Hola, primero quiero felicitar a todos los que colaboran con esta grandiosa comunidad, espero que me puedan ayudar.

Mi PC esta infectada con el Downloader-YK. Estos son los síntomas:

- Abro IE 6.0 (SP2) y se abren 3 o 4 Pop-ups al mismo tiempo. También se abre una molesta barra azul en la parte de abajo haciendo propaganda y llevandote a CoolWebsearch si le das click.

- Abro IE y McAfee (v8.0 professional, DAT's actualizados) larga una advertencia de un archivo infectado con el troyano Downloader-YK en "C:\Windows\System32" que ha sido limpiado pero si le doy click en "continuar" vuelve a salir 4 o 5 veces seguidas la misma advertencia con el mismo nombre de archivo y esto se repite con varios archivos diferentes (creo que ninguno es archivo de sistema).

- Puedo navegar en IE pero se abren demasiados pop-ups (incluso con el pop-up blocker de SP2), por lo cual uso Netscape :D

¿Qué he hecho para tratar de eliminarlo?
Seria mejor preguntarse qué NO he hecho.
- Corro regularmente Ad-Aware SE Personal actualizado (v1.03). Lavasoft.
- Corro regularmente Stinger (McAfee Inc.)
- Corro regularmente Spybot - Search and Destroy (v1.3 actualizado). Safer Networking.
- Corro regularmente Tauscan 1.6 (de Agnitum)
-------------------------------------------------------------------
AQUI MANDO EL LOG DEL HJT A VER SI ME PUEDEN DAR UNA MANO... MUCHAS GRACIAS.

Logfile of HijackThis v1.99.1
Scan saved at 20:24:49, on 11/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
c:\archiv~1\intern~1\iexplore.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fzsucdeguabsgcaukvpyacrfn.com/JCfzZ3QSBczwho6BQcKMk
I02v/yRjEe8/7lSO1fTQ641aVvMW6i296NqaJb5NDc4.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sibgg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\sibgg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sibgg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sibgg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sibgg.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sibgg.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {CBD8F541-0C17-2308-CE59-19ACBB1E7CB6} - C:\WINDOWS\iehm.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [TrayComm] TrayComm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Way grim stupid cdrom] C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Rule real way grim\joycool.exe
O4 - HKLM\..\Run: [apinf.exe] C:\WINDOWS\apinf.exe
O4 - HKLM\..\Run: [McRegWiz] c:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [2 size] C:\DOCUME~1\Ezequiel\DATOSD~1\FACEBU~1\error warn does.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12c317a07f127c0d5800/netzip/RdxIE601_es.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110157486235
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\creq32.exe (file missing)
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe


Muchas gracias de antemano. Cualquier dato adicional que necesiten por favor pidanlo y respondere a la brevedad.
cherny2004

Hola te doy la bienvenida al Foro de Spyware, empeza siguiendo los pasos de el "Tutorial de Spywares" con las herramientas Microsoft Antispyware, Ad-Aware SE y SpyBot.

Pásale el "Trend Micro Antivirus Online" y genera un nuevo log de HijackThis para pegarlo en este mismo mensaje y decirnos los resultados de los análisis de las herramientas.

Salu2

Gracias por la recomendación ElPiedra... seguí toda la guía paso a paso y los síntomas cada vez son peores... te mando el nuevo log después de seguir la guia.

GRACIAS.
--------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:47:50, on 12/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\TrayComm.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\apinf.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\ctfmon.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svch
ost.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Netscape\Netscape\Netscp.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wdjnrxnpog.us/JCfzZ3QSBczwho6BQcKMkI02v/yRjEe8
/7lSO1fTQ64TLnQaXz6Hg6NqaJb5NDc4.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {A0B5AE4D-89E5-F22A-060E-06256A646F77} - C:\WINDOWS\mfcia32.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [TrayComm] TrayComm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Way grim stupid cdrom] C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Rule real way grim\joycool.exe
O4 - HKLM\..\Run: [apinf.exe] C:\WINDOWS\apinf.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [2 size] C:\DOCUME~1\Ezequiel\DATOSD~1\FACEBU~1\error warn does.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12c317a07f127c0d5800/netzip/RdxIE601_es.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110157486235
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\creq32.exe (file missing)
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
--------------------------------------------------------------------------------

Hola

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Deberás marcar estas líneas en el Hijackthis para reparar:

• C:\WINDOWS\TrayComm.exe
• C:\WINDOWS\apinf.exe
• R3 - Default URLSearchHook is missing
• O2 - BHO: (no name) - {A0B5AE4D-89E5-F22A-060E-06256A646F77} - C:\WINDOWS\mfcia32.dll
• O4 - HKLM\..\Run: [TrayComm] TrayComm.exe
• O4 - HKLM\..\Run: [apinf.exe] C:\WINDOWS\apinf.exe
• O4 - HKCU\..\Run: [2 size] C:\DOCUME~1\Ezequiel\DATOSD~1\FACEBU~1\error warn does.exe
• O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\creq32.exe (file missing)

Si los encuentras, deberás borrar estos archivos y carpetas:

• C:\WINDOWS\TrayComm.exe
• C:\WINDOWS\apinf.exe
• C:\WINDOWS\mfcia32.dll
• C:\DOCUME~1\Ezequiel\DATOSD~1\FACEBU~1\error warn does.exe

Esto no lo conozco, deberás revisar sus propiedades y ver si pertenece a algo que hayas instalado, si no es así, renómbralo y observa el funcionamiento de tu sistema durante un par de días, si nada va mal, bórralo. Si sabes que es o tiene alguna información que nos pueda servir, te la agradeceremos. Si no te suena de nada y quieres saber si es un código malicioso, puedes hacerlo analizar en esta página.

• C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Rule real way grim\joycool.exe

Si borras esos archivos, deberás marcar esto en el hijackthis para reparar

• O4 - HKLM\..\Run: [Way grim stupid cdrom] C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Rule real way grim\joycool.exe

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Felicidad

ElPiedra, te agradezco muchisimo la ayuda... hace 2 dias hice todo lo que me dijiste y la computadora ha funcionado 10 puntos... desaparecieron todos los pop-ups de internet explorer, todas las barras molestas y lo mas imporante: EL MALDITO TROYANO DOWNLOADER-YK

Me imagino que seguirá funcionando bien, cualquier cosa te aviso.

Otra vez muchisimas gracias,
Ezequiel Chernikoff