ayuda con un virus llamado postal563 (Solucionado)

[loco313]

Me ha caido un virus denominado postal563.

Espero y me pueden ayudar con este problema.

gracias

[msc hotline sat]

Buscando en Internet he encontrado un foro donde indican esta solucion:



http://www.conocimientosweb.net/portal/sutra15093.html#15093



Quizas se trata de un gusano muy reciente todavía no controlado, de todas maneras, lanza un antivirus ONLINE y si lo detectas dinoslo como respuesta de este Tema y te pediríamos que nos lo enviaras para analizarlo



https://www.virustotal.com/es/



saludos



ms, 18-09-2005

[Trovador]

Siii yo tambien lo tengo :'(

[msc hotline sat]

Seguimos en este Tema para Trovador y Loco313, a la espera de recibir muestras de dicho bicho.



Como que Trovador indica que inHabilita el TASKMANAGER, en cianto ponga en cuarentena este bicho, moviendo a dicha carpeta para que no se ponga en marcha en el siguiente reinicio, podremos retablecer el acceso a dicha aplicacion ejecutando el ELIRESTR.VBS, pero claro, no antes de que hayamos quitado este bicho de la circulacion, pues de lo contrario volvería a modificar la clave en cuestion





ELIRESTR:

http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp





Lo cual añadiremos en la utilidad de eliminacion que hagamos para este, pero mientras, tenerlo disponible.



Cualquier comentario al respecto, hacerlo como respuesta a este tema, gracias



saludos



ms, 19-09-2005

[bengt]

Bien pues desafortunadamente yo tambien cuento con este virus, realemente es muy raro.... ya que ni siquiera me permite aabrir el panel de control ni el regedit... de hecho instale el parche que mencionan elirestr... pero no he ha servido de nada, ya revise con mis antuvirus y con los spyware, pero no funciona nada!...

Los problemas más comunes son:



Al iniciar Windows , depsues de la ventana de bienvenida y ya estando en el escritorio (cargando los programas) aparece un mensaje de error que indica que no se han encontrado los componentes... y ya le doy aceptar...

En mi Unidad C se almacenaron 2 archivos realemnte extraños uno que esta en notepad, que tiene el sig. texto : Dios solo nos dio un 1 y un 0 y con eso, hemos construido un universo



Otro problemas es que no funcina el panel de control...

Y el otro que tambien me preocupa, es que no puedo usar el Msn Messenger 7.0, ya que al tratar de mandar unmensaje a laguien ó cuando me tratan de mandar a mi, la ventana de conversasion se cierra y manda a mis contactos un mensaje con un Link.. algo acerca de postalesdeamor.miarroba.com es realemnte muy raro!!

[b]Olala alguin me pueda ayudar a solucionar esto, ya que poco a poco se esta haciendo mas grande, desafortunadamente he contagiado a varios de mis contactos[/b]

[bengt]

CREEN QUE A SOLUCION A ESTE PROBLEMA SEA FORMATEAR LA COMPUTADORA??? O que es lo que recomiendan? :?

[msc hotline sat]

Lee los post anteriores y envuanos muestra de los ficheros sospechosos en cuestion !!!



y bajad el ELIRESTR.VBS en otra maquina, y arrancad esta en modo seguro y vereis como al ejecutar el ELIRESTR.VBS posiblemente se normaliza lo del Panel de Control y demás, pero claro, al volver a arrabncar con el gusano en marcha, volvera a modificar las claves al respecto.



En modo seguro, moved estos ficheros a una carpeta de cuarentena, volved a ejecutar ELIRESTR y arrancad normalmente, a ver si mientras recibinos las muestras y hacemos la utilidad podeis ir tirando



saludos



ms, 19-09-2005

[Trovador]

MMM pues gracias por avisar acerca de lo que hace con messenger, la verdad, asi me infecto. Uno de mis contactos misteriosamente me mando la link y la abri y es asi como me infecte....y cuando le reclame no tubo ni idea de que me habia mandado el link!!



Bueno.....estoy buscando como loco en various sitios de ingles como remover este virus, a mi se me hace que es un virus de msn messenger, ya que el incidente de la link lo delato....



seguire intentando, y cualquier ayuda realmente se las voy a agradecer!!



:?

[Trovador]

Bueno, investigando sobre este virus que me esta dando un gran dolor de cabeza, pues me he dado cuenta de que hay muchisimos viruses de MSN messenger. Este parece ser un Troyano o Gusano, y lo que deben hacer para [b]desactivarlo[/b] es desinstalar imediatamente su Macromedia Flash Player, y su MSN Messenger 7.0 para que no se lo manden a sus contactos. Esto no lo va a quitar!



Ahora, deben de conseguirse un buen antivirus (McAfee, o Norton...)



Si este es un virus comun deben detectarlo y si, no, pues es nuevo y asi que deben mantenerse informados en la web para descargar el antivirus que, esperemos, este listo pronto.....



Bno, al menos esto es lo que voy a hacer...

[mdk1]

msc hotline sat...



la sig. es la url directa al EXE del virus mencionado...



Porfavor no la abras si no sabes lo que es....

[msc hotline sat]

Pues muchas gracias mdk1 por facilitarnoe el link, que ha sido eliminado por razones de seguridad.



Bajado el fichero en cuestion, son ya tres los antivirus que detectan este nuebo bicho, y que hoy mismo en cuenato llefue a la oficina, ´procederemos a realizar utilidad de eliminacion, ademñas de enviarlo a McAfee para si inclusion y control en proximos DAT.



El resultado del examen de VirusTotal sobre dicho fichero es el siguiente:


[quote="VirusTotal"]Este es el resultado de analizar el archivo "Postal563.exe" que VirusTotal ha procesado el dia 20/09/2005 a las 04:39:00 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.32.0.3 19.09.2005 no ha encontrado virus

Avast 4.6.695.0 19.09.2005 no ha encontrado virus

AVG 718 19.09.2005 no ha encontrado virus

Avira 6.32.0.3 19.09.2005 no ha encontrado virus

BitDefender 7.2 20.09.2005 Win32.VB.S

CAT-QuickHeal 8.00 19.09.2005 no ha encontrado virus

ClamAV devel-20050917 19.09.2005 no ha encontrado virus

DrWeb 4.32b 19.09.2005 no ha encontrado virus

eTrust-Iris 7.1.194.0 20.09.2005 no ha encontrado virus

eTrust-Vet 11.9.1.0 19.09.2005 no ha encontrado virus

Fortinet 2.41.0.0 07.09.2005 no ha encontrado virus

F-Prot 3.16c 20.09.2005 no ha encontrado virus

Ikarus 0.2.59.0 19.09.2005 no ha encontrado virus

Kaspersky 4.0.2.24 20.09.2005 Virus.Win32.VB.s

McAfee 4585 19.09.2005 no ha encontrado virus

NOD32v2 1.1222 19.09.2005 no ha encontrado virus

Norman 5.70.10 19.09.2005 no ha encontrado virus

Panda 8.02.00 19.09.2005 Trj/Mepe.A

Sophos 3.97.0 20.09.2005 no ha encontrado virus

Symantec 8.0 19.09.2005 no ha encontrado virus

TheHacker 5.8.2.110 20.09.2005 no ha encontrado virus

VBA32 3.10.4 19.09.2005 no ha encontrado virus







VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.> Ir a: Inicio Contactar English Version

--------------------------------------------------------------------------------

http://www.virustotal.com :: @ Hispasec Sistemas 2004 :: e-mail info@virustotal.com
[/quote]

Em consecuencia, mientras tanto los afectados pueden lanzar este antivirus ONLINE que lo debe detectar u ya poder mover los ficheros gusano a cuarentena, si no se dejara eliminar:



http://www.pandasoftware.es/activescan/es/activescan_principal.htm



Por nuestra parte indicaremos en ete foro la disponibilidad de nbuestra herramienta de control y eliminaicon, en cuanto la hayamos subido a esta web.



saludos



ms, 20-09-2005

[Panda]

[b][color=black]bueno, asi como ustedes sufri el mismo problema pero cinceramente me enoje tanto por que no dejaba de jorobar cerrandome las ventanas del msn que dicidi buscar la solucion e intente entrar al regedir pero nomas no me lo abria pero use un programa que se llama RegAlyzer que es una herramienta muy buena para ver y editar el registro de una forma mucho mejor que con Regedit de Windows, ese programa se lo pueden consegir en la pagina oficial del spybot a y le dejo la direccion por si kieren bajarcelo:



http://www.safer-networking.org/es/download/index.html



pero bueno no nos salgamos si no tienen ese programa creo que tendran en forma a prueba de fallos por que asi en modo normal no le va a abrir el regedit, para abrir el modo a prueba de fallos en Xp reinicias la Pc y aprietas F7 y te van a aparecer unas opciones seleccionas la que dice entrar en modo seguro, cuando carge el sistema operativo te vas a INICIO, EJECUTAR y en EJECUTAR escribes regedit te saldra una ventana nueva a y buscas la carpeta que se llama HKEY_CURRENT_USER y la abres dandole click en el signo de mas luego en esa carpeta vas a buscar la carpeta que se llama software la abres y buscas las que se llama Microsoft la abres y en la carpeta de microsoft buscas la que se llama windows, abres la carpeta de windows y buscas la carpeta que se llama currentvercion abren la carpeta y buscan la que se llama Run, le dan un click a la carpeta de run y en la parte derecha de la venta le van a salir varias entradas ay una que se llama



C:\WINDOWS\system32\drivers\etc\jesse.exe



todo completo quedaria asi:



:arrow: HkEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run - C:\WINDOWS\system32 \drivers\etc\jesse.exe



selecionan esa entrada y le dan click derecho y la aliminan, les aparecera que si esta seguro que desea eliminar ETC ETC ETC le dan que si, luego se van a donde se guardo el archivo de la postal y lo eliminan ya como ultimo se reinician su computadora y poes se podran dar cuenta que ya no joroba el maldito bicho del demonio xD.

espero les sirva y si tienen dudas escribanme a panda1200@gmail.com espero averles ayudado en algo.. Seet You.[/color][/b] :)

[msc hotline sat]

Aceptando los pinitos de nuestro forero anterior, ya hemos recibido respuesta de McAfee sobre la muestra enviada, y lo pasa a reconocer como GENERIC BACKDOOR F y se controla con el siguiente EXTRA.DAT





______________________________________



55 178 136 180 77 51 192 134 158 52 141 243 13 51 141 254

87 15 44 178 192 176 143 178 13 78 44 183 254 212 29 55

142 49 229 179 214 50 132 48 15 35 141 104 12 57 128 49

8 51 114 76 12 51 153 180

3852 256 13122 519 M5



2128 178 152 178 77 51 202 214 99 86 255 218 110 19 207 210

110 88 201 220 98 65 163 213 158 52 129 243 13 51 141 179

61 207 137 35 29 51 141 141 215 50 132 86 2 183 106 122

193 248 108 55 168 207 124 100 199 252 73 120 232 34 124 127

254 243 76 121 168 197 120 70 133 197 77 100 222 243 90 86

25 251 65 120 193 251 71 54 152 184 29 54 202 243 92 119

136 229 77 100 222 214 130 100 168 193 65 120 204 249 95 101

136 195 120 114 201 226 104 189 251 211 122 64 237 196 40 69

251 194 122 89 226 209 14 177 29 51 104 163 251 230 81 69

205 228 94 39 168 197 81 101 220 228 73 111 232 33 109 123

216 243 90 121 218 182 107 122 193 245 67 115 218 150 109 123

232 61 91 108 205 228 94 115 218 150 107 119 220 251 73 120

232 61 76 115 201 242 8 117 205 250 68 54 154 150 76 115

232 61 91 115 218 224 77 100 168 193 65 122 204 226 64 127

232 63 94 127 218 227 91 22 251 239 91 98 218 247 104 184

192 247 88 102 209 226 90 121 194 247 70 86 6 204 65 100

207 226 40 76 193 228 79 98 232 62 107 122 193 243 70 98

168 211 66 66 218 249 66 86 3 195 68 122 209 229 91 115

168 213 68 127 205 248 92 86 29 193 65 122 206 194 64 127

198 241 5 69 205 228 94 115 218 214 156 117 196 255 77 120

220 150 120 122 201 226 77 119 221 182 107 122 232 32 106 119

203 253 123 121 203 253 77 98 168 150 107 122 193 243 70 98

205 214 131 98 218 249 66 119 198 150 90 99 198 242 68 122

168 214 157 67 195 229 75 122 193 243 70 98 168 195 67 101

203 250 65 86 28 195 67 101 219 243 90 96 205 228 40 67

195 229 91 115 218 224 104 189 233 251 65 101 220 247 76 22

251 192 64 121 219 226 104 161 253 198 111 68 233 210 109 36

152 166 27 22 252 249 67 115 198 196 104 162 203 249 70 112

193 241 40 69 195 247 92 119 198 187 106 121 220 214 156 119

193 228 92 100 199 238 40 125 205 228 70 115 196 250 27 36

232 35 73 127 218 226 90 121 208 150 90 99 198 242 68 122

155 164 104 167 233 213 108 69 205 243 8 85 218 247 75 125

136 215 68 122 136 192 77 100 232 56 122 87 252 182 107 100

201 245 67 115 218 214 157 119 199 255 40 102 218 252 123 115

218 224 77 100 250 247 92 86 1 208 125 85 227 195 120 85

168 198 90 121 194 214 156 123 219 225 91 115 220 227 88 22

237 238 88 122 199 228 77 100 232 33 107 122 205 248 92 22

235 250 77 120 220 150 40 85 196 243 70 98 232 33 67 127

196 250 92 99 198 248 77 122 168 207 8 66 221 248 70 115

232 60 110 119 220 247 68 54 255 249 93 120 204 150 110 119

220 214 134 80 234 223 40 120 205 225 8 116 199 226 104 163

230 212 122 66 229 166 24 39 168 210 77 96 193 245 77 114

232 35 78 122 199 249 76 115 218 150 97 68 235 208 68 121

199 242 104 163 243 206 117 59 210 226 71 121 168 205 112 75

133 236 92 121 232 60 110 79 237 217 119 117 196 255 77 120

220 150 107 122 193 214 130 69 209 229 92 119 219 253 25 22

251 239 91 117 195 243 104 162 216 250 93 101 192 249 92 22

216 228 66 88 199 226 65 112 209 214 159 102 196 227 91 117

199 250 76 22 216 228 66 88 199 226 65 112 209 214 158 87

204 224 73 120 203 243 76 54 229 243 91 101 205 248 79 115

218 150 114 178 96 214 129 115 194 226 119 100 205 251 40 70

218 249 66 86 25 215 76 123 193 248 40 91 201 224 15 101

136 211 76 127 220 182 123 115 218 214 131 69 205 224 77 100

153 150 101 101 239 228 92 37 154 214 157 65 193 248 27 36

199 230 92 22 227 243 90 120 205 250 30 86 25 194 64 115

136 208 73 98 205 182 103 112 136 210 71 121 197 182 107 122

193 214 131 113 205 248 24 117 193 242 77 22 239 243 70 38

203 214 131 85 196 255 77 120 220 150 107 119 210 248 71 96

201 214 158 91 193 229 92 54 252 228 71 124 201 248 40 83

228 182 108 95 233 212 104 189 241 229 71 100 168 226 69 102

168 150 122 121 219 239 104 190 203 241 65 84 199 226 40 117

207 255 106 121 220 214 131 66 218 249 66 119 198 251 73 120

193 247 75 73 222 214 130 69 205 228 94 115 218 150 96 36

195 182 124 100 199 252 104 162 251 243 92 99 216 150 105 117

193 242 8 69 192 255 94 115 218 214 153 69 205 226 93 102

168 229 94 117 192 249 91 98 168 150 91 96 203 254 71 86

30 238 123 115 218 224 77 100 168 197 77 100 222 243 90 22

168 197 77 100 232 35 101 127 203 228 71 89 197 229 67 22

136 150 40 91 193 245 104 189 251 243 90 96 205 228 40 83

208 230 68 121 205 228 104 167 236 247 90 125 136 197 65 114

205 182 106 121 220 182 126 115 218 229 65 121 232 39 123 115

218 224 77 100 220 150 123 115 218 224 77 100 168 150 123 84

247 197 104 189 250 243 75 121 198 150 120 100 199 252 77 117

220 167 104 191 235 250 65 115 198 226 40 83 229 211 40 22

232 63 102 115 220 182 105 120 220 228 73 110 136 167 104 188

227 243 68 98 199 255 9 100 219 150 99 115 196 226 71 86

2 208 124 94 154 166 24 34 168 208 124 94 154 166 24 34

232 34 73 100 216 250 64 123 204 182 97 83 136 244 93 113

168 247 90 86 1 194 102 66 235 249 70 112 193 241 40 66

230 214 134 66 230 194 40 65 193 248 91 121 203 253 104 160

203 254 73 121 194 255 77 22 255 255 70 114 199 225 91 54

253 198 76 86 28 219 123 88 251 230 65 114 205 228 107 122

193 243 70 98 235 249 104 160 253 230 76 119 220 243 119 112

218 247 70 125 219 197 77 100 222 243 90 86 0 193 65 120

250 247 92 22 255 255 70 68 201 226 104 190 255 255 70 68

201 226 40 85 196 255 77 120 220 214 156 64 199 255 75 115

251 230 81 22 254 249 65 117 205 197 88 111 232 52 97 102

136 196 73 102 205 214 153 78 204 245 75 22 255 209 112 82

235 213 112 78 240 150 40 98 201 229 67 86 2 209 77 114

234 249 92 22 255 255 70 90 199 241 71 120 232 35 107 121

202 228 73 67 216 250 71 119 204 243 90 22 235 249 104 162

249 199 94 121 193 245 77 22 230 243 92 70 201 228 90 121

220 214 156 65 201 250 76 121 136 215 70 119 196 239 82 115

218 150 127 119 232 35 105 123 193 244 71 127 204 243 8 67

216 250 71 119 204 243 104 167 229 239 8 82 205 251 65 101

205 150 8 59 136 219 81 54 236 243 69 127 232 39 105 100

203 254 65 96 199 150 123 98 193 251 71 120 219 150 40 95

251 212 104 167 197 229 76 100 222 150 69 101 204 228 94 22

168 198 90 121 207 243 92 98 232 33 101 102 206 197 77 100

222 255 75 115 233 150 88 100 194 212 95 84 232 34 111 115

204 212 71 98 134 244 40 65 193 248 100 121 207 249 70 86

25 242 77 122 168 198 90 121 194 243 75 98 153 150 40 70

218 249 66 115 203 214 158 82 218 227 79 90 199 228 76 34

152 164 40 70 218 249 66 115 203 226 104 185 229 249 70 125

168 219 71 120 195 150 104 161 251 243 90 96 205 228 40 84

199 229 91 54 251 243 90 96 205 228 104 160 221 215 92 98

201 245 67 22 253 248 76 115 218 215 92 98 201 245 67 86

3 240 65 100 219 226 40 98 195 150 40 70 218 249 66 86

29 197 67 82 136 196 105 66 136 197 99 82 136 213 68 127

205 214 158 101 205 251 69 102 155 164 40 101 205 251 69 102

155 164 40 22 251 219 104 189 220 243 91 98 168 225 27 36

135 226 90 121 194 247 104 189 251 247 92 119 198 255 75 54

251 243 90 96 205 228 104 189 197 247 92 100 193 238 8 117

196 255 77 120 220 243 104 189 251 247 92 119 198 255 75 54

235 250 65 115 198 226 104 161 248 249 91 98 201 250 29 32

144 150 107 121 198 240 77 101 193 249 14 177 14 51 104 167

221 230 76 119 220 243 40 70 218 249 66 115 203 226 25 22

168 198 125 70 232 33 76 122 196 165 26 22 136 150 40 69

234 216 91 115 218 224 77 100 232 39 94 115 218 182 74 99

193 250 76 115 218 150 74 100 201 255 70 116 199 226 104 161

219 229 40 117 219 228 91 101 134 243 80 115 168 150 107 126

199 242 14 177 10 51 104 189 255 255 68 114 252 254 65 120

207 182 107 122 193 243 104 188 255 255 68 114 247 194 64 127

198 241 8 85 196 255 77 86 0 226 25 22 168 213 103 80

252 228 71 124 201 248 104 167 203 243 91 101 136 196 77 101

219 227 90 115 203 226 65 121 198 182 123 115 142 49 136 179

232 34 81 115 218 150 40 97 193 248 93 101 218 165 26 114

196 250 82 86 0 150 40 98 218 249 81 119 198 243 65 98

199 228 104 167 251 221 108 69 205 228 94 115 218 150 40 69

227 210 123 115 218 224 77 100 232 32 123 115 218 224 65 117

205 229 40 22 251 221 108 69 205 228 94 115 218 176 143 163

13 214 130 65 193 250 76 66 192 255 70 113 237 242 65 98

251 243 128 49 8 51 141 179 12 51 153 126 15 52 141 253

10

9112 256 13122 519 Generic BackDoor.f







______________________________________





Como siempre, seleccionar el contenido del script entre lineas, copiarlo y pegarlo en el bloc de notas y giardarlo como EXTRA.DAT , el cual copiar en la carpeta del antivirusm junto con los demás DATS



Como que es un backdoor que crea en ...\drivers\etc\ el fichero JESSE.EXE vamos a llamar ElistarA.EXE a la nueva utilidad que detectarña y eliminará del registro las claves modificadas por el virus, aparte de la del RUN, la de desactivar TASKMGR y la que deshabilita la edicion de registro y la marca de presencia del mismo, recordando que mientras estña presente en memoria desactiva los procesos de seguridad residentes, y tras ello se eliminamos el fichero gusano y los ficheros que encuentre en el disco duro relativos a él.



Esta mañana subiremos dicha utilidad a esta web, para pruebas de evaluacion en el foro.



saludos



ms, 20-09-2005

[msc hotline sat]

Podeis probar la nueva utiliodad ElistarA.EXE:



http://www.zonavirus.com/descargas/elistara.asp



y comentadnos los resultados como respuesta dde este Tema, gracias



saludos



ms, 20-09-2005

[msc hotline sat]

Ver: https://foros.zonavirus.com/viewtopic.php?p=39944#39944



ms.

[bengt]

REALMENTE LES AGRADEZCO POR TOMARSE EL INTERES SOBRE ESTE VIRUS, GRACIAS A LA APLICACION QUE ACABAN DE DEJAR , TODO MI SISTEMA HA REGRESADO A LA NORMALIDAD!!!!!

MIL GRACIAS!!!!!!



Enrique A. - Mexico DF :lol:

[Aldo Contreras]

Copañeros, la utilidad de [b]msc hotline sat[/b] si funciona, al instante, en segundos solucionaran su problema, felicidades por su pronta respuesta a este Virus.



Gracias.

[maura63]

Pues lo celebramos y dando por solucionado el tema procedemos a cerrarlo.



Saludos

maura63

[msc hotline sat]

NOTA POSTCIERRE



Ha sido un placer.



Desde las 4:50 de esta madrugada que mdk1 me facilitaba la muestra no hemos parado hasta que hemos acabado la utilidad, si bien debido a que sobreescribe ficheros sin proteccion de atributo en el directorio principal y en disquetes, pueden quedar secuelas al tener que reemplazarlos por los originales o copia de seguridad, eso que uno acostumbra a olvidar...



Pero por lo menos se elimina el virus y sus acompañantes en el disco duro, pero recordar que si teníais introducido disquete mientras estabais infectados, los ficheros de los disquetes, aunque con el mismo nombres, han sido sobreescrios con el codigo del troyano, por lo que mucho cuidado en ellos, que al ejecutarlos se volvería a instalar el proceso virico !!!



saludos



ms, 20-09-2005



saludos



ms, 20-09-2005





[b]PD: Me complace informar que a las 17: McAfee ya dispone de los DAT 4586 que controlan normalmente este nuevo bicho, sin necesidad del EXTRA.DAT. ms.[/b]