Virus por Messenger (SOLUCIONADO)

Wherters Original · Mensaje por **Wherters Original** » 26 Dic 2005, 12:38

Ayer se me abrió una ventana de conversación de uno de mis contactos con un link a esta página (no lo pongais en vuestro explorador):

http:// hometown.aol.com.au/miralafoto/foto.exe

(no lo pincheis puesto que es la dirección del virus)

El caso es qe di, y se me ha metido un virus en el ordenador que reenvía este mensaje a todos mis contactos de messenger sin que yo de a nada, y no se que tengo que hacer para eliminarlo... ¿Alguien podría ayudarme?

Mensaje por **msc hotline sat** » 26 Dic 2005, 13:03

Pues si bien por el nombre del gusano FOTO.EXE cabía pensar inicialmente en una de las variantes del MyDoom, este resulta ser un nuevo Downloader que todavía no conocen muchos antivirus, segun analisis con VIRUSTOTAL:

VirusTotal escribió:Este es el resultado de analizar el archivo "foto.exe" que VirusTotal ha procesado el dia 26/12/2005 a las 12:47:35 (CET).
Antivirus Version Actualización Resultado

AntiVir 6.33.0.70 26.12.2005 TR/Dldr.Banload.NU.3
Avast 4.6.695.0 24.12.2005 no ha encontrado virus
AVG 718 23.12.2005 no ha encontrado virus
Avira 6.33.0.70 26.12.2005 TR/Dldr.Banload.NU.3
BitDefender 7.2 26.12.2005 Trojan.Downloader.Banload.NU
CAT-QuickHeal 8.00 24.12.2005 TrojanDownloader.Banload.nu
ClamAV devel-20051108 24.12.2005 no ha encontrado virus
DrWeb 4.33 26.12.2005 DLOADER.Trojan
eTrust-Iris 7.1.194.0 25.12.2005 no ha encontrado virus
eTrust-Vet 12.4.1.0 25.12.2005 no ha encontrado virus
Fortinet 2.54.0.0 24.12.2005 no ha encontrado virus
F-Prot 3.16c 23.12.2005 no ha encontrado virus
Ikarus 0.2.59.0 23.12.2005 no ha encontrado virus
Kaspersky 4.0.2.24 26.12.2005 Trojan-Downloader.Win32.Banload.nu
McAfee 4658 23.12.2005 no ha encontrado virus
NOD32v2 1.1339 24.12.2005 Win32/TrojanDownloader.Banload.NU
Norman 5.70.10 26.12.2005 no ha encontrado virus
Panda 8.02.00 25.12.2005 no ha encontrado virus
Sophos 4.01.0 26.12.2005 no ha encontrado virus
Symantec 8.0 26.12.2005 Download.Trojan
TheHacker 5.9.1.061 25.12.2005 no ha encontrado virus
VBA32 3.10.5 26.12.2005 Trojan-Downloader.Win32.Banload.nu

VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.
--------------------------------------------------------------------------------

Para eliminarlo, descargar uno de los antivirus que lo controlan en su version de evaluacion, y arrancar en modo seguro, deshabilitar la restairacion de sistema y con el antivirus en ciestion lo detectará y eliminará

Hoy en Cataluña es fiesta (San Esteban), pero en cuanto lleguemos mañana al trabajo daré la muestra a I+D para su control y eliminacion con nuestras utilidades.

Mientras, como que Symantec ya lo detecta, puede comprobarse con un analisis ONLINE

y si se tiene ADSL mediamte router, arancar en modo seguro con funciones de red y con el mismo ONLINE se podrá eliminar si se lanza habiendo arrancado en dicho modo

saludos

ms, 26-12-2005

melenas87 · Mensaje por **melenas87** » 29 Dic 2005, 11:59

Miren,a ver si alguien me pudiera ayudar,lei aki k para kitar el dichoso virus de las fotos habia k eliminar el services.exe en el modo a prueba de errores,xo ahora no se enciende.Se k tenia k haberlo restaurado,xo demasiado tarde,k hagopara poder iniciarlo?Espero tener noticias pronto,es algo urgente.Gracias

Mensaje por **msc hotline sat** » 29 Dic 2005, 12:07

eL sERVICES QUE PROCEDE ELIMINAR ES EL DE LA CARPETA SERVICE QUE CUELGA DE LA DE SISTEMA, NO EL DEL SISTEMA OPERATIVO !!!

La manera de hacerlo automaticamente es lanzando el ELISTARA, que como ya indicamos en su momento, detecta, controla y elimina este downloader y el cazapasswrds que descarga.

Si ha eliminado el de sistema, o boen arranca con el CDROM de instalacion y REPARA windows (NO REINSTALAR sino REPARAR !!!) y finalice con un windosupdate, o bien se copia en disquete el SERVCES.EXE de otro ordenador con el mismo sistema operativo (De C:\windows\system32) y arrancando con ekl CD en consola de recuperacion, lo copia en la indicada carpeta de sisrema del ordenador que lo borró, ejecutando COPY A:\SERVICES.EXE C:\WINDOWS\SYSTEM32 <ENTER>

saludos

ms, 29-12-2005

melenas87 · Mensaje por **melenas87** » 29 Dic 2005, 12:19

Muchas gracias x todo, y vaya rapidez!!! De todas formas creo k reparare el sistema,xk es un portatil y lo no lleva disquetera.Esta tarde probare y si tengo alguna duda ya te comentare.Gracias otra vez

Mensaje por **msc hotline sat** » 29 Dic 2005, 12:46

Sobre todo no REINSTALE , pues perdería todas las aplicaciones instaladas. Debe escoger REPARAR.

Y ante toda duda consulte. Yo no estaré esta tarde, he de ir al extranjero, pero ahi quedan mis compañeros que le ayudaran igualmente.

y cuentenos el resultado, gracias

saludos

ms, 29-12-2005

Mensaje por **msc hotline sat** » 02 Ene 2006, 12:44

Y finalizo este Tema con la solucion para este prolifico nuevo gusano de MSN que hace descargar y ejecutar el FOTO.EXE, tras lo cual instala un downloader y descarga un troyano peligroso:

UTILIDAD DE ELIMINACIÓN ELISTARA.EXE:
http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 2-1-2006

Virus por Messenger (SOLUCIONADO)

Virus por Messenger (SOLUCIONADO)

Gran poblema