El Virus del Messenger -Foto_Celular.scr(SOLUCIONADO)

[jacotasa]

Hola foreros (Moderadores y Administradores inclusive) jejejejeje.



Pues en la PC de mi padre le ha caido el virus que crea los archivos Foto_Celular.scr y Foto_Celular.zip



Abro este tema pues se los voy a mandar para su analisis, no vaya a ser que sea una variante aún no controlada.



Les paso las utilidades y les cuento en este tema.



Saludos



(El archivo que mando es con el asunto: "ref_jacotasa" y el archivo adjunto está encriptado con la contraseña "VIRUS").

[msc hotline sat]

Pues dile a tu padre que no acepte esos regalitos del messenger ! y por si ya fuera uno de los "celulares" controlados, puedes probar:

Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA


ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:

Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.

saludos

ms, 2-06-2007

[jacotasa]

OK... no había reparado el sistema y volvieron a formarse los archivos... por eso lo del contenido del InfoSat.tx repetido.



*********************************************



Fri Jun 01 17:15:32 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\FOTO_CELULAR.SCR --> Eliminado MalWare.Celular

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Oddysee"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 01 17:15:57 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Papa Agustín\Configuración local\Temp\SERVERIVY.EXE --> Eliminado, MalWare.Celular

C:\Documents and Settings\Papa Agustín\Configuración local\Temp\SVCHOST.EXE --> Eliminado, MalWare.Celular



Fri Jun 01 17:21:58 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sat Jun 02 14:37:43 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.11

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Oddysee"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jun 02 14:38:01 2007

EliStartPage v14.11 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Papa Agustín\Configuración local\Temp\SERVERIVY.EXE --> Eliminado, MalWare.Celular

********************************************

Les envío los archivos que me marca el EliStarA.



Saludos MSC y mil Gracias de nuevo

[msc hotline sat]

No paran de salir nuevas variantes de este malware !



saludos jacotasa



ms, 3-06-2007

[msc hotline sat]

Y mirad si encontrais lo siguiente:

Como que por aqui hay un rootkit que nos esconde procesos, claves y ficheros, arrancar en modo seguro y buscar este fichero STARTING.EXE ESTÉ DONDE ESTÉ, pues si está en DLLCACHE se reproduce de donde lo borremos...

Sobre todo renombrarlo a .VIR y ENVIARNOS MUESTRA !!!

Espero que si se hace junto con lo demas desaparezca el problema !!!

saludos

ms, 3-06-2007

[jacotasa]

Pues la herramienta del EliStarA controló el MalWare.

Aparte de seguir lo Indicado:

Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.

Sobre la otra indicación:

...buscar este fichero STARTING.EXE ESTÉ DONDE ESTÉ, pues si está en DLLCACHE se reproduce de donde lo borremos...
Sobre todo renombrarlo a .VIR y ENVIARNOS MUESTRA !!!

Pues ya no está el archivo que comentas... así es que a lo mejor otro usuario les pueda enviar muestras.

Saludos y Gracias... El PC de mi padre ha quedado limpio, solo que tendré que asesorarle para que no vuelva a aceptar tan facilmente este tipo de regalitos... O a cobrarle el Servicio Técnico para que al menos la piense 2 veces... Jejejejejejeje, es broma eso último nunca va a pasar.

[msc hotline sat]

Haz caso a lo que indico sobre instalar el SITE ADVISOR de McAfee, es gratuito y no hubiera permitido entrar en la pagina maliciosa, como tampoco en la de los nuevos BANLOAD, que seguro os llegarán, paginas rusas de captura de datos (y dineros) , y que ayer ya hubieron dos en el foro, y que ahora estamos en ello:

viewtopic.php?f=5&t=18988 (mira al final de dicho Tema)


Y celebrando que hayas podido sacarte de encima este bodrio, damos por solucionado el Tema y procedemos a cerrarlo

saludos

ms, 5-06-2007

[msc hotline sat]

POSTCIERRE:



Recibidas muestras celular. Se implementan en el ELISTARA 14.12 de hoy que estará disponible a partir de las 20 h



saludos



ms, 5-06-2007