hack by debuger

[mikmatcr]

Buenas he vuelto después de mucho tiempo.

Esta vez es por un script que esta molestando en un laboratorio, que hace una copia de archivos de office y oculta el verdadero archivo.

Adjunto el informe:



Fri Nov 14 16:01:19 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "amva"="C:\WINDOWS\system32\amvo.exe"

Entrada Eliminada [HKLM\...\Run] "MS32DLL"="C:\WINDOWS\Mskernel32.vbs"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute=wscript.exe Mskernel32.vbsSi Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

shellexecute=wscript.exe Mskernel32.vbsSi Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Nov 14 16:01:35 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Nov 14 16:02:47 2008

EliStartPage v17.42 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "MS32DLL"="C:\WINDOWS\Mskernel32.vbs"

Detectado AUTORUN.INF en la Unidad (C)

shellexecute=wscript.exe Mskernel32.vbsSi Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

shellexecute=wscript.exe Mskernel32.vbsSi Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

C:\Program Files\NetSupport Manager\PCIHOOKS.DLL --> Acceso Denegado, Keylog-Briss (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 10895

Nº Total de Ficheros: 88500

Nº de Ficheros Analizados: 27244

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



Ya he enviado la muestra.



Saludos!!!

[lucl]

Ok, pues ya sabes el lunes te diran algo, sobre esto



C:\Program Files\NetSupport Manager\PCIHOOKS.DLL --> Acceso Denegado, Keylog-Briss (Reiniciar para Completar la Limpieza)



reiniciaste para completar limpieza? Saludos

[msc hotline sat]

Simplemente, arranca con el CD de instalacion, pulsa R para ir a la consola de recuperacion, y desde el DOS elimina dicho fichero



saludos



ms, 15-11-2008

[mikmatcr]

Si, solamente que lo del netsupport no hay problema, pues es un programa que se usa para monitorear las pcs del laboratorio.



El del Hack by Debuger si es el que esta dando problemas, pues el avg lo dejo pasar.



Lo borramos con avira, pero quedan rastros el registro.



Por ejemplo, modifica el boot.ini.

[msc hotline sat]

Pues lo mejor en estos casos es acceder a un punto de restauracion anterior al problema...



Aparte veo posibles virus de pendrive, envianos estos fos ficheros para analizar, gracias:



c:\Mskernel32.vbsSi

c:\autorun.ing





y lanza el ELIPEN para vacunar ordenadres y unidades de pendrive:



ELIPEN



http://www.zonavirus.com/descargas/elipen.asp



Tras ello nos posteas en c:\infosat.txt, gracias



saludos



ms, 16-11-2008

[msc hotline sat]

Pues con el ELISTARA de hoy 17.43 pasamos a controlar este malware como worm.PICA(VBS)




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 17-11-2008











NOTA: En el código VBS vemos que los ficheros con extension "mp3" Or ext = "wav" Or ext = "mp4" Or ext = "3gp" Or ext = "avi" Or ext = "dat" Or ext = "wmv"



y los que tienen extension "xls" Or ext = "doc" Or ext = "ppt" Or ext = "pdf"



y por ultimo "jpg" Or ext = "bmp" Or ext = "ico" Or ext = "gif" Or ext = "emf"



Pueden haber sido afectados y sobreescritos con la frase "Hack by Debugger !!! " , los cuales darán dicho mensaje de error y posiblemente no funcionarán., en cuyo caso deberan ser eliminados o sustituidos.

[mikmatcr]

Ok, ya mandé a escanear el laboratorio, estoy a la espera del informe y les aviso.



Saludos!!

[mikmatcr]

Ok, ya lo he pasado, pego el infosat.



Tue Nov 18 15:36:42 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\MSKERNEL32.VBS --> Eliminado

C:\WINDOWS\BOOT.INI --> Eliminado

Entrada Eliminada [HKLM\...\Run] "boottmp"="wscript.exe /E:vbs C:\DOCUME~1\U-00\LOCALS~1\Temp\boot.ini"

Entrada Eliminada [HKLM\...\Run] "MS32TMP"="C:\DOCUME~1\U-00\LOCALS~1\Temp\Mskernel32.vbs"

Entrada Eliminada [HKLM\...\Run] "winboot"="wscript.exe /E:vbs C:\WINDOWS\boot.ini"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 18 15:36:49 2008

EliStartPage v17.44 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\MSKERNEL32.VBS --> Eliminado, Worm.Pica(vbs)





Ya con esto pueden cerrar el tema, y agradezco la ayuda que me brindaron.

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 19-11-2008