CONSULTA TROYANO POR MSN

[rikrdo_steve]

HOLA..



MIRA SABES QUE POR MSN ACEPTE EL FAMOSO TROYANO

QUE ES UN ARCHIVO COMPRIMIDO DE NOMBRE FOTOS_CELULAR.ZIP. El asunto es q descarque el programa que recomiendas (ELISTARA) y creo q lo elimino



EL CONTENIDO DEL ARCHIVO INTOSAT.TXT ES EL SIGUIENTE



Sun Aug 05 22:39:43 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminado Servicio, "Oddysee"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Aug 05 22:54:58 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\F3PSSAVR.SCR --> Eliminado, MyWebSearch



Sun Aug 05 23:01:33 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\







QUEE SIGNIFICAA?????.... LO ELIMINO TODO O NO???



BUENOO ESPERO ME RESPONDAS SALUDOS!!!

[msc hotline sat]

Pues para el celular, ademas de lo indicado, pruebe el ELITRIIP por si le hubiera generado BIFROSE:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Aparte, segun ya indica el infosat, enviarnos muestra para analizar de:



"Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50 "



aunque ya está aparcado y solo queda eliminar el fichero muestra, con la proxima version del ELISTSRA , de despues de vacaciones.



saludos



ms, 6-08-2007

saludos



ms, 6-08-2007

[rikrdo_steve]

SABES QUE EL PROGRAMA Q ME RECOMENTASTE (Elitriip) no lo pude ejecutar, poque decia q necesitaba actualizarlo...





saludos

[msc hotline sat]

Claro, se me pasó que estariamos de vacaciones, voy a subirlo de nuevo



Pruebalo dentro de 15 minutos



saludos y gracias por el aviso



ms, 7-08-2007

[msc hotline sat]

Subida de nuevo la utilidad, y comprobada su opoeratividad. Pruebala de nuevo, gracias



saludos



ms, 7-08-2007

[Macoriginal]

Hola, (acabo de escribir en otra discusion sobre lo mismo pero de hace unos meses) tengo el mismo problema, busque y hay muchas recomendaciones, probe "elistara" y "elitriip" y no pasa nada, intente cambiar el nombre al archivo "ntoskrnl" y no sucedio nada, les adjunto el archivo "Infosat", la primera vez que pase el elistara, parecio funcionar, pero volvieron a aparecer todos los archivos en el C: ("fotos...." .rar y .scr)quizas esta sea una nueva variante que tuve la "suerte" de agarrar, no se que mas datos puedan necesitar, espero puedan ayudarme, muchas gracias..

[lucl]

Debes abrirte un post nuevo tuyo, porque este es de otra persona y ademas no esta permitido postear en post que tengas mas de quince dias, y debes ponernos el log de elistara con un copiar pegar, adjuntandolo se desvirtua y no se lee bien, aunque ya se ve por encima que debes enviar muestras y demas, por favor peganos el log de nuevo y seguiremos , saludos

[Macoriginal]

ok, disculpa, no conocia esa regla. ahora abro otro. gracias

[msc hotline sat]

Sï, mejor separar Temas al haber diferentes variantes de este mismo virus...





[quote="Para el "fotos_celular, msc"]

Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:



Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.



Con lo indicado es suficiente para la primera variante, pero:



______________



En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



______________



Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :





SVSCHOST.EXE (no SVCHOST.EXE, cuidado)



STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)





buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.



Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[/quote]



saludos



ms, 24-08-2007