Por calenturiento abriste este video, para desbloquear manda los números de una ficha de $100 de Telcel al e-Mail anahyperez96@hotmail.com y se te devolverá el mail con el código de desbloqueo.

[Rodog]

Ayudenme por favor hoy por la tarde me mandaron un Mail de un link de un video y lo abrí lo descargue y se apago mi computadora luego la prendí y decía Por calenturiento abriste este video, para desbloquear manda los números de una ficha de $100 de Telcel al e-Mail anahyperez96@hotmail.com y se te devolverá el mail con el código de desbloqueo.



No se que hacer no cuento con mucho dinero y no tengo muchos conocimientos en la computación espero y puedan ayudarme gracias de antemano o forzosamente debo comprar la ficha y mandarselas para que me la desbloquen no quiero que se enteren mis papas si nome matan espero que me ayuden gracias de antemano

[msc hotline sat]

Pues mira este Tema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=26359&p=144829&hilit=calenturiento#p144829



y por si se tratara de la misma variante, prueba el ELISTARA:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 24-12-2010

RMXDF

[Rodog]

Ok gracias pero una pregunta no puedo acceder a la computadora esta la pantalla negra y con el mensaje de por calenturiento... Como le hago para descargar el antivirus elistar

[msc hotline sat]

Para descargarlo usa el ordenador desde el cual estás posteando este Tema, lo copias a un pendrive y para ejecutarlo en el ordenador afectado, ya decimos:



[b]"y simplemente se ha de arrancar en modo seguro con solo simbolo de sistema para lanzar nuestra utilidad y listos"[/b]



Como que no se habrá cargado el EXPLORER, simplemente ejecuta el ELISTARA desde el pendrive, accediendo a dicha unidad y ejecutandolo, o copiandolo primero al disco duro y ejecutandolo desde alli, con ELISTARA.EXE <ENTER>



cuentanos el resultado, gracias



saludos



ms, 25-12-2010



Y FELIZ NAVIDAD !

[Rodog]

Igualmente feliz Navidad y prospero año nuevo una pregunta como decía antes yo no se mucho de computación la verdad esto lo poste o desde un iPad pero ya fui a un café Internet y lo que hice fue lo siguiente detalladamente descargue el antivirus y me aparecía ejecutar o guardar le di click en guardar y ya lo guarde en mi USB ya que en el café ínternet no puedo guardar nada y ya me fui a mi casa conecte la USB prendí la computadora y ya la arranque en símbolo de sistema y le puse elistar.exe y apareció no se reconoce como comando interno o externo, programa o archivo por lotes ejecutable y pues lo que hice como ya mencione antes fue descargar y guardar el archivo en mi USB nadamas espero que me sigan apoyando gracias y feliz Navidad y prospero año nuevo y mis mejores deseos para ti y toda tu familia

[msc hotline sat]

Tras arrancar en simbolo de sistema debes ir a la unidad del pendrive en cuestion, quizas será G:, J:, o la que sea, y ejecutarlo desde alli, o con un COPY X:\ELISTARA.EXE <enter> copiarla al disco duro y desde allí ejecturla, escribiendo ELISTARA.EXE <enter>



La cuestión es saber en qué unidad de USB tienes insertado el pendrive, y para ello, una vez insertado, escribe DIR X: <enter> , y ve probando en lugar de X: , las unidades de la E a la L, son las 8 que normalmente usan los ports USB si se tiene disco duro y unidad de CD:



E: , F:, G:, H:, I:, J:, K:, L:



Cuando con el DIR indicado veas que aparece el contenido de dicho pendrive, incluido el ELISTARA.EXE , ya sabes cual es dicha unidad, entonces haz lo indicado al principio, xambiando X: por la unidad en cuestióm.



y nos cuentas el resultadio, gracias



saludos



ms, 26-12-2010

[Rodog]

Hola como estas espero que bien oye ya hice lo que dijiste arranque en modo seguro con simbolo de sistema la unidad era E:\EliSTARA.EXe le puse COPY E:\EliSTARA.EXE y ya lo copio luego ya solo le puse elistara.exe y le di enter y le puse explorar y ya cuando termino le puse salir y me decía algo de C:\InfoSAT.txt y ya le di ok y la reincie le deje apretado el botón de apagar del cpu y ya luego lo prendí normal y sigue el mensaje de por calenturiento....

[Rodog]

gracias de antemano cuidate y espero que me puedas seguir ayudando

[msc hotline sat]

Pues con un copiar y pegar, copianos el contenido de C:\infosat.txt a ver si te dice que nos envies una muestra de algun fichero y vemos que es lo que detecta.

Igual se trata de una variante que tenemos que analizar para luego pasar a controlar, como siempre.

Y si no indicara detectar nada, procederíamos con el SPROCES, pero tiempo al tiempo...



Sobre todo ten confianza en que vamos a lograr quitarte de encima este malware, aunque se trate de una variante desconocida actualmente.



saludos



ms, 27-12-2010

[flacoroo]

checate este articulo, quizas te ayude.......



http://blogs.eset-la.com/laboratorio/2010/10/20/ransomware-operativo-rescate/

[Rodog]

(26-12-2010 21:59:47 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [URLSearchHook (HKCU) "{00000000-6E41-4FD3-8538-502F5495E5FC}"] -> C:\ARCHIVOS DE PROGRAMA\ASK.COM\GENERICASKTOOLBAR.DLL

Key Eliminada [URLSearchHook (HKCU) "{0974848a-b5bc-49f2-9778-307742b4a55d}"] -> C:\ARCHIVOS DE PROGRAMA\SOFTONIC.COM4\TBSOF2.DLL

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\ARCHIVOS DE PROGRAMA\ASK.COM\GENERICASKTOOLBAR.DLL --> Eliminado ASKToolbar(bho/tb)

C:\ARCHIVOS DE PROGRAMA\SOFTONIC.COM4\TBSOF2.DLL --> Eliminado TBConduit(tb)

C:\Documents and Settings\Clara\Datos de programa\AVDRN.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{0974848a-b5bc-49f2-9778-307742b4a55d}" -> C:\Archivos de programa\softonic.com4\tbsof2.dll

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=folder.tmp/tmp.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado "Shell" Sospechoso: "C:\WINDOWS\SYSTEM32\PIMP.EXE"



(26-12-2010 22:06:02 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\ConduitEngine\CONDUITENGINE.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\softonic.com4\TBSOF1.DLL --> Eliminado, TBConduit(tb)

C:\Archivos de programa\softonic.com4\TBSOFT.DLL --> Eliminado, TBConduit(tb)



Nº Total de Directorios: 2895

Nº Total de Ficheros: 40168

Nº de Ficheros Analizados: 9558

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(26-12-2010 22:33:38 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=folder.tmp/tmp.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado "Shell" Sospechoso: "C:\WINDOWS\SYSTEM32\PIMP.EXE"



(26-12-2010 22:39:34 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2895

Nº Total de Ficheros: 40135

Nº de Ficheros Analizados: 9555

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(26-12-2010 22:40:34 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\Mis documentos\Descargas"



Nº Total de Directorios: 1

Nº Total de Ficheros: 20

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(26-12-2010 22:40:35 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\Mis documentos\Descargas"



Nº Total de Directorios: 1

Nº Total de Ficheros: 20

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(26-12-2010 22:40:36 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\Mis documentos\Descargas"



Nº Total de Directorios: 1

Nº Total de Ficheros: 20

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(26-12-2010 22:40:36 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\Mis documentos\Descargas"



Nº Total de Directorios: 1

Nº Total de Ficheros: 20

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(26-12-2010 22:40:37 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\Mis documentos\Descargas"



Nº Total de Directorios: 1

Nº Total de Ficheros: 20

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(27-12-2010 07:57:52 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Archivos de programa\Ask.com\GenericAskToolbar.dll

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado "Shell" Sospechoso: "C:\WINDOWS\SYSTEM32\PIMP.EXE"



(27-12-2010 08:04:20 (GMT))

EliStartPage v22.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2934

Nº Total de Ficheros: 40834

Nº de Ficheros Analizados: 9557

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues vemos de entrada que te faltan muchos parches, :



No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



asi que inmediatamente despues de quitarte de encima este malware, lanza un windowsupdate e instala los que detecte que faltan !!!





Aparte, vemos que el infosat indica:



[i][b]Detectado AUTORUN.INF en la Unidad (E)

open=folder.tmp/tmp.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es".

Gracias.Detectado "Shell" Sospechoso: "C:\WINDOWS\SYSTEM32\PIMP.EXE" [/b][/i]





envianos los tres ficheros, los dos de E: (pendrive) que se te piden, el AUTORUN.INF y el TMP.EXE de folder.tmp, y además este otro de C:\WINDOWS\SYSTEM32\PIMP.EXE







>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos





Luego vacuna ordenador y pendrives con el ELIPEN, para evitar la propagacion de virus de pendrive:



[img]http://www.satinfo.es/blog/wp-content/uploads/2010/03/moltbetot.gif[/img]

y vacunar el ordenador y las unidades de pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Una vez hecho todo lo indicado, prueba el SPROCES y posteanos el informe resultante, por si hay algo mas que afecte:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.





saludos



ms, 28-12-2010

[Rodog]

Una pregunta no entendí la parte de que te envíe los ficheros desde donde te los envió como te los envió o que onda la verdad eso ya no lo entendí muy bien

[Rodog]

Desde símbolo de sistema o como?

[msc hotline sat]

Te lo decimos en https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Pero vamos, que los empaquetes en un ZIP o RAR, los codifiques con password [i][b]virus[/b][/i] y los envies con el BOTON que está en la parte superior derecha de esta página, donde dice [b][i]envio muestras[/i][/b]



saludos



ms, 28-12-2010

[Rodog]

Ya encontré el archivo zip que descargue se llama angy_video.zip lo elimino o que hago?

[msc hotline sat]

Envianoslo y asi podremos analizar esta variante.



En .ZIP no te afecta, asi que dejalo estar quieto hasta que quede solucionado el TEMA.



saludos



ms, 29-12-2010

[Rodog]

Ok entonces dos preguntas ya solo te mando nada mas el archivo angy_video.zip y si si te lo mando en envió de muestras y le pongo de password virus y ya?

[msc hotline sat]

Eso es, y en cuanto lo recibamos, lo analizaremos e imformaremos del resultado del análisis.



saludos



ms, 30-12-2010