FOTO CELULAR ayuda! <Y SOLUCION HASTA LA FECHA>

[cristianandres]

Disculpen que postee de vuelta es que no pude solucionar el virus. En el posteo lo aclare muy bien que tras pasar el ultimo elistara y modificar el NTOSKRNL e intentar eliminar el mismo archivo pero de dllcache (pero no lo encontre porque lo habia eliminado antes) y luego al reiniciar vuelve el virus! Ya nose mas que hacer. Saludos

[msc hotline sat]

Pues como si fuera de entrada, siga todos los pasos que se le indica para el "fotos celular", y por favor no postee en otros Temas hasta que este no esté cerrado, para no perder el hilo !!!

Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:

Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.

saludos
ms, 31-05-2007

nota: tenemos muchas variantes del celular en cuestion, y puede que Vd haya sido afectado por mas de una ... Ya dicen que el hombre es el animal que tropieza dos veces con la misma piedra , Vea de no aceptar mas regalitos del MSN !!! (o ya de entrada recibió y aceptó dos o mas..., y uno era conocido y el otro no, por ello se le ha regenerado ya que el eliminado, eliminado queda)

[cristianandres]

Pues como si fuera de entrada, siga todos los pasos que se le indica para el "fotos celular", y por favor no postee en otros Temas hasta que este no esté cerrado, para no perder el hilo !!!

Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:

Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.

saludos

ms, 31-05-2007

nota: tenemos muchas variantes del celular en cuestion, y puede que Vd haya sido afectado por mas de una ... Ya dicen que el hombre es el animal que tropieza dos veces con la misma piedra , Vea de no aceptar mas regalitos del MSN !!! (o ya de entrada recibió y aceptó dos o mas..., y uno era conocido y el otro no, por ello se le ha regenerado ya que el eliminado, eliminado queda)

No descarto que haya abierto el virus 2 veces ya que yo no fui exactamente el que lo abrio asi que nose decirte. Yo como ya te dije ya pase el elistara y modifique el NTOSKRNL e elimine el de dll cache pero al restaurar todo vuelve. Ahora lo voy a hacer de nuevo y te aviso aver que resultados me da.

[msc hotline sat]

Y me consta que estamos recibiendo nuevas muestras variantes de este bicho, asi que prueba la nueva version de hoy del ELISTARA y posteanos el contenido de C:\infosat.txt, gracias



saludos



ms, 1-06-2007

[cristianandres]

Buenas msc acabo de pasar el elistara 14.11 y modificar el NTOSKRNL de system32 y el de dll cache no me lo encuentra porque elimine en otro intento por sacar el virus. Luego de reiniciarla vuelve a aparecer el virus. Aca te dejo el infosat:



Fri Jun 01 14:44:18 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado

Eliminado Servicio, "Oddysee"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





Me pregunto si es necesario que te mande el archivo qeu me genero el elistara dentro de una carpeta llamada Muestras. Saludos y espero que puedas ayudarme.



Cristian

[cristianandres]

Msc me olvide de decirte que el elistara no lo pase en modo a prueba de fallos. Me pregunto si tiene algo que ver? Saludos y gracias

[msc hotline sat]

Mejor pasarlo en modo seguro para que no esté en uso, pero es que lo que tienes es una variante desconocida, y necesitamos que nos envies muestra de este fichero que se te indica para controlarlo:

"Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.11 "

y pasaremos a implementarlo en la proxima version del ELISTARA

-> Para ello recordar: viewtopic.php?f=2&t=45334

y por si fuera una variante que crea este otro fichero, si lo tienes envíanoslo también.

[cristianandres]

Msc, acabo de pasar el elistara en modo seguro y de mandarte el archivo qeu se genero dentro de la carpeta Muestras. Espero una respuesta, muchas gracias.

Cristian

[msc hotline sat]

Bien, pero será el martes, porque el lunes es fiesta en Barcelona, y no volvemos al trabajo hasta entonces.



De todas formas si estaba en la carpeta muestras ya estaba aparcado, fuera de uso, asi que ya no incordiaba



saludos



ms, 1-06-2007

[msc hotline sat]

Y para buscar si hay algo mas que no conozcamos, prueba esta utilidad:

SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/SPROCESSEXE.asp

Y posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 2-06-2007

[msc hotline sat]

ATENCION !!!

IMPORTANTE LEER ESTE TEMA:
viewtopic.php?f=12&t=18950

saludos

ms, 2-06-2007

[Matiantivirus]

Hola he leido y he intentado sacar el virus y no puedo.

Me baje el elistara desahabilite la restauracion del sistema, entro en modo seguro, analizo pero no se como modificar el NTOSKRNL.EXE a la extension .VIR y la carpeta DLLCACHE no aparece.



El informe del elistara es este:





Fri Jun 01 21:26:01 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado

Eliminado Servicio, "Oddysee"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad ($)

open=AUTORUN.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sat Jun 02 10:01:31 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado

C:\Archivos de programa\NetMeeting\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Oddysee"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad ($)

open=AUTORUN.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sat Jun 02 10:02:11 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Sat Jun 02 10:33:09 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado

Eliminado Servicio, "Oddysee"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad ($)

open=AUTORUN.EXE

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.







Bueno desde ya son unos genios se ve que saben mucho y les pediria su ayuda ya que no tengo ni tiempo, ni dinero para mandar la pc a arreglar.



Un saludo!

[lucl]

Hola, debes enviar los archivos que tienes en la carpeta muestras, empaquetalos con winrar o winzip y envialos del modo que se te indica aqui en este link que te dejo

viewtopic.php?f=2&t=45334

y en cuanto lo que te dice al final de si desconoces la aplicación autorun, mas de lo mismo enviala y te la analizaran, saludos.

[cristianandres]

Hola msc, te cuento que acabo de pasar el SPROCES en modo seguro y me genero esto :


Sat Jun 02 19:42:45 2007
SProces v2.8 (c)2007 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\EXPLORER.EXE
G:\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-la\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk
O4 - Global Startup: Microsoft Office.lnk
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ornelaa.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\MSERO.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll"
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

Tambien lei el tema de la nueva variente del foto celular y te comento que en mi pc existe el archivo
c:\windows\system32\svschost.sys
Asi que el virus que me daña debe ser otra variente.

Saludos y espero su ayuda. Muchas gracias

[msc hotline sat]

Pues envianos este fichero SVSCHOST.SYS y renombra su extension a .VIR para que tras reiniciar ya no te incordie

[cristianandres]

[quote="msc hotline sat"]Pues envianos este fichero SVSCHOST.SYS y renombra su extension a .VIR para que tras reiniciar ya no te incordie[/quote]

Disculpa msc que no entiendo lo que me decis. Te envio el archivo SVSCHOST.SYS al email y luego le cambio la extension?



Tengo que pasar el elistara antes? Saludos

[msc hotline sat]

Si claro, si el ELISTARA ya lo controla no hace falta que lo envies porque ya lo eliminará, es solo en las variantes que no lo detecte por no conocerlo.



saludos



ms, 3-06-2007

[cristianandres]

Msn te cuento los pasos que segui, en modo a prueba de fallos pase el elistara e intente cambiarle el formato a SVSCHOST.SYS pero no lo encontre ya que estaba en modo seguro. Luego reinicie la pc y pude moficar el SVSCHOST.SYS a .vir. Por ultimo la volvi a reiniciar para saber si habia eliminado el virus pero no, el virus sigue igual. Y el archivo SVSCHOST.SYS se volvio a regenerar. Nose que hacer. Saludos

(Tambien modifique el archivo NTOSKRNL)

[msc hotline sat]

Pues posteanos el contenido del c:\infosat.txt (con un copiar y pegar en tu proximo post de respuesta a este Tema) y asi podremos ver el proceso realizado por dicha utilidad y si pide alguna muestra...



De todas formas estamos con varios casos de lo mismo y las muestras recibidas nos permitiran solucionar estas nuevas variantes, que han ido aparediendo estos ultimos dias.



saludos



ms, 2-06-2007

[msc hotline sat]

Y mirad si encontrais lo siguiente:

Como que por aqui hay un rootkit que nos esconde procesos, claves y ficheros, arrancar en modo seguro y buscar este fichero STARTING.EXE ESTÉ DONDE ESTÉ, pues si está en DLLCACHE se reproduce de donde lo borremos...

Sobre todo renombrarlo a .VIR y ENVIARNOS MUESTRA !!!

Espero que si se hace junto con lo demas desaparezca el problema !!!

saludos

ms, 3-06-2007

nota: gracias a viewtopic.php?f=5&t=18907

[cristianandres]

Buenas te comento msc que al fin pude eliminar el virus gracias a los pasos que me hiciste seguir. Espero que hagas un post con la solucion ya que eliminando el starting y tmb haciendo los otros pasos parece que es la solucion.

Saludos y muchas gracias!!!



cristian

[msc hotline sat]

Pues muchas gracias por decirnoslo, cristian, lo unico es que mira si puedes enviarnos este STARTING para poderlo controlar con el ELISTARA, y asi facilitar la eliminacion, gracias



Y si ya lo has borrado, hasta que no lo recibamos lo iremos haciendo manualmente y pidiendo muestra, claro.



Pues bueno, con vuestra colaboracion vamos pisando fuerte :wink: [url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



y aqui mismo añado un resumen del proceso provisional que elimina los "foto_celular" hasta ahora conocidos:



[quote="Para el "fotos_celular, msc"]

Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:



Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.



Con lo indicado es suficiente para la primera variante, pero:



______________



En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



______________





Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :





SVSCHOST.EXE (no SVCHOST.EXE, cuidado)



STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)





buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.



Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[/quote]



Y CON ESTO SE CIERRA ESTE TEMA, QUE UTILIZAREMOS COMO PAUTA DE SOLUCION PROVISIONAL AL RESPECTO, HASTA QUE RECIBAMOS LAS MUESTRAS SOLICITADAS.

saludos



4-06-2007



NOTA: Y con las nuevas versiones que vamos haciendo a diario del ELISTARA se van controlando las nuevas muestras que vamos recibiendo, de forma que con el actual 14.13 se controlan todas las muestras recibidas hasta el momento. Siempre usar la ultima version . ms.