Ayuda doble acento.

[yoquim]

Saludos

[msc hotline sat]

Pues este fichero es muy sospechoso:



C:\WINDOWS\system32\Lcass.exe



Envianoslo para analizar (posiblemente esté oculto y con atributo de sistema, configura windows para verlo o quitale los atributos)





Si no lo ves, copialo a C:\muestras con el ELIMOVER, y desde alli te será facil:





DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio



y para enviarnoslo:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 22-1-2010







NOTA:

ver mas informacion al respecto del troyano en http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-070610-5827-99&tabid=2

[yoquim]

Intentare lo que me dice.

No obstante el achivo en hijack parece ser lsass, no Lcass.

Gracias por su ayuda!.

[yoquim]

Segun he visto este fin:

[msc hotline sat]

El Sasser es un viejo conocido, ya casi erradicado, que controlamos desde hace mucho tiempo con el ELISTARA, pero de lo que hablamos en tu caso es del Lcass.exe, no del Lsass.exe...



Tal como te decíamos, envianoslo para anlizar y tras ello informaremos



Pero vigila, no nos envies el Lsass.exe, que es del sistema, sino este Lcass.exe , que tiene muchas probabilidades de ser malware.



saludos



ms, 24-1-2010

[yoquim]

Saludos.

Como me decia no he encontrado el archivo.

Con Elimover he intentado copiarlo y me dice que el archivo no existe.

Lo que si he visto en windows/system32 es una lcass.dll.

[msc hotline sat]

Pues envianoslo, seguramente está relacionado y veremos si es posible que nos sea suficiente para solucionar el problema.



saludos



ms, 25-1-2010







NOTA: y busca de nuevo dicho LCASS.EXE pero esta vez en C:\RECYCLER\Lcass.exe y hazlo tambien con el ELIMOVER, ya que esta carpeta puede tener un desktop.ini con class de papelera y no ser facilmente accesible.



Si el ELIMOVER lo localiza, lo copias a C:\muestras y desde alli nos lo envias



Además, vacuna el ordenador y todos los pendrives con el ELIPEN, ya que este virus puede transmitirse a traves de pendrive, y nos posteas el informe resultante:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



ms.

[yoquim]

Mando los dos archivos el Lcass y el generado por elipen.

A ver si pueden ayudarme porque estoy un poco deseperado.

Gracias.

[msc hotline sat]

Las muestras de ficheros sospechosos para analizar se deben enviar conforme indicado, pero los informes debes postearlos aqui, con un copiar y pegar de su contenido:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



[b]EL INFORME GENERADO POR EL ELIPEN , (C:\infosat.txt) abrelo con el bloc de notas y con un copiar y pegar, nos posteas su contenido como respuesta de este Tema.[/b]



Y si ha renombrado algun AUTORUN.INF a AUTORUN.INF.OLD , haces lo mismo, asi veremos que lanzaba dicho AUTORUN



Aparte, para ver a fondo lo que ha hecho el malware, descarga el SPROCES.EXE y tras ejecutarlo nos posteas el informe resultante:



[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 26-1-2010



saludos



ms, 26-1-2010

[yoquim]

este el infoSat.

(26-1-2010 07:21:53)

EliMover v1.1b (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------

Fichero: "C:\windows\system32\Lcass.dll" -> Copiado a "C:\Muestras"



(26-1-2010 07:54:59)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Unidad C:\ YA esta Protegida



(26-1-2010 07:56:13)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado E:\Autorun.inf

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



(26-1-2010 07:56:49)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ YA esta Protegida

[yoquim]

Gracias.

[yoquim]

Me ha pasado algo curioso.

[msc hotline sat]

Tu mismo...



Al menos posteanos lo que deciamos:


[quote]Y si ha renombrado algun AUTORUN.INF a AUTORUN.INF.OLD , haces lo mismo, asi veremos que lanzaba dicho AUTORUN[/quote]



Así que abrelo con el bloc de notas y con un copiar y pegar nos posteas su contenido, para ver lo que contiene dicho AUTORUN.



saludos



ms, 26-1-2010

[yoquim]

Lo siento.

No entiendo lo que quieres del autorun.

He posteado lo que aparece en el infosat.txt.

¿Abro el autorun con notepad?¿ El .old? No entiendo. Lo siento.

Si ha renombrado uno.

Es el de un pen.

[msc hotline sat]

Pues los AUTORUN que encuentres, ábrelos con el bloc de notas, selecciona su contenido y los pegas en tu próximo post de respuesta a este Tema



Si era AUTORUN.INF ahora se debe llamar AUTORUN.INF.OLD, para que no pueda lanzarse, pero lo que interesa es ver lo que lanzaba, y esto lo veremos dentro, en la linea del "OPEN =" o la del "SHELL EXECUTE =" y veremos el fichero que lanza y podremos obrar en consecuencia.



saludos



ms, 26-1-2010