo comprimido dañado
C:\Archivos de programa\Total Video Converter\StarBurn_VideoCD.iso »ISO »AVSEQ01.DAT - Archivo comprimido dañado
C:\System Volume Information\_restore{0AF59319-765D-4E4A-9919-B5DCA421ADFE}\RP169\A0036027.exe »ZIP - Archivo comprimido dañado
Cantidad de archivos analizados: 312264
Cantidad de amenazas detectadas: 0
Hora de finalización: 11:04:22 . Tiempo total de análisis: 3198 seg (00:53:18)

Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.

CREEN QUE REALMENTE YA NO TENGO EL TROYANO? SEGUN EL NOD32 ME DICE QUE NO, NO ENCONTRO NADA YA.
TODO ESTO TENIENDO EN CUENTA QUE TAMBIEN ACTUALIZE EL NOD32 A LA ULTIMA VERSION QUE SALE EN LA WEB OFICIAL (AUNQUE TENGO EL NOD32 2.7)

PENSABA PASARLE MAS ANTIVIRUS ONLINE QUE SALEN EN ESTA WEB POR SI ACASO: tecnologiadiaria.com/2010/01/lista-antiv…-gratis.html

UN SALUDO Y GRACIAS

Imagen original en http://img.infospyware.netdna-cdn.com/fstheme/images/misc/progress.gif
redline2001

Nod no suele quitar troyanos... para eso estan los spyware cleaners :P.

Consejo, instala el spyware search & destroy ( es gratis y fiable al máximo) cuando lo tengas instalado asegúrate de que está actualizado y el nod32 TAMBIÉN!.

Reinicias en modo a prueba de fallos sin función de red y lanzas el spyware search & destroy en su scan mas profundo, una vez terminado el scan del spyware y limpies lo que haya encontrado, lanzas el nod32 con todo el sistema de escaneo al máximo de profundidad y cuando termine, reinicies normal y nos cuentas.

Pd: Puede ser que el nod que tengas haya limpiado lo que tienes ( hace mucho que no uso windows y no se por donde van ya las cosas) pero por norma general las limpiezas han de hacerse con 2 tipos de aplicaciones y en modo a prueba de fallos para que te permita escanear partes del sistema que quedan inactivas en ese modo y en el que residen muchos virus y troyanos que normalmente no podrías eliminar por estar arrancando windows en modo normal.

Pd2: Pasar el ccleaner después de todo eso, también ayuda ;) .

BocaDePez

Hola,

El arranque en modo seguro y el Spybot Search & Destroy son una buena recomendación.

Aparte de ello, es recomendable pasar más de un antivirus.

Yo recomiendo el Antivirus de AVIRA; ej, arrancando desde CD linux

Desde OTRO PC preferiblemente, graba el .ISO de la siguiente

dirección www.avira.com/en/support-download-avira- … escue-system

Esto evita que el S.O. infectado arranque y es más fácil pillar a los bichos