como me Desago de un virus (hacktool.rootkit) SOLUCIONADO
como me Desago de un virus (hacktool.rootkit) SOLUCIONADO
Me llego un archivo por msn lo abri y empece con problemas, mi antivirus que es un norton 2005 me detecta un archivo infectado (NtosKrnl.exe) me dice que lo ha eliminado, y asi me lo hixo un par de veces, reinicie mi maquina y se pasma, ya entre en modo deguro y corri mi antivirus pero no me puedo desacer de ese virus
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Posiblemente sea un resto del celular...
Vea lo que decimos para el mismo:
[quote="Para el "fotos_celular, msc"]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:
Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.
Con lo indicado es suficiente para la primera variante, pero:
______________
En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
______________
Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :
SVSCHOST.EXE (no SVCHOST.EXE, cuidado)
STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)
buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.
Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
[/quote]
saludos
ms, 3-09-2007
Vea lo que decimos para el mismo:
[quote="Para el "fotos_celular, msc"]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:
Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.
Con lo indicado es suficiente para la primera variante, pero:
______________
En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:
ELITRIIP:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
______________
Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :
SVSCHOST.EXE (no SVCHOST.EXE, cuidado)
STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)
buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.
Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:
->
[/quote]
saludos
ms, 3-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
No se elimino
Ya hice lo que me indicaron pero sigo teniendo problemascuando estoy en le msn; de repente envia un zumbido y envia un archivo C:Foto_celular.screen saver.
lo que no pude hacer fue encontar los archivos: NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE y SVSCHOST.EXE STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios) no encontre la carpeta DLLCACHE,
lo que no pude hacer fue encontar los archivos: NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE y SVSCHOST.EXE STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios) no encontre la carpeta DLLCACHE,
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues asi estás, claro !
Has de sobreescribir dicho fichero, si no lo encuentras y lo haces como indicamos, procede a REPARAR WINDOWS, para que lo sobreescriba:
y nos cuentas el resultado, gracias
saludos
ms, 4-09-2007
Has de sobreescribir dicho fichero, si no lo encuentras y lo haces como indicamos, procede a REPARAR WINDOWS, para que lo sobreescriba:
[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate[/quote]
y nos cuentas el resultado, gracias
saludos
ms, 4-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibida muestra de nueva variante del celular, se implementa su control y eliminacion en la nueva version 14.58 del ELISTARA que esta,mos haciendo hoy y que estará disponible para evaluar en esta web, a partir de las 19 h GMT de hoy
saludos
ms, 5-09-2007
saludos
ms, 5-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Por si hubiera restos, incluso los movidos a la carpeta c:\muestras, prueba la ultima version (que ya es la 14.59)
saludos
ms, 7-09-2007
saludos
ms, 7-09-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Al parecer solucionado
Hola Buenas noche:
Pues ya corri la aplicacion de elistara y esto fue el resultado:
C:\Muestras\FOTO_CELULAR.SCR.MUESTRA ELISTARTPAGE V14.55 --> Eliminado, MalWare.Celular
C:\Muestras\FOTO_CELULAR.SCR.MUESTRA ELISTARTPAGE V14.56 --> Eliminado, MalWare.Celular
C:\Muestras\MSNWORM.EXE.MUESTRA ELISTARTPAGE V14.55 --> Eliminado, MalWare.Celular
C:\Muestras\ODDYSEE.EXE.MUESTRA ELISTARTPAGE V14.55 --> Eliminado, MalWare.Celular
C:\Muestras\ODDYSEE.EXE.MUESTRA ELISTARTPAGE V14.56 --> Eliminado, MalWare.Celular
C:\WINDOWS\system32\BACKSYS.SYS --> Eliminado, MalWare.Celular
ya no necesito hacer nada mas??
de no necesitar hacer nada mas les doy las gracias por su ayuda y pos su tiempo, muchas felicidades por su trabajo en verdad que es de gran ayuda, sobre todo para a gente que no sabemos mucho o nada sobre esto del los virus.
Pues ya corri la aplicacion de elistara y esto fue el resultado:
C:\Muestras\FOTO_CELULAR.SCR.MUESTRA ELISTARTPAGE V14.55 --> Eliminado, MalWare.Celular
C:\Muestras\FOTO_CELULAR.SCR.MUESTRA ELISTARTPAGE V14.56 --> Eliminado, MalWare.Celular
C:\Muestras\MSNWORM.EXE.MUESTRA ELISTARTPAGE V14.55 --> Eliminado, MalWare.Celular
C:\Muestras\ODDYSEE.EXE.MUESTRA ELISTARTPAGE V14.55 --> Eliminado, MalWare.Celular
C:\Muestras\ODDYSEE.EXE.MUESTRA ELISTARTPAGE V14.56 --> Eliminado, MalWare.Celular
C:\WINDOWS\system32\BACKSYS.SYS --> Eliminado, MalWare.Celular
ya no necesito hacer nada mas??
de no necesitar hacer nada mas les doy las gracias por su ayuda y pos su tiempo, muchas felicidades por su trabajo en verdad que es de gran ayuda, sobre todo para a gente que no sabemos mucho o nada sobre esto del los virus.
