esta foto so touyo? virus msn

[capaznar]

hola, desde ayer estoy con un virus del msn, manda a todos mis contactos un mensaje y a mi me bloquea el msn, he probado casi todos los antivirus que recomiendan pero sigue pasando, me podeis ayudar a eliminarlo, el mensaje pone:

esta foto so touyo? y se lo manda a mis contactos automaticamente como si fuera yo quien los manda, con mi nombre y todo

[lucl]

Bueno veamos tienes localizado el archivo infectado? Si es asi renombralo a .VIR y envianoslo para analizarlo . Arriba a la derecha de la pagina web tienes el boton de envio muestras, lo encriptas y lo pones de contraseña VIRUS. Luego ejecuta elistara en tu pc y peganos el log que te dejara en C infosat.txt saludos





http://www.zonavirus.com/descargas/elistara.asp

[capaznar]

lo siento luci no lo tengo localizado ningun antivirus me lo detecta.

[msc hotline sat]

Pues prueba estas dos utilidades, que son con las que controlamos todos estos virus de MSN, una si son backdoors de IRC y la otra si soin PWS (cazapasswords):



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Y si es tan nuevo que inguna de las dos lo conociera ni pidiera muestras, dinoslo y lo buscaríamos de otra manera



saludos



ms, 4-11-2008

[capaznar]

ya he pasado los dos hotline y ninguno detecta nada.

gracias.

[capaznar]

el mensaje que manda este virus es este.

esta foto so touyo ? INTERCEPTADO POR ZONAVIRUS?



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044

[lucl]

Tienes que pegarnos el log que te han dejado en infosat.txt



ademas ejecuta sprocess que veamos que tienes en el pc, saludos





http://www.zonavirus.com/descargas/sproces.asp

[capaznar]

esto es lo que pone infosat.

Nov 04 18:49:33 2008

EliTriIP v5.19 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FXSTALLER.EXE.Muestra EliTriIP v5.19

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FXSTALLER.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Windows Services"="explrer.exe"

Entrada Eliminada [HKLM\...\Run] "Windows UDP Control Center"="fxstaller.exe"

No detectado SP3 de Windows XP



Tue Nov 04 18:50:16 2008

EliTriIP v5.19 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4436

Nº Total de Ficheros: 43050

Nº de Ficheros Analizados: 11735

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Nov 04 18:54:34 2008

EliStartPage v17.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Tue Nov 04 19:01:10 2008

EliStartPage v17.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Tue Nov 04 19:01:33 2008

EliStartPage v17.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4484

Nº Total de Ficheros: 41292

Nº de Ficheros Analizados: 11892

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[capaznar]

de momento no se lo estoy mandando a nadie igual si que lo han eliminado os ire informando.

saludos y gracias.

[lucl]

Mira lo que te dice elitriip





Por favor, envienos una muestra del fichero

C:\Muestras\FXSTALLER.EXE.Muestra EliTriIP v5.19





envianos siguiendo las instrucciones del link siguiente saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Y mientras recibimos y analizamos la muestra, con Inicio -> Buscar -> Todos los ficheros y carpetas , busca el fichero buxhome.exe y renombra su extension a .VIR para que no se lance a partir del proximo reinicio.



Luego mañana implementaremos el control y eliminacion de dicho gusano en nuestras utilidades, de lo cual informaremos



saludos



ms, 4-11-2008

[capaznar]

el envio de muestras hoy no funciona mañana lo mando.

el archivo buxhome.exe no esta en mi disco duro.

muchas gracias mañana miro de mandarlo.

[msc hotline sat]

Si no va el sistema automatico, puede envuiarlo de la manera tradicional, empaquetando el fichero con password "virus" y anexando el fichero resultamte a un mail dirigido a zonavirus@satinfo.es en cuyo ASUNTO indiques tu nick en el foro, o sea "capaznar"



Y este otro buxhome.exe es el fichero que se descargaba del link que posteaste, y es el dropper del virus, es raro que no lo tengas ??? pero en cualquier caso si lo hay,, lo eliminaremos con la utilidad que haremos al respecto.



saludos



ms, 4-11-2008

[capaznar]

os lo he mandado por e-mail espero que os sirva.

gracias .

[lucl]

Estate atento mañana al post que te diran algo sobre el tema, saludos

[msc hotline sat]

En las nuevas versiones de utilidades, ayer indicamos:



ELITRIIP



---v5.22---( 5 de Noviembre del 2008) (Muestras de (2)BackDoor.FakeViewer "FXSTALLER.EXE")



asi que prueba el actual ELITRIIP y nos posteas el c:\infosat.txt resultante, gracias:




[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



saludos



ms, 6-11-2008

[capaznar]

perdon por la tardanza e estado ocupado.







Sat Nov 08 13:11:03 2008

EliTriIP v5.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Sat Nov 08 13:11:09 2008

EliTriIP v5.22 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-746137067-57989841-725345543-500\Dc1\FXSTALLER.EXE.Muestra EliTriIP v5.19 --> Eliminado, BackDoor.FakeViewer

C:\WINDOWS\system32\wextract.exe --> Eliminado, BackDoor.FakeViewer(dropper)



Nº Total de Directorios: 4530

Nº Total de Ficheros: 45336

Nº de Ficheros Analizados: 11771

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[msc hotline sat]

Pues lanza un windowsupdate e instala el SP3 y los que encuentre a faltar, y tras reiniciar dinos si hay alguna anomalia o ya podemos dar por solucionado el Tema, gracias



saludos



ms, 8-11-2008

[capaznar]

ya he reiniciado el pc sin instalar sp3 y de momento funciona bien.

lo volvere a reiniciar y probare.

[lucl]

Pues cuando lo hagas e instales el sp3 nos lo comentas para ver si podemos dar el tema por solucionado, saludos

[MiObrADeArte]

Asi es como me infecte yop, me salio en el MSN este mensaje:



esta foto so touyo ? INTERCEPTADO POR ZONAVIRUS



(Naturalmente cai como una mosca en la ventana)



Si alguno se quiere autoinfectar xDD:



[color=#FF0000][b] VIRUS[/b][/color]



INTERCEPTADO POR ZONAVIRUS



Bueno el caso es que un amigo elimino este (loquesea) con [color=#FFFF00][b]FILE ASSESSAIN[/b][/color]

Me dijo que era muy facil, me explioc paso a paso lo que hizo el pero al final, se olvido

del nombre del archivo T.T!!

Segun me estuvo contando ese (loquesea) se alojaba en:

[b]C:\WINDOWS[/b] por lo que funcionaba cada vez que encendias el ordenador, tambien se que ese

(loquesea) es un archivo no visible (No se puede ver) y nose que mas me explcio xDD;

Enfin que lo elimino con file assessain (o algo asi) pero no sabemos el nombre del archivo..



¿Todo esto es cierto? :S! (Mientras, sigo sin MSN)

[lucl]

Se intercepta el post ya que aqui luchamos contra virus , no esta bien que pongas un link donde alguno puede picar e infectarse, de momento nosotros vamos quitando virus de mesenger con mucha pericia y desde hace mucho. Y nuestros foreros siguen con mesenger te lo garantizo, asi que si necesitas ayuda abrete un post y lo solucionaremos del todo, saludos

[Claudiuxi]

Hola, yo también tengo ese puñetero virus en el msn que puedo hacer?

De momento me he descargado EliTriiP 5.22 que he visto que le decias a él que se lo bajara, ahora me esta analizando todos los archivos, que tengo que hacer a continuación? Gracias.

INTERCEPTADO POR ZONAVIRUS



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044

[msc hotline sat]

Pues tras ello postea el contenido del c:\infosat.txt resultante, gracias



saludos



ms, 9-11-2008

[capaznar]

Soy el autor del primer post y os puedo asegurar que a mi el messenger me va de maravillas y el pc tambien.

Haced lo que os dicen y adios puñetero virus.

[capaznar]

¿Sabeis si hay algun antivirus que lo detecte?

Un conocido mio que lo cogio me ha comentado que su antivirus se lo ha detectado.

[msc hotline sat]

Probad con estas dos:



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 9-11-2008