Virus SYMLOADER
Enviado: agosto 22nd, 2008 | Autor: Manuel Ruvalcaba | Guardado en: Math.random() | Etiquetas: hacking, virus | 16 Comentarios »El día de ayer me infecte con un Virus que se propaga por medio de los USB drive, tengo deshabilitado el Autorun en todas sus instancias por lo mismo, pero le de di dos click en lugar de explorar.
A simple vista cuando ves los contenidos del Drive no aparece ningún archivo sospechoso, el problema es que oculta los archivos como “Archivos de sistema”, el código general para lograr esto es:
[code lang="DOS" line="1"]attrib +h +s +r[/code]
Por lo tanto aunque tengas habilitado mostrar los Archivos Ocultos no lo veras…
En fin lo que hace este Virus creado en Delphi es deshabilitar el REGEDIT y el Administrador de Tareas, para lograr esto edita las siguientes llaves de registro
[code lang="reg" line="1"][HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"SysDesc"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001[/code]
Crea una copia en C:\Windows\System32 con el nombre SYMLOADER.EXE, edita el archivos hosts (C:\WINDOWS\system32\drivers\etc\hosts) para deshabilitar el acceso a sitios populares de Antivirus o sites de update, después crea un thread (hilo para la bandita) en el proceso Explorer (explorer.exe), no confudir con el Internet Explorer… este thread trata de ejecutar una instancia del SYMLOADER cada 1-5 segundos, cada vez que corre edita las claves de registro que menciono arriba.
Durante la ejecución del SYMLOADER este utiliza el Process Tooltip para cerrar posibles instancias que puedan cerrar la aplicación, ejemplos de esto son el Taskbar, Regedit, Reg, MSCONFIG, etc., incluso aplicaciones third party como el Process Explorer, que identifique este ultimo realmente me tomo por sorpresa dado que demuestra que el dumbass que creo este virus no esta tan idiota… en fin he aquí como borrarlo.
Primero abre el archivo hosts y borra todas las tonterías que agrego el Virus:
[code lang="DOS" line="1"]notepad C:\WINDOWS\system32\drivers\etc\hosts[/code]
Con esto tu AV podrá actualizarse por desgracia el Norton y Kaspersky aun no lo detectan, ahora es necesario terminar el proceso si tienes el Active Protection en el Kaspersky detectara un archivo sospechoso, te dará una alerta y lo detiene así que activa que lo detenga automáticamente. Ahora bien descargate una copia del Process Explorer, cuando lo bajes descomprimelo y cámbiale el nombre al archivo no estoy seguro si detecta los Window Name, yo los edite con un Hex Editor pero fue porque pensé que usaba eso para detectar los programas, en fin si es el caso deja un comentario para agregar mas información.
Cuando abras el Process Explorer vete al menú Find > Find Handle or DLL, en la caja de texto escribe SYMLOADER y dale clic en Find, cuando lo encuentres dale dos clic aparecerá como un proceso hijo el Explorer una vez hecho esto abre una ventana de comandos y corre el siguiente comando:
[code lang="DOS" line="1"]cd C:\WINDOWS\system32
attrib -h -s -r SYMLOADER.EXE[/code]
No aparecera nada mas, ahora escribe el siguiente comando:
[code lang="DOS"]del SYMLOADER.EXE[/code]
Y deja la ventana lista, porque vas a tener que ser rápido, regresa al Process Explorer y da clic derecho a la instancia del SYMLOADER en el Explorer, da clic derecho y prepárate he aquí lo que tienes que hacer… Debes de seleccionar Close Handle, y despues inmediatamente Confirmar que quieres cerrar el Handle, regresar a la Consola de Comandos y correr el comando si eres lo suficientemente rápido abras logrado deshabilitarlo. Ahora el problema es que sigues sin Administrador de Tareas o REGEDIT para reactivar el REGEDIT bajate una copia de los RegTools por Doug Knox, correlo y se habilitaran las ediciones al registro, finalmente copia y pega el siguiente texto y guardalo como un archivo .REG un ejemplo RestauraPoliticas.REG
[code lang="reg" line="1"]Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"SysDesc"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore]
"DisableSR"=dword:00000000[/code]
Y listo te habrás librado de esta molestia. 
En caso que tengas problemas para eliminarlos manualmente deja un comentario y con gusto tratare de ayudarte.
hola… en la ventana de comandos supongo q es la de symbolo de sistema .. pero no me permite entrar en …system32
solo esta en documentos y sentings
.
bueno en fin no puedo deterner el SYMLOADER..
ayudam please
Prueba estos comandos uno por uno, no olvides poner el cd…
cd \
cd windows
cd system32
bueno yo por error abri
la carpeta en vez de analizarla
la verdad no se mucho
y mi amigo trato e eliminarlo
y el NOD32 tampoko lo pude eliminar pero lo rekonoce
solo kiero saber como acer esto
mi amigo lo blokeo pero kreo ke sige actibo
espero k me agreges y me des mas info
pork no instalar ni los programas k e bajado no me deja aserlo el virus
Dile a tu amigo que siga las instrucciones que puse aquí si sabe mas a o menos de computación es probable que pueda eliminarlo con esta mini-guía que escribí.
tengo un problema, llego asta la parte de del SYMLOADER.EXE, pero cuando corro el comande me dice: “acceso denegado” que puedo hacer??
gracias de antemano.
Tienes que cerrar el handle desde el Process Explorer (deje el link arriba) y muy rápidamente correr el comando del.
kiero aser una pregunta ??
el virus se puede infectar solo por msn
o por otra cosa como por ej el ares
responder graxias
cybr_xica_21@hotmail.com
mi msn
xau
Gracias, me libré del virus
Que tal Jocelyn, yo me infecte por medio de una llave USB, pero tengo entendido que es un Virus del Messenger, así que yo creo que solamente por llaves USB infectadas, carpetas compartidas por la red y si lo bajaste del Messenger.
grasias por responder
pero aun asi todabia
no me
e liberado del virus 8(
esk esta desabilitado el administrador de tareas lo k pasa es k mi amigo me
actualizo el pc desde entonses
siento k mi pc
no es mio
pork no lo entiendo
ni se k abrir pues tengo miedo
por ese virus
asi k nose ke aser
Muchas gracias Manuel me he librado de este virus molesto
THIS IS A MUCH MORE NASTY VIRUS THAN PREVIOUSLY THOUGHT
Symloader.exe Virus symptoms:
– Task Manager Disabled, throws error that you do not have administrator access, even if you do.
– Regedit (registry access) Disabled
– Msconfig will not open, task is killed by virus
– Disables McAfee Antivirus and some others
– Spreads and infects any flash drives that are inserted into the computer
– Spreads from infected flash drives to any computers that they are plugged in to.
– Deletes SDFix from any removable media
– Kills the tasks of any Spybot Search and Destroy, Alternate Registry editors, process explorers, antivirus programs which you try to install.
PLEASE DO NOT PLUG IN ANY FLASH DRIVES DURING THIS PROCESS, IF YOU MUST COPY FILES TO THE COMPUTER PLEASE USE A CDROM!!!!! ANY FLASH DRIVE YOU PLUG IN WILL BE INFECTED!!!!
What you need:
1. Knoppix
2. RRP
To Fix Physical Symptoms on Computer:
1. Log into computer and create the following batch file in a text editor, then run it:
cd C:\WINDOWS\system32
attrib -h -s -r SYMLOADER.EXE
del SYMLOADER.EXE
md symloader.exe
This batch file changes the attributes temporarily on symloader.exe, deletes the file, then replaces it with a folder named symloader.exe to fool the virus. If you don’t create a file with the same name then the virus will simply recreate itself (since during all this, the virus is running).
2. Now restart the computer. When you log back in, the folder that we just created in the batch file will pop up. Keep it open.
3. Go to start run, type msconfig and hit enter. Go to the Startup tab and find and uncheck the box next to symloader.exe.
4. You should now restart again and this time the c:\windows\system32\symloader.exe folder should not pop up when you log in.
5. You now need to install RRT(http://fileplaza.blogspot.com/2008/06/rrt-re-enable-task-manager-regedit-and.html) which will allow you to renable regedit and the task manager. BE CAREFUL AND USE A CD, NOT A FLASH DRIVE.
6. The last step is one that I’ve not actually done myself because we forgot and ended up reformatting the PC. You need to find out where the virus is still hiding. Chances are that it is in your C:\RECYCLER or C:\$RECYCLE.BIN folders. To see these you need to go to Tools > Folder Options > View > Uncheck ‘Hide Operating System Files’, Select Show Hidden Files, and Uncheck Hide known File extensions.
6a. Now go to C:\RECYCLER and C:\$RECYCLE.BIN and check to find out where the virus is hiding. Inside C:\RECYCLER you should have a folder called something like: S-1-5-21-1659456603-14503623922-1603740848-213811
The only way to know if this is your real recycle bin is to put a file in your recycling bin on your desktop!
Once you put a file in your Recycling bin it should show up in C:\RECYCLER\S-1-5-21-…..
What you want to be looking for is any folder inside C:\RECYCLER that isn’t your real recycling bin!!! That is where the virus is likely hiding!!! Try deleting any folders inside C:\RECYCLER that are not your real recycling bin. If you cannot do it in windows (if it gives you an access denied error) then try booting to Knoppix and doing it there. (It should work in Knoppix although you likely need to set the file permissions to “Write” (Make sure to click “Apply to Subdirectories”).
MAKE SURE TO REPEAT THIS STEP FOR ALL HARD DRIVES, EVEN IF THEY ARE NOT YOUR WINDOWS OS DRIVE!!!! (So check D:\Recycler, E:\Recycler etc.) AGAIN, I HAVE NOT DONE THIS STEP BUT I SUSPECT IT IS NECESSARY OR THE VIRUS WILL CONTACT A BOT SERVER.
To Fix Flash Drives and Remove Flash Drive:
1. Boot to Knoppix
2. Delete any .cmd files or .inf files on the flash drive.
3. Delete the RECYCLE file
A mí me pasó lo mismo hace tiempo, descargué todos los antivirus conocidos, pero ninguno lo detectaba, es más, ni siquiera se iniciaban…
A sí que un día, (cuando decidí formatear mi sistemea y volver a instalar el Windows XP), un amigo me prestó un CD grabado con el Windows XP Service Pack 2 uE (Unattended Edition).
Grande fue mi sorpresa cuando descubrí que éste CD venía con unos fabulosos programas, (de lo más nuevo).
Los que me sirvieron para eliminar este #$%&! virus fueron sólo dos:
- Tune Up Utilities 2007
- Unlocker
El Tune Up Utilities es un gran programa que te ayuda a supervisar, arreglar y optimizar tu computadora.
El Unlocker es un gran programa que te permite eliminar archivos:
Seguramente más de una vez has intentado eliminar un archivo y te aparece un mensaje de error diciendo que no se puede eliminar el archivo pues está siendo usado por otro programa. Bien, pues Unlocker desbloquea el programa que está usando y ¡elimina el archivo por la fuerza!
Sigue las instrucciones:
1-Haz clic con el botón derecho del mouse en la Papelera de Reciclaje y luego haz clic en Propiedades.
2-Pon la opción “Utilizar una configuración para todas las unidades” (si ya está esta opción ignora este paso y pasas al siguiente).
3-Luego activa la opción “No mover los archivos a la Papelera de Reciclaje. Quitar los archivos inmediatamente.” (si ya está esta opción ignora este paso y pasas al siguiente).
4-Descarga el Unlocker.
5-Descarga el Tune Up Utilities (el más reciente, aunque también me sirvió el 2007).
6-Instala el Unlocker primero y después el Tune Up Utilities.
7-Ve a C:\Windows\System32.
8-Utiliza el buscador de Windows en el botón “Buscar” del explorador.
9-Entra a la opción “Todos los archivos y carpetas”.
10-Haz clic en “Más opciones avanzadads”.
11-Pon una palomita en “Buscar en archivos y carpetas ocultos”
12-En la ventana del explorador, ve al menú herramientas, luego haz clic en “Opciones de carpeta…”, y enseguida, ve al menú Ver.
13-Busca la opción “Ocultar los archivos del sistema operativo (recomendado)” y quita la palomita. Cuando te aparezca una advertencia, haz clic en Sí.
14-Regresa al cuadro de búsqueda y en donde dice “Todo o parte del nombre del archivo” escribe “symloader” (sin comillas).
15-Dentro de un rato aparecerá el dichoso archivo. Luego haz clic en él y presiona la tecla Supr. o Del. en tu teclado.
Aparecerá un cuadro con el siguente mensaje:
“¿Desea eliminar el archivo “symloader.exe”?”
16-Haz clic en Sí.
Enseguida aparecerá el siguiente mensaje de error diciendo “No se puede eliminar “symloader.exe”. Está siendo usado por otra persona o programa.”
17-Haz clic en Aceptar.
Rápidamente se presentará una lista con el proceso:
EXPLORER.EXE
18-Haz clic en Desbloquear. (Si no aparece esto, ignora este paso y pasa al siguiente…)
19-Repite los pasos 15, 16 y 17.
Rápidamente se aparecerá una cuadro con el siguiente mensaje:
“No se encuentra bloqueado, sin embargo Unlocker puede ayudarle a eliminar este archivo.”
“Elija la opción que desee”
20-En la lista desplegable haz clic en Eliminar.
Enseguida aparecerá un cuadro con el siguente mensaje:
“Unlocker no pudo eliminar el archivo.
¿Desea eliminarlo al siguiente reinicio?”
21-Haz clic en “Sí”
22-Reinicia la computadora
23-Después de haber reiniciado la computadora, ejecuta en Tune Up Utilities.
24-En el menú de opciones del panel izquierdo, elije una de las opciones hasta que te aparezca la opción (en el panel derecho) “Editor de Registro”
25-Haz clic en esta opción.
26-Ve a la clave:
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\SysDesc]
27-Haz doble clic sobre ella.
28-Cambia el valor 1 a 0.
26-Ve a la clave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr]
29-Haz doble clic sobre ella.
30-Cambia el valor 1 a 0.
31-En el mismo menú, hay otra clave que dice: “DisableRegistryTools”
32-Cambia el valor 1 a 0.
Esto activará el Editor de Registro (el integrado con Windows) y el Administrador de tareas.
Y olvídate de activar restaurar sistema, pues acumula mucho virus.
33-Abre el explorador de Windows.
34-En el menú Herramientas, Opciones de carpeta, Ver, activa la opción “Mostrar todos los arcivos ocultos” (Si a pesar de esto no puedes ver los archivos ocultos, escribe en el explorador la ruta C:\RECYCLER, entonces ve al menú buscar y haz clic en Todos los archivos y carpetas y en donde dice Buscar en pon: Discos duros locales y haz clic en buscar, (sin poner ningún criterio). Entonces verás carpetas similares a ésta:
S-1-5-21-1659456603-14503623922-1603740848-213811
Selecciónalas y elimínalas.)
34-Ve a C:\RECYCLER
Verás carpetas similares a ésta:
S-1-5-21-1659456603-14503623922-1603740848-213811
35-Selecciónalas y elimínalas.
Y ya sabes la rutina. Aparecerá “No se puede eliminar “nombre del archivo”. Está siendo usado por otra persona o programa…” y aparecerá una lista y pondrás desbloquear. Luego las volverás a eliminar y listo.
Por último sigue éstos consejos:
-Cuando conectes una memoria elimina cualquier archivo que termine .cmd o .inf.
-Elimina la carpeta RECYCLER (Dentro de la memoria)
-Copia todos los archivos necesarios
-Formatea la memoria
-Descarga, instala y ejecuta el CCleaner, para borrar todas las entradas de registro innecesáreas.
-Si puedes, instala el Windows XP Service Pack 2 de nuevo (no formatees nada), para terminar de eliminar rastro de virus.
Y si persiste el virus, repite todos los pasos.
¡Saludos!
a Que archivo le tengo que cambiar el nombre no entieNdo ?
symloader.exe ni modo que cual…