Virus MSN fotos.cmd (SOLUCIONADO)

[Liseth]

wenas , he liedo vcarias soluciones de cómo quitar el virus que viene al msn , y no me deja abriri casi ningun programa, como les han sucedido a varias personas, y no puedo iniciar a modo de fallos, ya que al ajecutar "msconfig" no me deja abrir al ejecutarlo y en cuanto al iniciarl de la forma distinta , (F 8), me aparece varias opciones.. por ejemplo: PM-ST3160021A y mas opciones de este tipo asi que quisiera saber si hay alguna solución,gracias.

[msc hotline sat]

Empìeza por decirnos nombre, extension y ruta de donde detectas el fichero malware, y tras ello enviarnoslo para su analisis



saludos



ms, 6-9-2006

[Patafender]

Pille yo el fichero que te pide que descargues el fotos.cmd antes de ejecutarlo, si lo quieren

[msc hotline sat]

Claro que sí, de esta forma sabremos de quñe hablamos y procederemos a su analisis, control y eliminacion:





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



saludos



ms, 6-9-2006

[Patafender]

Mail enviado.

[msc hotline sat]

Bien, pues mañana de vuelta al trabajo las veremos y analizaremos



salidos



ms, 6-9-2006

[msc hotline sat]

Bueno, pues analizado el FOTOS.CMD resulta ser un nuevo backdoor qie no detecta casi nadie, (solo Dr.Web en el analisis de Jotti's), que pasamos a controlar y eliminar con la verison del hoy del ELITRIIP 2.44 , asi como enviamos muestra a McAfee para su inclusuion en proximos DAT




[quote="analisis de Virus de Jotti's"]
Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1



File to upload & scan:

Service

Service load: 0% 100%



File: fotos.rar

Status: INFECTED/MALWARE

MD5 68db31323362d223b0b7369d21ed5409

Packers detected: -

Scanner results

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found modification of BackDoor.Generic.483

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VirusBuster Found nothing

VBA32 Found nothing



Powered by



Disclaimer

This service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, We cannot and will not be held responsible for any damage caused by results presented by this non-profit online service.



Also, we are aware of the implications of a setup like this. We are sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). We are aware, in spite of efforts to proactively counter these, false positives might occur, for example. We do not consider this a very big issue, so please do not e-mail us about it. This is a simple online scan service, not the university of Wichita.



Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.



Virus definitions are updated every hour. There is a 15Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample.



Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception. Read more about this in our privacy policy. If you do not want your files to be distributed, please do not send them at all.



Sponsored by donations (in random order) from: Stormbyte Technologies LLC, The ClamAV project, James Love, Gideon Pertzov, Malcolm Murray, Nigel Thomas, Wendy Dickerson, Anthony Midmore, "ethereal", Mark Rubins, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, and some people who prefer to remain anonymous... many thanks to all!



Statistics

Last file scanned at least one scanner reported something about: sr.exe, detected by:



Scanner Malware name

AntiVir X

ArcaVir X

Avast X

AVG Antivirus X

BitDefender X

ClamAV X

Dr.Web X

F-Prot Antivirus X

Fortinet X

Kaspersky Anti-Virus X

NOD32 probably unknown NewHeur_PE

Norman Virus Control X

UNA X

VirusBuster X

VBA32 X





You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives

We are not affiliated with any third parties that conduct tests using this service.











Frequently asked questions - Feedback - Privacy policy







Page generated by JTPL



Copyright © 2004-2005 Jordi Bosveld <jotti@jotti.org>
[/quote]

Nota: cierto que ni McAfee ni Symantec ni Trend forman parte de este testeo, pero es que VirusTotal está muy ocupado y nos pone en cola como de 60 testeos antes del nuestro !!!



Pero sirve para ver que algunos tambien conocidos como BIT DEFENDER, F-PROT, Fortinet, NOD32, etc aun no lo detectan, lo cual da idea de ser una variante aun no muy conocida.



saludos



ms, 7-9-2006

[Patafender]

Muchas gracias, esperare impacientemente la salida del ELITRIIP 2.44. y os digo si la solucion es efectiva



Por cierto algun moderador podria cambiar el titulo por Virus MSN fotos.cmd?

[msc hotline sat]

Cambiado título del Tema, pero has de saber que el autor del mismo puyede cambiar titulo y texto de los post hecho por él, seleccionando el Tema y entrando en EDITAR estando logado con su nick y password en el foro.



saludos



ms, 7-9-2006



nota: Claro, ya veo que el autor del Tema fue "Liseth" y no tu, lo cual explica tu solicitud :oops:

Entonces nos quedamos con las ganas de saber si el fichero de Liseth era este mismo o no, ya que no ha dicho nada mas al respecto...

[msc hotline sat]

Pues menudo bicho !!

Aparte de deshabilitar la edicion de registro y desactivar el administrador de tareas nos crea dos procesos lanzados desde el registro a traves de la ejecucion del motaba.exe y del spof.exe t utiliza un arrowmsn.exe junto con scripts HTM y HTA...

La proliferación de ficheros y complejidad de procesos, si bien conocemos el método, precisa de mas tiempo de programación y ensayo, asi como luego comprobación de resultados tras compilar cada prueba, por lo que a la hora de cerrar no ha habido tiempo material de terminar la inclusión de esta variante en nuestra utilidad ELITRIIP de hoy, que estamos compilando con las variantes que hemos incluido, pasando esta a serlo mañana, si bien le indicamos manera manual de desinfección, por si quiere hacerlo:

Lanzar el ELIRESTR para poder acceder al administrador de tareas y al registro de windows y a poder ejecutar resto de ficheros

Detener los procesos motaba.exe y spof.exe

Eliminar estos ficheros de la carpeta windows\system, que no es la de sistema en XP... y tras ello al reiniciar ya no se pondrán en marcha, dejandolt trabajar

Aparte nuestra utilidad eliminará otro exe de la carpeta de windows y los HT* troyanos, y eliminará las claves de registro de llamada a los gusanos en cuestión

Y aparte examinaremos por cadenas todo el disco duro en busca de posibles colegas copiados o guardados en alguna parte del disco duro.

Estaba previsto terminarlo hoy pensando en una dificultad normal, pero este se las trae...

Y las versiones de hoy del ELISTARA y del ELITRIIP avisan si encuentran a faltar el nuevo parche MS06-040 que tanto problema nos ha dado este verano ! (ademas de otros malwares anteriores al suyo)

Pero ahora el suyo ya está en proceso, y mientras Vd duerma trabajaremos en él y mañana a mediodia (cuando Vd despierte) ya esperamos que estará disponible.

Hasta mañana.

saludos
ms, 7-9-2006

nota: El hombre propone y Dios dispone...

[msc hotline sat]

Cumpliendo lo prometido, anticipamos la subida a esta web de la utilidad ELITRIIP 2.45 para que pueda probarla tan pronto amanezca aqui en Brasil

Tras ello, comentenos el resultado, gracias

saludos
ms, 8-9-2006

[Luc*]

Hola!

ami me pasa lo mismo,e leido todo esto y no entiendo muy bien:roll: ...si me lo pudieseis explicar os lo agradeceria,el virus ste tampoco me deja abrir ningun programa x eso no me deja ejecutar.gracias y adios!

[msc hotline sat]

Arranca en modo seguro y ejecuta estas dos utilidades, en este orden:

ELIRESTR.VBS (para devolverte el acceso)
ELITRIIP (para eliminar el virus y restaurar claves)

y nos cuentas el resultado gracias

saludos
ms, 8-9-2006

[Luc*]

weno,e exo eso k dices,desd el ordenador afectado xk no es este,e entrado en esas paginas y eso pero el 2º como el virus no me deja ejecutar,no puedo!...k ago?luego de averlo exo k tengo k acer? :? :(

[Luc*]

WooOo! lo consegui! (eso creo) Hice lo k dijisteis,pero el ultmo k descargo es el programa k lo kita,me aparece: kiere elimina noseke?y luego kiere eliminar nosecuanto?y le doy a k si y dice k ya sta!!eso kiere decir k ya no tengo el virus?sta limpio mi pc?puedo usarlo ya?

[msc hotline sat]

Posteanos el C:\infosat.txt y veremos el resultado del proceso, y podremos saber si lo hemos eliminado como es de esperar.

saludos
ms. 8-9-2006

[Luc*]

eso k es?jeje,perdon.weno nose me va todo bn y puedo abrir los programas,pero dime como ago eso?

[msc hotline sat]

Con el bloc de notas abres el fichero indicado, lo seleccionas todo con CTRL_E, lo copias al portapapeles con CTRL_C y lo pegas en tu proximo post de respuesta a este Tema, con CTRL_V

saludos
ms, 8-9-2006

[Luc*]

[code]Fri Sep 08 16:57:56 2006
EliTriIP v2.45 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\MICROSOFTMSN.HTM --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Explorer"="C:\WINDOWS\system\motaba.exe"

Fri Sep 08 17:02:42 2006
EliTriIP v2.45 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
C:\Documents and Settings\pc\Configuración local\Archivos temporales de Internet\Content.IE5\GH4V03SZ\fotos[1].cmd --> Eliminado, MsnSpy[/code]

eso es¿?

[msc hotline sat]

Pues se detectaron y eliminaron claves, ejecutables y complementarios de este virus

Caso resuelto.

Esperamos la respuesta de Patafender, que se supone será satisfactoria, para proceder cerrar el Tema

saludos
ms, 8-9-2006

[Luc*]

muchisimas gracias !!lla verdad sk ya me veía formateando el ordenador,gracias de nuevo!!y aprendí algo sobre estas cosas jeje!gracias de nuevo y de nuevo!! jeje!!salu2!!!!

[msc hotline sat]

Pues se detectaron y eliminaron claves, ejecutables y complementarios de este virus

Caso resuelto.

Esperamos la respuesta de Patafender, que se supone será satisfactoria, para proceder cerrar el Tema

saludos
ms, 8-9-2006

[msc hotline sat]

De nada, es un placer.

saludos
ms, 8-9-2006

[Patafender]

Ok todo funciona perfectamente, muchas gracias por vuestra ayuda

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 9-9-2006

[msc hotline sat]

Claro que sí !, SOLUCIONADO !!!

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 18-9-2006

[Darkalex]

Para arrancar el Pc en modo seguro, se tiene ke apretar F8 al iniciar verdad?

[msc hotline sat]

pulsarla repetidamente:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



saludos



ms, 12-01-2007

[ingeday]

Hola, la verdad estoy recien llegado a este foro, y busque y busque sobre un virus que tenia mi pc portatil, y hace dias tambien el computador de mi tie, el virus no me dejaba ejecutar ningun programa, ni las opciones del panel de control, exactamente no me dejaba hacer nada, y analize mi equipo con Panda Online y me borro 7 virus, pero nada, y buscando encontre el hilo de este tema en este foro, y ejecute el archivo elirestr.vbs y no hice mas nada y eso me ha solucionado el problema, es realmente una maravilla.



Gracias a Dios y a uds se soluciono todo.

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 9 de Junio de 2007



nota: y con el ELITRIIP hubiera eliminado este virus y restaurado las claves, todo de una vez ..., aparte, este Tema proviene del año pasado, ahora hay muchos otros virus de messenger (celular, Posse, etc) que eliminamos con el ELISTARA.     ms.