Virus del Vnc. Ayuda Urgente. (SOLUCIONADO)

EL_GALLO · Mensaje por **EL_GALLO** » 09 Jul 2007, 06:38

Antes que nada reciBan un cordial saludo.

Mi problema es graVe, Trabajo para una empresa Hotelera, y trabajamos mediante un dominio.

Teniamos el VNC en las maquinas de los Usuarios. Pero hace 5 dias nos empezaron a reportar que nos estabamos conectando a sus maquinas sin aViSarles. Pues nada, No se si sea virus, troyano etc. Primero pensamos que era alguien de fuera que nos estaba molestando, pero despues nos dimos cuenta que hacia lo mismo en cada maquina. Abria el comand y ejecutaba unos comandos, despues te cerraba las ventanas que tuvieras abiertas y depsues te ejecutaba el Administrador de tareas.

Lo que hicimos fue quitar el VNC en todas las maquinas y pensamos que ya no se ejecutarias ese bicho.

Pero el dia de ayer sabado, a la maquina de mi jefe, se le ejecuto una pantalla negra como el command con el nombre de SVVCHOST.EXE como detalle las letras eran verdes.

El problema es que al cerrarlo, ya no lo dejo trabajar en red.

Si te permite ping a los servidores, pero si desde ejecutar le escribes la direccion \\direccion IP no te permite entrar a ningun servidor ni pc. El problema es que como se trabaja con accesos directos de los servidores pues no los ejecuta y no puede trabajar, hasta el dia de hoy tenemos 4 maquinas de usuarios con el mismo problema, Me urge me ayuden por que si le pega a uno de nuestros servidores entonces si se nos arma.

Espero su respuesTA y Gracias.....

Mensaje por **msc hotline sat** » 09 Jul 2007, 06:55

Está claro que este SVVCHOST.EXE es un malware que le pedimos nos envie para analizar y controlar en las proximas versiones de nuestras utilidades:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Mientras, pruebe nuestras dos utilidades estrella y comentenos el resultado:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 9-08-2007

EL_GALLO · Mensaje por **EL_GALLO** » 10 Jul 2007, 18:44

Estimado ya te mande un mail, con el archivo que me pides.

Si me quito muchos virus, pero sigue sin funcionar la maquina.

Mensaje por **msc hotline sat** » 10 Jul 2007, 19:01

Por favor ! no nos haga perder el tiempo !!!

Hemos rebuscado el fichero indicado y resulta que habia sido enviado a la papelera por ser un TXT y esto no debe enviarsenos sino postearlo en el foro, con un copiar y pegar

Envie los ficheros que se le piden para analizar, que deben ser .EXE, sino no se pueden monitorizar, se dice muy claro en las Normas:

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

ms.

EL_GALLO · Mensaje por **EL_GALLO** » 10 Jul 2007, 23:36

Una disculpa, el ejecutable no lo tengo ya que no lo pude sacar de la maquina. Solo se que se ejecuto como Svvchost.exe

____________________________________________________

Mon Jul 09 13:22:13 2007

EliTriIP v3.75 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

ALERTA. WindowsUpdate Incompleto.

Mon Jul 09 13:22:48 2007

EliTriIP v3.75 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Hum&Software\Hum&Select\Hum&Select.exe --> Eliminado, IRCBot

C:\temp\Maclan901\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

Exploración Detenida por el Usuario.

Mon Jul 09 22:57:52 2007

EliTriIP v3.75 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Mon Jul 09 22:58:18 2007

EliTriIP v3.75 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jul 09 23:35:19 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL --> Eliminado ShopprReports

Por favor, envienos una muestra del fichero

C:\Muestras\AVAYAWEBDIAL.DLL.Muestra EliStartPage v14.37

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\AVAYA\AVAYA IP SOFTPHONE\AVAYAWEBDIAL.DLL --> Eliminado

Eliminada Class, "{0774F696-D801-4C18-81A7-A3A32B8BEF19}" -> C:\Archivos de programa\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

Eliminada Class, "{1E6AC766-9094-4BCF-ABD3-39E2EAEA5FCD}" -> C:\Archivos de programa\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

Eliminada Class, "{2178C864-B8BC-41AE-A1FB-EB6A32F87EB1}" -> C:\Archivos de programa\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

Eliminada Class, "{2A8A997F-BB9F-48F6-AA2B-2762D50F9289}" -> C:\Archivos de programa\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

Eliminada Class, "{454B4812-E572-4703-A1BB-63490809EAC0}" -> C:\Archivos de programa\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

Eliminada Class, "{580A1F3F-89B4-433B-BBDB-B97AEB13F3FC}" -> C:\Archivos de programa\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

Eliminada Class, "{A798E2B4-B6A0-4B96-8C53-8EC7A3B0895A}" -> C:\Archivos de programa\ShopperReports\Bin\1.0.5.0\ShprRprt.dll

Eliminada Class, "{CE7C3CF0-4B15-11D1-ABED-709549C10000}" -> C:\Archivos de programa\Avaya\Avaya IP Softphone\AvayaWebDial.dll

Eliminada Class, "{7c1ce531-09e9-4fc5-9803-1c2956615786}" -> NULL2

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminada Carpeta "%Archivos de Programa%\HbTools"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 09 23:37:17 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Sybase\Shared\Sun\jdk118\bin\MATH_G.DLL --> Eliminado, Malware.ASPI

C:\Archivos de programa\Sybase\Shared\Sun\jdk118\bin\SYSRESOURCE_G.DLL --> Eliminado, Puper-Is

C:\Informix\Client-SDK\bin\FINDERR.EXE --> Eliminado, Puper-Is

Mensaje por **msc hotline sat** » 11 Jul 2007, 07:20

Pues dejando a un lado el SVVCHOST hasta que pueda enviarnos muestra, haga lo propio con el que le pide el ELISTARA :

Por favor, envienos una muestra del fichero

C:\Muestras\AVAYAWEBDIAL.DLL.Muestra EliStartPage v14.37

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Cuando lo recibamos lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

Y con un Inicio -> Buscar -> Todos los ficheros y carpetas -> SVVCHOST.EXE

vea si encuentra este otro y nos lo envia tambien, claro.

saludos

ms, 11-07-2007

EL_GALLO · Mensaje por **EL_GALLO** » 12 Jul 2007, 22:04

LA MUESTRA YA FUE ENVIADA EL DIA DE HOY POR CORREO, EL .exe NO LO ENCONTRE EN LA PC.

GRACIAS...

Claudia34 · Mensaje por **Claudia34** » 13 Jul 2007, 05:15

Pues ademas te faltan parches del sistema operativo, realiza un windows update completo para tapar los agujeros que hay en tu sistema y asi estar protegido aunque sea un poco mas frente a los ataques de gusanos, troyanos, hackers, etc.. Saludos.

Claudia34 · Mensaje por **Claudia34** » 13 Jul 2007, 05:17

Y para complementar no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Mensaje por **msc hotline sat** » 13 Jul 2007, 07:52

Y cuando hayamos analizado la muestra de la DLL en cuestion, implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 13-07-2007

Mensaje por **msc hotline sat** » 13 Jul 2007, 12:47

RECIBIDA LA MUESTRA DE TRATA DE UNA NUEVA VARIANTE DEL BLACK STONED, que pasamos a controlar en la version de hoy del ELISTARA 14.42

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SALUDOS

MS, 13-07-2007

EL_GALLO · Mensaje por **EL_GALLO** » 18 Jul 2007, 03:07

Muchas gracias por su apoyo, ya encontramos una Herramienta, se llama winsockxpfix. Este virus mencionado anteriormente nos pego por falta de actualizaciones. No creo que nos pase de nuevo. De antemano les agradesco su apoyo. Gracias a todos...

Mensaje por **msc hotline sat** » 18 Jul 2007, 09:11

Ya le indicamos que desde el ELISTARA 14.42 SE CONTROLABA Y ELIMINABA dicha variante, [size=167]~~[b]~~desde ya hace 5 días !!![/b][/size]

Solucionado el Tema, procedemos a cerrarlo

saludos

ms, 18-07-2007