TENGO VIRUS ISRAFEL WORM/GEDZAC LABS 2003. COMO LO ELIMINO?
DICE LIBERTAD PALESTINA. HECHO EN PERU...
AYUDA
atte. Jessu Ramirez
ISRAFEL WORM/GEDZAC LABS 2003
Te dejo un link la herramienta....
http://www.zonavirus.com/descargas/eligedza.asp
La herramienta la corres poniendo tu computadora a modo prueba de fallos....
nos avisas como te fue....
http://www.zonavirus.com/descargas/eligedza.asp
La herramienta la corres poniendo tu computadora a modo prueba de fallos....
nos avisas como te fue....
La vida es hermosa....para que complicarnosla -
MachineDramon
- Mensajes: 3
- Registrado: 05 May 2004, 08:42
VBS/Israfel
Hola
Estuve analizando unas de sus utilidades y encontre algo en la EliGedza.exe v1.3
Siendo este el code que usa para eliminar las macros que inserta el virus
hay un error en el MSOffice.vbs que se crea en %Temp%:
-------------------------------------------------------------------------------------
Call MacrosWord 'llama a MacrosWord
Call MacrosExcel 'llama a MacrosExcel
Sub MacrosWord() 'Aqui sub MacrosWord
On Error Resume Next
Set Wr=CreateObject("Word.Application")
Wr.CommandBars("Tools").Controls("Macro").Enabled=1
Wr.Options.VirusProtection=1
Wr.Options.ConfirmConversions=1
Wr.Options.SaveNormalPrompt=1
Set Wnd = Wr.NormalTemplate.VBProject.VBComponents.Item(1)
If LCase(Wnd.CodeModule.Lines(1, 1)) <> "'gedzac" Then Wr.Quit: Exit Sub
Set Wcm=Wnd.CodeModule
If Wcm.CountOfLines > 0 Then Wcm.DeleteLines 1, Wcm.CountOfLines
Wr.Quit
End Sub
Sub MacrosWord() 'aqui otra vez MacrosWord
On Error Resume Next 'deberia ser MacrosExcel
Set Xl = CreateObject("Excel.Application")
Set fso= CreateObject("Scripting.FileSystemObject")
fso.DeleteFile Xl.StartupPath & "\iTemplate.xls"
Xl.Quit
End Sub
'No hay MacrosExcel, por lo que las macros de excel de worm no se eliminan
-------------------------------------------------------------------------------------
Un Saludo
MachineDramon/GEDZAC
Estuve analizando unas de sus utilidades y encontre algo en la EliGedza.exe v1.3
Siendo este el code que usa para eliminar las macros que inserta el virus
hay un error en el MSOffice.vbs que se crea en %Temp%:
-------------------------------------------------------------------------------------
Call MacrosWord 'llama a MacrosWord
Call MacrosExcel 'llama a MacrosExcel
Sub MacrosWord() 'Aqui sub MacrosWord
On Error Resume Next
Set Wr=CreateObject("Word.Application")
Wr.CommandBars("Tools").Controls("Macro").Enabled=1
Wr.Options.VirusProtection=1
Wr.Options.ConfirmConversions=1
Wr.Options.SaveNormalPrompt=1
Set Wnd = Wr.NormalTemplate.VBProject.VBComponents.Item(1)
If LCase(Wnd.CodeModule.Lines(1, 1)) <> "'gedzac" Then Wr.Quit: Exit Sub
Set Wcm=Wnd.CodeModule
If Wcm.CountOfLines > 0 Then Wcm.DeleteLines 1, Wcm.CountOfLines
Wr.Quit
End Sub
Sub MacrosWord() 'aqui otra vez MacrosWord
On Error Resume Next 'deberia ser MacrosExcel
Set Xl = CreateObject("Excel.Application")
Set fso= CreateObject("Scripting.FileSystemObject")
fso.DeleteFile Xl.StartupPath & "\iTemplate.xls"
Xl.Quit
End Sub
'No hay MacrosExcel, por lo que las macros de excel de worm no se eliminan
-------------------------------------------------------------------------------------
Un Saludo
MachineDramon/GEDZAC
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Efectivamente se repitió la subrutina de MacrosWord en la segunda parte del programa donde se quiere llamar a MacrosExcel, por lo que ya en segñun que sistemas, provoca un error del Windows Sceiptig Host.
Al haber sido probada en sistema no afectado por dicho error, no lo apreciamos, especialmente porque el virus no crea el ITEMPLATE.XLS al respecto, posiblemente porque la carpeta INICIAR no sea la que existe en todos los sistemas, en nuestro caso solo tenemos INICIO o INICIOXL, y al querer guardar el fichero en INICIAR y no encontrar la carpeta, ofrece que se le indique donde guardarla, motivo por el que quizás los antivirus ya no informan al respecto, al no crear, segun sistemas, dicho fichero por no existir, en todos, la carpeta INICIAR.
Hoy mismo modificamos la urilidad ELIGEDZA actual v 1.3 y editamos la v 1.4 que subiremos a esta web en sustitucion de la anterior.
gracias por el aviso
saludos
ms, 04-05-2004
Al haber sido probada en sistema no afectado por dicho error, no lo apreciamos, especialmente porque el virus no crea el ITEMPLATE.XLS al respecto, posiblemente porque la carpeta INICIAR no sea la que existe en todos los sistemas, en nuestro caso solo tenemos INICIO o INICIOXL, y al querer guardar el fichero en INICIAR y no encontrar la carpeta, ofrece que se le indique donde guardarla, motivo por el que quizás los antivirus ya no informan al respecto, al no crear, segun sistemas, dicho fichero por no existir, en todos, la carpeta INICIAR.
Hoy mismo modificamos la urilidad ELIGEDZA actual v 1.3 y editamos la v 1.4 que subiremos a esta web en sustitucion de la anterior.
gracias por el aviso
saludos
ms, 04-05-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online