VIRUS FUCKOFFICE.VBS

[goidifercho]

BUENAS TARDES TENGO UN INCONVENIENTE CON UN VIRUS LLAMADO "WSCRIPT.EXE FUCKOFFICE" EL CUAL ME MODIFICO TODOS LOS ARCHIVOS DE OFFICE A UNA MISMA HORA TODOS CON UN MISMO PESO (1KB) Y NO ME DEJA ABRIR NINGUNO DE LOS ARCHIVOS ME APARECEN EN OFFICE 2007 UN LETRERO DE CONTENIDO COMO "YOU ARE FUCKED XD" Y EN OFFICE 2003 UN AVISO DE ALERTA EL CUAL ME INDICA QUE NO SE PUDO INICIAR EL CONVERTIDOR mswrd632 Y APARECEN CUADROS Y CARACTERES YA ELIMINE EL VIRUS Y LOS ARCHIVOS SIGUEN DAÑADOS PROBE CON EASY RECOVERY Y SIN SOLUCION.

GRACIAS POR LA ATENCION PRESTADA

[msc hotline sat]

No nos indica no el sistema operativo que usa, ni los parches aplicados ni el Antivirus que tiene instalado..., pero de entrada sepa que existe una vulnerabilidad en windows que afecta al mswrd632 y que requiere tener instalado el MS09-073 para evitar la intrusion de malwares por dicho motivo:



http://support.microsoft.com/kb/973904/es



En cualquier caso, como que ya su antivirus ha eliminado el virus que parece ser la causa, posteenos el log del SPROCES para analizarlo y ver datos que nos permitan ayudarle:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 31-7-2010





NOTA:



Aparte, podría probar de reinstalar el word, que es el que instala dicho fichero, a ver si con ello se restaura y vuelve a funcionar dicha aplicacion. ms.

[goidifercho]

El sistema operativo usado es windows xp professional, tambien se afecto una maquina con windows seven professional, el antivirus usado es nod32 bussines V4. El dia de mañana t posteo el resto que me pide debido a que la maquina no la tengo a la mano.

Herramientas usadas para la eliminacion de virus, elistar, elitriip, sin resultados; debido a que tambn modifico el registro, ya que cuando quise ingresar al registro me aparecia deshabilitado, lo solucione con el antimalware Malwarebytes. el virus lo identifique al ver los documentos ya que el el registro de mi antivirus no aparecian registrados sucesos con el nombre, entonces los busque en registro y me aparecia como "wscript.exe fuckoffice.vbs".

[msc hotline sat]

Pues si dice que "lo solucione con el antimalware Malwarebytes", y persiste la anomalía en la visualizacion de ficheros, pruebe reinstalar WORD, y si ni con esto lo soluciona, posteenos log del SPROCES, como ya le pedíamos, a ver si aparece algo que deba corregirse.



saludos



ms, 2-8-2010

[goidifercho]

(3-8-2010 05:31:32 GMT)

SProces v4.7 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: PCDAVID

Nombre Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\INTEL(R) MANAGEMENT ENGINE COMPONENTS\LMS\LMS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\INTEL(R) MANAGEMENT ENGINE COMPONENTS\UNS\UNS.EXE

C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE

C:\ARCHIVOS DE PROGRAMA\LAUNCH MANAGER\LMANAGER.EXE

C:\WINDOWS\PLFSETL.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\JAVA\JAVA UPDATE\JUSCHED.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\WIDCOMM\BLUETOOTH SOFTWARE\BTTRAY.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\MSIEXEC.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGNSX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGRSX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCHSVX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGCSRVX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG9\AVGTRAY.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG9\avgssie.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AzMixerSel] C:\Archivos de programa\Realtek\Audio\Drivers\AzMixerSel.exe

O4 - HKLM\..\Run: [LManager] C:\Archivos de programa\Launch Manager\LManager.exe

O4 - HKLM\..\Run: [PLFSetL] C:\WINDOWS\PLFSetL.exe

O4 - HKLM\..\Run: [snp2uvc] rundll32.exe C:\WINDOWS\system32\csnp2uvc.dll,ResetCIDS

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SVCHOST] wscript.exe C:\windows\system32\fuckOffice.vbs

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARCHIV~1\AVG\AVG9\avgtray.exe

O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Enviar a Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1274472182921

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_20) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG9\avgpp.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\btaudio.sys (de 533024 bytes) () Broadcom Corporation.

WinSys\Drivers\btkrnl.sys (de 991136 bytes) () Broadcom Corporation.

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\HSF_CNXT.sys (de 731264 bytes) () Conexant Systems, Inc.

WinSys\Drivers\HSF_DPV.sys (de 985856 bytes) () Conexant Systems, Inc.

WinSys\Drivers\mrxsmb.sys (de 455680 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG9\avgwdsvc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Archivos de programa\Intel\Intel(R) Management Engine Components\LMS\LMS.exe

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Archivos de programa\Intel\Intel(R) Management Engine Components\UNS\UNS.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ambfilt - Creative - C:\WINDOWS\SYSTEM32\drivers\Ambfilt.sys

O23 - Service: Atheros AR5008 Wireless Network Adapter Service (AR5416) - Atheros Communications, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\athw.sys

O23 - Service: Dispositivo de audio Bluetooth (btaudio) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\drivers\btaudio.sys

O23 - Service: Enumerador de bus Bluetooth (BTKRNL) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btkrnl.sys

O23 - Service: btwhid - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\DRIVERS\btwhid.sys

O23 - Service: Dritek Keyboard Filter Driver (DKbFltr) - Dritek System Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DKbFltr.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Intel(R) Management Engine Interface (HECI) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\HECI.sys

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWAZL.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DPV.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\igxpmp32.sys

O23 - Service: Impcd - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Impcd.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Sonido Intel(R) para pantallas (IntcDAud) - Intel(R) Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\IntcDAud.sys

O23 - Service: Broadcom NetLink (TM) Gigabit Ethernet (k57w2k) - Broadcom Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\k57xp32.sys

O23 - Service: Monfilt - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\drivers\Monfilt.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: USB2.0 PC Camera (SNP2UVC) (SNP2UVC) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\snp2uvc.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



31 Servicios.

8 de Carga Automatica.

22 de Carga Manual.

1 Deshabilitados.

[msc hotline sat]

Pues vemos que tienes una clave que lanzas este fichero:



C:\windows\system32\fuckOffice.vbs



añade .VIR a su extension y envianoslo para analizar





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 2-8-2010

[goidifercho]

QUERIA SABER QUE HA SUCEDIDO CON LA MUETSRA DEL VIRUS QUE LES ENVIE O SABER SI LES LLEGO EL FICHERO SI NO ES ASI VOLVERLO A ENVIAR GRACIAS POR LA ATENCION PRESTADA

[msc hotline sat]

Estamos de vacaciones y las muestras que se reciben en dicho periodo se revisaran a la vuelta, partir del 23 de Agosto. Pero mientras quedará aparcado el problema añadiendo .VIR a su extension y reiniciar, como ya indicabamos:


[quote="msc"]
Pues vemos que tienes una clave que lanzas este fichero:



C:\windows\system32\fuckOffice.vbs



añade .VIR a su extension y envianoslo para analizar
[/quote]

Luego, cuando hayamos implementado en el proximo ELISTARA su deteccion y eliminacion (gracias a la muestra), pruebalo y asi se eliminarán claves de registro al respecto y demás.



Lo importante es que ahora, con lo indicado, quede aparcado el problema y no incordie para seguir trabajando.



saludos



ms, 4-8-2010