virus mira las fotos.. (SOLUCIONADO)

adara · Mensaje por **adara** » 28 Dic 2005, 05:26

[color=blue]Hola! Yo tenía el mismo problema y después de leer varios articulos sobre este virus, checar registros, hacer muchos escaneos con diferentes antivirus on line symantec (que no lo detectó) panda (tampoco lo detectó)etc, hasta q con kaspersky, encontré el origen del problema y esta en c:\WINDOWS\system32\service\services.exe y basta con eliminar el archivo entrando al sitema en modo a prueba de fallos para q deje de mandar dicho link. Y ahora si mi computadora esta libre de ese virus.[/color][/color]

Mensaje por **msc hotline sat** » 28 Dic 2005, 05:59

Ya se informó ayer en este foro que se habúia subido la version 10.81 del ELISTARA que no solo elimina este SERVICES troyano descargado, sino el dowloader y ficheros creados pàralelos, asi como las claves de registro modificadas por ellos:

https://foros.zonavirus.com/viewtopic.php?p=47542#47542

Recuerden la importancia de eliminar totalmente este downloader y lo que haya descarhado, pues inicialmente se tarta de un capturador de passwords bancarios, tipo BANKER, pero su persistencia en el ordenador puede descargar otros ficheros-

Se recomienda ver el historial de este troyano en:

https://foros.zonavirus.com/viewtopic.php?t=9884

saludos

ms, 28-12-2005

Piero · Mensaje por **Piero** » 28 Dic 2005, 16:48

Buenas gente, primero les pido paciencia porque yo soy nuevito acá, me acabo de registrar, y no se mucho de virus y demas.

Me registré justamente porque me está pasando algo similar a lo que vienen comentando, me llega el siguiente mensaje en el msn:

~~[b]~~ve esa vaina http://hometown.aol.com.au/miralafoto/foto.exe[/b]

Es lo mismo de lo que vienen hablando? que me recomiendan? porque además yo cometí la torpeza de entrar al link porque me vino de un contacto que es muy de esas cosas y ya no se que puede pasar. Ademas de que estoy en una red de la empresa donde trabajo, que tienen MacAfee, pero no se si lo detectan o no. Si me pueden decir que me recomiendan para hacer les estaría agradecido.

Gracias.

Mensaje por **msc hotline sat** » 28 Dic 2005, 16:58

Gracias a que les enviamos enseguida las muestras, McAfee ya lo detecta.

Simplemente con lanzar el ELISTARA actual lo controlará y eliminará en su caso:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 28-12-2005

mel8 · Mensaje por **mel8** » 12 Sep 2007, 23:08

Me enviaron el virus y lo ejecute y cuando vi que empezaba a pasarselo a todos mis contactos deduje que era un virus entonces borré el archivo así que ahora en mi pc no hay el archivo del virus pero me sigue saliendo y se lo sigo enviando a mis contactos...no se que hacer llevo 3 días con esto y he entrado a mil páginas web pero ninguna me da resultado...

:cry: :cry: :cry: :cry:

por favor ayúdenme lo necesito estoy desesperada

Gracias.

Mensaje por **lucl** » 12 Sep 2007, 23:16

pues haz como todos, descargate este programa que te indico y peganos luego el log que te dejara en C infosat.txt saludos

http://www.zonavirus.com/descargas/elistara.asp

mel8 · Mensaje por **mel8** » 12 Sep 2007, 23:22

ESTO ES LO QUE ME SALE PORQUE EL PROGRAMA YA LO UTILIZE ANTES......ME VA A DAR ALGO NUNCA HABIA SUFRIDO TANTO....MI PRIMO ME DIJO QUE BORRARA DE LOS PROCESOS (desde el control + alt + supr ) pero nose que nombres hay que borrar.....( fotos_posse, SP2.EXE, Proyecto 1 y yo_posse_007.jpg.exe) no me sale ninguno de estos nombres en procesos...que hago ahora?

Wed Sep 12 19:29:19 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

Wed Sep 12 19:56:25 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Sep 12 19:58:01 2007

EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\M3HTML.DLL.VIR --> Eliminado, MyWebSearch

C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\BOONTY.EXE --> Eliminado, Boonty Games

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PAVTRC.DLL --> Eliminado, NavHelper(BHO)

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PAVTRC.DLL --> Acceso Denegado, NavHelper(BHO)

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch(inf)

Wed Sep 12 20:48:35 2007

EliTriIP v3.87 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Sep 12 20:48:38 2007

EliTriIP v3.87 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 13 Sep 2007, 13:49

Está habiendo nuevas variantes de virus de MSN que son SDBOT, y que pasamos a controlar con ELITRIIP

Con el de ayer 3.87 ya controlábamos el img_0024.zip y con le de hoy 3.88 controlaremos ademas el img_0012.zip y si se quiere mas información empezar por indicar el nombre del fichero que envia por MSN (el mismo que se recibió...)

saludos
ms, 13-09-2007

mel8 · Mensaje por **mel8** » 13 Sep 2007, 16:35

ami me pasaron uno que era IMG_0012 que puedo hacer? es que ya no se que programa usar ni antivirus ni nada

Gracias por la ayuda y por seguir ayudándome.

Mensaje por **msc hotline sat** » 13 Sep 2007, 16:39

Pues ya te decimos: "y con le de hoy 3.88 controlaremos ademas el img_0012.zip "

Esta noche te descargas el ELITRIIP indicado y lo pruebas: http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 13-09-2007

mel8 · Mensaje por **mel8** » 13 Sep 2007, 16:43

gracias de verdad. Olle me lo puedo bajar ahora? o tiene que ser por la noche? y otra cosa...tengo que abrirlo en modo seguro o con el windows iniciado normal ? Porque cuando lo abri pues me puse en modo seguro y me salia mi cuenta y otra que ponia Administrador entonces otra cuenta que tengo que es limitada no salia...desde cual devo hacerlo? porque me sale una cuenta de administrador que yo no la he creado?

Si soy pesada o repetitiva lo siento pero esque no entiendo mucho de ordenadores y menos de virus, disculpad.

Mensaje por **msc hotline sat** » 13 Sep 2007, 17:02

Podras probarla en modo normal, pero si arrancas en modo seguro no haras ningun daño.

Y la version indicada estará disponible a partir de las 19 h GMT, que es cuando cada dia sunimos las nuevas versiones.

Ahora no está dicha version.

saludos

ms, 13-09-2007

mel8 · Mensaje por **mel8** » 13 Sep 2007, 19:13

Perdonad, me estoy intentando bajar el programa ese para quitar el virus y me dice que una ventana de pop-up ha sido bloqueada que puedo hacer? Yo voy a estar conectada continuamente al foro para poderles responder rápidamente.

Mensaje por **msc hotline sat** » 13 Sep 2007, 19:16

Ya puedes descargarla, la estabamos subiendo y es posible que tuvieras problemas:

ELITRIIP: http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 13-09-2007

ojo: desactiva tu antivirus para ello, no sea que te esté dando falsos positivos... ms.

mel8 · Mensaje por **mel8** » 13 Sep 2007, 19:20

No me deja....

Todo me tiene que pasar a mi xD esque me hace gracia.

Mensaje por **msc hotline sat** » 13 Sep 2007, 19:51

Pues mira otro caso igual que acabamos de dar por solucionado.

Por si tienes algo mas, arranca en MODO SEGURO con funciones de red y prueba de descargar el ELITRIIP en dicho modo, sin otros incordios residentes...

saludos
ms, 13-09-2007

mel8 · Mensaje por **mel8** » 13 Sep 2007, 19:55

Al final he podido y he reiniciado aqui os dejo el log para que podais verlo y en la pantalla a salido que el gusano ya se habia eliminado. He terminado ya con esta tortura?

Wed Sep 12 19:29:19 2007
EliStartPage v14.62 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

	  Wed Sep 12 19:56:25 2007
EliStartPage v14.62  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed Sep 12 19:58:01 2007
EliStartPage v14.62  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\M3HTML.DLL.VIR --> Eliminado, MyWebSearch
C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\BOONTY.EXE --> Eliminado, Boonty Games
C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PAVTRC.DLL --> Eliminado, NavHelper(BHO)
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PAVTRC.DLL --> Acceso Denegado, NavHelper(BHO)
C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch(inf)

	  Wed Sep 12 20:48:35 2007
EliTriIP v3.87  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

	  Wed Sep 12 20:48:38 2007
EliTriIP v3.87  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Thu Sep 13 19:43:50 2007
EliTriIP v3.88  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM\LSASS.EXE --> Renombrado a .VIR
Entrada Eliminada [HKLM\...\Run] "Windows Lsass Services"="C:\WINDOWS\system\lsass.exe"

	  Thu Sep 13 19:47:45 2007
EliTriIP v3.88  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM\LSASS.EXE --> Eliminado

Mensaje por **lucl** » 13 Sep 2007, 20:47

Desde luego con la limpieza realizada si parece que termino la tortura :lol: saludos

mel8 · Mensaje por **mel8** » 13 Sep 2007, 20:50

Pues menos mal.

Muchas gracias de verdad sin vosotros me hubiera vuelto loca, la verdad que trabajáis muy bien y ayudáis mucho a la gente.

Os felicito. Gracias por todo.

Mensaje por **msc hotline sat** » 14 Sep 2007, 15:43

Y solucionado el problema, procedemos a cerrar el Tema

si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 14-09-2007