Troyano en elementclient.exe

Wood · 27/01/2008, 19:04

bueno , resulta que hoy me detecto el antivirus que habia un troyano en la carpeta del pw.

lo analice en las maquinas que tenia el PW , y todas las maquinas les detectaba el mismo troyano. dejo imagen:

Sauron · 27/01/2008, 19:09

No sos el 1ro que tiene este problema, subi la imagen pq no se ve, asi veo que corno dice. Es algo rarisimo, porque el exe no esta encriptado ni nada por el estilo, es el original con un byte cambiado nomas.

Wood · 27/01/2008, 19:17

a ver , dejo el link : http://img136.imageshack.us/img136/1...viruspwur0.jpg

acabo de leer algo buscando por google :

Yeah coz all databases of antivirus have just been updated with this trojan/worm

I found it in the first client (without update)

When the worm executes, it creates the following files:

%System%\kavo.exe
%System%\kavo0.dll

The file kavo0.dll is then injected into all running processes.

It also creates the following file, which is a copy of Hacktool.Rootkit:
%Temp%\[RANDOM FILE NAME].dll

The worm then copies itself to all drives from C through Z as the following file:
[DRIVE LETTER]:\ntdelect.com

It also creates the following file so that it executes whenever the drive is accessed:
[DRIVE LETTER]:\autorun.inf

Next, the worm creates the following registry entry so that it executes whenever Windows starts:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
\Run\"kava" = "%System%\kavo.exe"

It then modifies the following registry entries:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SH OWALL
\"CheckedValue" = "0"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\"ShowSuperHidden " = "0"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAuto Run" = "0x91"

The worm checks if it has been injected into any of the following processes:

zhengtu.dat
elementclient.exe
dekaron.exe
hyo.exe
wsm.exe and ybclient.exe
fairlyclient.exe
so3d.exe
maplestory.exe
r2client.exe
InphaseNXD.EXE

It then attempts to steal information for the following online games:

ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver

de aca lo encontre Perfect World elementclient.exe issue - Perfect World - elitepvpers

Sauron · 27/01/2008, 20:41

pasame tu elementclient.exe, zipealo y metelo en algun lado que quiero ver si es el mismo o tiene un bicho.

Wood · 27/01/2008, 20:43

uhm , lo vole a la mierda , y no tengo mas el instalador =/ (debido a que despues de ponerle aceptar me decia de borrarlo , y le puse eliminar)

sin el elementclient no se puede jugar? o lo tengo que bajar devuelta al juego entero?

Sauron · 27/01/2008, 20:48

utiliza el updater del loader, fijate tambien en el task manager (alt ctrl supr) si hay ejecutandose un kavo.exe, kav no porque ese es tu antivirus.

Wood · 27/01/2008, 20:55

no , por suerte no.

y gracias por la respuesta rapida.

Hydu · 27/01/2008, 21:05

A muchos se le soluciona con el loarder, probalo

kb55 · 28/01/2008, 12:56

Iniciado por Sauron

pasame tu elementclient.exe, zipealo y metelo en algun lado que quiero ver si es el mismo o tiene un bicho.

A mi me pasa lo mismo, acá lo subí al exe: elementclient.zip

tuby10 · 28/01/2008, 20:37

a mi me pasa lo mismo....

TR/Delf.avb es el gusano que detecta el antivirus...

tr es troyan

/ delf.avb es el virulo.

tonces buscamos delf.avb en google nada relevante...

entonces vamos a la lista de TR de avira Y SAS aparece tonces uqe deciemo que cagada loco. por que no le compro el soft a esta gente asi me limpia el virulo naa noda. mucho cash

bueno

era para mostrarles el virulo que salta.

saludos

Tema: Troyano en elementclient.exe

Herramientas

Visualizar