problema virus msn

[power81]

Hola tengo un problema con msn me sale un mensaje cada [b][i]vez[/i][/b] q[b][i]ue[/i][/b] pone esto Estas foto so tuyo? http://facebook-[b][i][int.][/i][/b]com/sssexyss.exe?= y detras del = el correo de <con [b][i]quien[/i][/b] [b][i]estoy hablando>. Soy muy [/i][/b]novato en esto de informatica y no tengo ni idea de como solu[b][i]ciona[/i][/b]rlo, me podrian ayudar? gracias

[msc hotline sat]

Esmere su escritura !!! Tantas faltas ortográficas duelen a los ojos ...



A pesar de ello vamos a atenderle pero tengalo presente para otra vez. Esto no es un chat, ni está enviando mensajes por MSN !



Vamos a ver, esto que ha recibido, y que por supuesto no se lo ha enviado voluntariamente su amigo, sino el virus, le infectó por pulsar sobre el link anexo al mensaje, de lo que una vez mas repetimos, NO DEBE PULSARSE SOBRE IMAGENES, LINKS O FICHEROS RECIBIDOS EN MAILS, WEBS O MENSAJES NO SOLICITADOS !!!



Pues bien, parece que este fichero debe ser un malware:



http://facebook-[b][i][Int.][/i][/b].com/sssexyss.exe?



voy a ver si encuentro informacion...



Sí, en el preanalisis del fichero que descarga, lo detectan ya casi la mitad de los antivirus:


[quote]File sssexyss received on 2009.09.30 11:44:50 (UTC)



Result: 20/41 (48.79%)[/quote]

Lo monitorizaremos e implementaremos su control y eliminacion en las nuevas versiones de hoy de nuestras utilidades, de lo cual informaremos esta tarde.



saludos



ms, 30-9-2009

[power81]

Lo siento por las faltas, escribi demasiado deprisa y asi paso, quedo a la espera de sus noticias esta tarde, muchas gracias por su ayuda.

[msc hotline sat]

Esta tarde terminaremos la monitorizacion del malware en cuestion y subiremos la version de la utilidad correspondiente a esta web, de lo cual informaremos



y gracias por su comprension y esmero actual.



saludos



ms, 30-9-2009

[msc hotline sat]

Pues buenas noticias:



El malware analizado es un dropper que genera un Backdoor Viewver, con el nombre de IVANOVT.EXE.EXE



El hecho de incluirlo con los demás Viewver es la presentacion en pantalla de "Windows Microsoft Viwewer: Picture can't not be displayed" copiando en el directorio de Windows un fichero que en la monitorizacion ha sido el arriba indicado.



Ambos ficheros, el dropper y el generado por este, los pasamos a controlar y eliminar, junto con las claves que modifican en el registro, con la versión de hoy del ELITRIIP 6.15:


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



A titulo de informacion ofrecemos el MD5 de ambos ficheros, con lo que con nuestro ELIMD5 ya se pueden detectar y eliminar dichos malwares, aunque el generado se llamara diferente en una nueva infeccion.



ELIMD5.EXE

http://www.zonavirus.com/descargas/elimd5.asp



Tras ello postearnos el contenido de c:\infosat.txt para ver el resultado del proceso.






[quote]sMD5 v1.3b (c)2009 S.G.H. / Satinfo S.L.

(Creado en Noviembre del 2008)

Listado de MD5 (Message Digest Algorithm 5)

-------------------------------------------



Ficheros de: "A:\"

"427BCA57CD3D08A17CC2352AFC161567" -> sssexyss 103936

"8D30243882AEEFD0B9661C67C2C4A993" -> ivanovt.exe.exe 65066



2 Ficheros Analizados.[/quote]

y este IVANOVT.EXE.EXE tiene el icono de una calavera y viene con atributos de oculto y de sistema, aparte de solo lectura (SHR)


[attachment=0]FAVIEWVER - MSN.JPG[/attachment]

Por cierto, los demas compañeros de esta familia, ademas de llegar y enviarse por MSN, se propagan por pendriove, asi que vacune ordenador y pendrives con el ELIPEN, nunca está de mas...:





Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 30-9-2009

[power81]

Hola siento molestar de nuevo, yo es que soy poco habil con los ordenadores jeje al final que tengo que usar para eliminar el virus? Como lo hago? Gracias y perdon por las molestias

[msc hotline sat]

Basicamente a partir de las 19 horas descarga el ELITRIIP.EXE y tras probarlo, nos posteas el resultado



Otra cosa es la recomendación que vacunes ordenador y pendrives con el ELIPEN...





Lo del ELIMD5 es por si ahora mismo necesitas sacarte este virus de encima, pero si puedes esperar a las 7 de esta tarde ya estará implementado su control en el ELITRIIP.



Venga, que es muy fácil ... :mrgreen:



saludos



ms, 30-9-2009

[power81]

Para ejecutar este programita tengo que quitar primero la opcion de restaurar sistema y reiniciar en modo seguro?

[msc hotline sat]

Siempre es mejor arrancar en MODO SEGURO, para que no esté activo el el malware, y si tras ello se detecta en el System Volume Information_RESTORE, sin prisas porque no se activaría hasta una hipotetica restauracion de sistema, conviene eliminarlos tambien desde allí, pero sin prisas :)



De momento en 1 hora baje el ELITRIIP nuevo y pruebelo...



Y nos comenta el resultado, gracias



saludos



ms, 30-9-2009

[msc hotline sat]

Subida la nueva version del ELITRIIP 6.15 que controla el nuevo virus FAKE VIEWER del MSN



Descargala y tras probarla nos posteas el resultado, gracias



saludos



ms, 30-9-2009

[power81]

hola pase el programa que me dijistes ya actualizado a partir de las 7 y me dejo este informe





(30-9-2009 17:58:52) (GMT)

EliTriIP v6.15 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4536

Nº Total de Ficheros: 67808

Nº de Ficheros Analizados: 13023

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





y volvi a iniciar el msn y me sigue saliendo el virus

[lucl]

Veamos ejecutalo de nuevo porque te falta el analisis por accion directa. Dile que si a todo y luego explora de nuevo y nos pegas el log de infosat.txt completo saludos.

[msc hotline sat]

Si, es muy importante ver si detectó los ficheros previstos, pero posteenos TODO el contenido de c:\infosat.txt pues solo lo último no es significativo.



Aparte puede probar como le deciamos, el ELIMD5 con estos hashes:



"427BCA57CD3D08A17CC2352AFC161567" -> sssexyss 103936

"8D30243882AEEFD0B9661C67C2C4A993" -> ivanovt.exe.exe 65066



si hubiere alguno de sus congeneres, asi lo veríamos.



Y evidentemente, cuando lo dice es que se le ha regenerado, pero si lo hizo arrancando en modo seguro como preguntó, aun es mas raro...



a la vista del informe pedido podremos aclarar el porqué, gracias



saludos



ms, 1-10-2009

[power81]

El informe que mande es todo lo que ponia no habia nada mas solo eso y si lo hice en modo seguro.

[msc hotline sat]

Pues en modo seguro el bicho no debe estar incordiando... dinos si persiste su actividad en dicho modo !!!



Y antes del analisis por EXPLORACION siempre hay el analisis POR ACCION DIRECTA. que debe aparecer en el mismo fichero, pero en primer lugar, antes del otro.



Si no te aparece ...??? vuelve a probar dicho ELITRIIP en modo seguro, y nos posteas todo el contenido de C:\infosat.txt, donde habrá lo que ya nos has enviado y lo nuevo , gracias



saludos



ms, 1-10-2009

[power81]

Probe una cosa que me comento un amigo por curiosidad y es cambiar la contraseña de mi msn y por suerte el virus desaparecio ya no me sale.

[msc hotline sat]

Es igual, aunque cambie el usuario del MSN, los ficheros viricos seguiran estando si no los ha eliminado,





Necesitamos que haga lo que le hemos dicho y nos postee el informe resultante, gracias



saludos



ms, 1-10-2009