Ayudaaaaa!! * <foto_celular.zip> (SOLUCIONADO)

[pbr1111]

[quote="msc hotline sat"]Mira "pbr1111", no está permitido postear en paralelo,:



https://foros.zonavirus.com/viewtopic.php?f=1&t=530



y ademas esta respuesta ya se te critica en:



https://foros.zonavirus.com/viewtopic.php?p=95425#95425



Así que antes de postear, mira lo que se dice al respecto en el foro !!!



Desde el jueves este virus está detectado, controlado y eliminado con el ELISTARA, tanto del registro como de los ficheros...



[img]http://img476.imageshack.us/img476/4186/firmaforos2ab0sa.jpg[/img]



y mejor no toquetear el registro a mano con el REGEDIT. Puede ser peor el remedio que la enfermedad !





ms, 28-04-2007[/quote]

Perdon, ya posteare en su sitio, y yo solo doy ideas de acuerdo asi que respetelas.

[wilferrendon]

Amigos resulta que me paso que volvi a reiniciar el pc hoy, y volvio a aparecer el problema, le corri el Elistar en todos los usuarios, hasta en modo seguro y en administrador y sigue el mismo problema.



Cuando reinicia lo corro y quita el problema del archivo, lo que sigue mandando es el zumbido



Pero reinicio y queda como si no le hubiera echo nada.



Les mando los archivos



http://<interceptado>



___________________________________



LAS MUESTRAS HAN DE ENVIARSE COMO SE INDICA EN:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



____________________________________





Ahi estan



En un momento les mando el otro problema al reiniciar.

[wilferrendon]

Amigos me aparce siempre este mensaje cuando reinicio



Tengo el Avast 4.7 home



y siempre le doy eliminar y cuando reinicio siempre sale



[url=http://imageshack.us][img]http://img374.imageshack.us/img374/3445/dibujorl5.jpg[/img][/url]

[Luz Maria]

hola amigo ahorita mismo te paso el repote que me manda el elistar, ya hice todo lo que han dicho en los foros y no funciona, le pase el elistar y pues dice que si lo elimino y la verdad ya hasta tengo de abrir el msn pork siento que se puede propagar el virus, por favor ayudanos a todos!!! los que tenemos ese problema por favor :roll:

[msc hotline sat]

Para wilferrendon: Envianos el fichero que te detecta el AVAST y lo analizaremos



pero recordar : https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

__________





Para Luz Maria: "ahorita mismo te paso el repote " pasadas 9 horas aun no aparece su report... lo de ahorita mismo, para cuando es ??? :lol:



__________





y para pbr1111 : Tenias ya dos avisos, y donde fueres haz lo que vieres. Ya el ELISTARA hace lo que indicas, pero sin necesidad del REGEDIT, el cual soslayamos para evitar errores. Pero en vista de tu postura, se desactiva tu acceso al foro.





__________



Para danxuy07: el miercoles, cuando volvamos al trabajo, analizaremos las muestras e informaremos, gracias





saludos



ms, 30-04-2007

[Luz Maria]

ESTAS SON LAS MUESTRA QUE ME MANDO EL ELISTAR POR SINO TE LLEGAN A TU MAIL YA QUE SI TE LO MANDE PERO PUES QUIEN SABE PORKNO TE LLEGO

[msc hotline sat]

Vamos por partes:



Por mail solo se han de enviar los ficheros que se piden, los cuales se reciben en SATINFO , empresa donde los analizan, si bien estos días son fiesta en España, y hasta mañana no se trabaja, asi que si aun nos has enviado por mail los ficheros que te pedimos, hazlo:


[quote]
Por favor, envienos una muestra del fichero C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86



Por favor, envienos una muestra del fichero "C:\Muestras\Autorun.inf.(E)"
[/quote]

Para ello recuerda:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



______





Por otra parte, los ficheros txt y log deben postearse con un copiar y pegar, pues anexandolos se pierde su estructura y se hace dificil entenderlos:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488





saludos



ms, 1 de Mayo de 2007

[M4rko]

Waah ayuda >.<

ahora mando los archivos

lo que me pasa es que ocupe el programa ELISTAR

al hablar en msn, aun manda los zumbidos y trata de buscar el archivo y al reiniciar el computador vuelven a aparecer los archivos

Ojala que me ayuden , gracias de antemano.

Adios

[korneta2412]

hola!!!



mirten, a mi me agarro el foto_celular.zip



yo elimine la carpeta 20 mil veces y volvia, y ahora la elimine del todo



pero cuando chateo me sigue abriendo la ventanita para enviarlo, pero en este caso me aparece algo qe dice "C:\foto_celular.zip No se encuentra el archivo Asegurese de haber dado el nombre de archivo correcto"



eso me ahce pensar q ela carpeta no existe mas, pero me sigue enviando los zumbidos y todo eso, no saben qe sera?



por favor respondanme a mi mail



<interceptado>@hotmail.com



_______________



INTERVENCION DE ZONAVIRUS: [url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



ELIMINADA DIRECCION DE MESSENGER o E-MAIL, NO PERMITIDO SOLICITAR NI OFRECER RESPUESTAS EN PRIVADO !!!





Deben postearse en el foro, para aprovechamiento de todos.



____________







porqe me descargue el elistara y no pasa nada



me esta volviendo loco



gracias por el espacio







........KoRnEtA........

[msc hotline sat]

Como puede ver en otros post de este mismo Tema, estamos pidiendo muestras de ficheros relacionados para terminar de controlarlo, implementando su control y eliminacion en proximas versiones del ELISTARA.



Si encuentra estos ficheros que pedimos:



Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v13.86



Por favor, envienos una muestra del fichero

C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86



envienoslos, para analizar, pero pruebe de renombrar a .VIR su extension, y ver si asi deja de "zumbar" y nos comenta el resultado, gracias



saludos



ms, 2 de mayo de 2007

[chinita82]

aparecio en msn con un archivo foto celular.zip aparecio, entro directamente y la elimine y volvia a aparecer y repetia

me mostraba la ventana ahi muestra

a veces muestra el archivo c:\windows\system32\hidekit.exe



:?: :?: :?: :?: :?: :?: :?: :?: :?: :?: :?: :?: :?: :?: :?:



quiero q me hagan una ayuda!!! please

gracias!!!!!!!!!!!!!!!

[chinita82]

ahi esta la otra ventana como les dije sobre hidekit

[msc hotline sat]

Pues por lo que parece es este NTOSKRNL.EXE el que persiste, y lo malo es que el modificado lo copia a DLLCACHE de manera que cuando se elimina de la carpeta de sistema, es regenerado por la copia mala.



Como que este fichero NTOSKRNL.EXE es muy grande, (mas de 1M9 !) y para regenerarlo proponemos REPARAR sistema, de manera que se vuelva a copiar el original, y entte el ELISTARA y la REPARACION DE SISTEMA DEBERÁ QUEDAR SOLUCIONADO EL PROBLEMA:


[quote]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA y luego REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate



añadido posterior: Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita el REPARAR sistema.


[/quote]

Asi que esto vale para todos los afectados de este troyano



saludos



ms, 2 de mayo de 2007

[msc hotline sat]

Una alternativa que estamos probando es renombrar el NTOSKRNL.EXE tanto de la carpeta DLLCACHE como de la de sistema a extemsion .VIR, y vemos que nos lo regenera nuevo, no sabemos de donde ???, pero ello nos ahorraría tener que REPARAR el sistema



Si alguien lo está probando, que tras el ELISTARA renombre dichos ficheros , mejor arrancando en modo seguro, pues por ahí ronda un ROOTKIT que segun la variante del FOTOS_CELULAR se crea en SCVHOST en la carpèta DLLCACHE o bien con el nombre MAISUMVIADO en la carpeta de NetMeeting, y que ya estamos controlando con la version que estamos haciendo hoy del ELISTARA, pero para lo del NTOSKRNL ver de renombrar para no tener que REPARAR... y nos contais el resultado, gracias



saludos



ms, 2 de Mayod e 2007

[chinita82]

Gracias x la ayuda del foro, es muy util y nos sirvio mucho

a los q pudieron!

al fin me quede libre de virus, :P :P :D :D :D



100% recomendable esta pagina!

repito muchas gracias

saludos

[Luz Maria]

oye disculpa servirá la opcion de RESTAURAR SISTEMA, en inicio, programas, accesorios y restaurar sistema y de ahi ponerle y de ahi ponerle restaurar mi equipo a un estado anterior, y ya ponerle la fecha un dia antes de que nos entrara el virus. crees que funcione?



porque por ejemplo yo no puedo probrar lo de reparar sistema ya que no tengo el disco original, sino que me instalaron el windows un tecnico y pues no tengo el disco ,asi que esa opcion de REPARAR SISTEMA, no me funcionaria.

[msc hotline sat]

Pues a chinita82, lo celebramos ! y gracias por decirnoslo.



y para Luz Maria, parece que se regenera el original NTOSKRNL si eliminamos el del DLLCACHE y renombramos a .VIR el de %SYSTEM%, asi que estás de suerte !!!



Prueba lo indicado, y descarga el nuevo ELISTARA 13.87 QUE TIENE MEJORAS AL RESPECTO



saludos



ms, 3 de Mayo de 2007

[Luz Maria]

A ver, a ver, perdon por mi ignorancia, pero como nunca me habia entrado un virus de este estilo la verdad no estoy muy familiarizada, la verdad no entendi de eso que hablan de RENOMBRAR, que tengo que renombrar? a extension que? y esos nombres que dan son carpetas o donde las busco para hacer eso de renombrar. PERDON!!! PERO EN SERIO AHORA SI NO LES ENTENDI NADA DE LO QUE ME DICEN QUE TENGO QUE HACER. POR FAVOR EXPLIQUENME POR FAVOR ASI COMO PASO POR PASO PORQUE LA VERDAD NO ENTIENDO.

Y DISCULPEN LAS MOLESTIAS . SE LOS VOY AGRADECER MUCHO!!!! :cry: :( :cry:

[msc hotline sat]

Pues es muy basico, los ficheros tienen nombre y extension, y renombrando (cambiando el nombre) a la extension, este queda inutilizado, que es lo que cabe hacer para que no esté operativo.



En el caso que nos ocupa, el NTOSKRNL.EXE lo tienes en dos sitios, en



\WINDOWS\system32|NTOSKRNL.EXE



\WINDOWS\system32\dllcache\NTOSKRNL.EXE





Pues bien, es cuestion de cambiar el nombre de la extension de este fichero en la primera de las rutas y en su lugar dejar NTOSKRNL.VIR , y eliminar el de la segunda de las rutas , y reiniciar, tras lo cual volveran a estar pero regenerados y buenos



es lo que hemos visto en los ordenadores que hemos monitorizado, pero ello no quita que hayas de tener el disco de instalacion, pues te será necesario en muchas ocasiones, incluso en esta si por cualquier causa no te funcionara lo indicado.



saludos



ms, 3 de Mayo de 2007

[Luz Maria]

BUENO bueno, creo que por fin se reslovio el problema, hice lo de renombrar y eliminar y pues funciono!!!, bueno hasta ahora, no se despues si se vuelva a regenerar o algo asi . pero bueno importa el presente y si pues vuelve a salir les aviso, por lo mientras muchassssss GRACIASSSSSS!!!! SON BUENISIMOS EN ESTO EH!!!

FELICIDADES

[zersdb]

jeje ^__^



alo alo, bueno veo q pudieron ayudar muchos de los casos, me estube guiando y viendo las cosas y las soluciones, trate de solucionarlo tan solo leyendo pero simplemente

no puedo T_______T





en si el log es este



Thu May 03 23:39:24 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HIDEKIT.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\LOGUNIT.SYS --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE







>____< pero de = manera cuando reinicio vuelve a aparecer

todo denuevo



c:foto_celular.scr

c:foto_celular.zip



>__<



asi q we, me dejo en sus sabias manos xD

[msc hotline sat]

Luz María : Nos alegramos de que con lo indicado lo haya solucionado, y si nos necesita de nuevo ya sabe donde estamos :lol:



____________





Zersdb: Nos has enviado ya la muestra que se te pide en el infosat ???:



"Por favor, envienos una muestra del fichero

C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86"



Ya conocemos 4 variantes de este bicho, que utiliza diferentes ficheros y carpetas, y posiblemente haya mas, por ello necesitamos que nos vayan enviando los ficheros que se piden, para irlas controlando



aparte, vea de renombrar el NTOSKRNL.EXE de la carpeta de sistema y eliminar el del DLLCACHE, como idicabamos a Luz Maria en los posts inmediatos anteriores:


[quote]Pues es muy básico, los ficheros tienen nombre y extensión, y renombrando (cambiando el nombre) a la extensión, este queda inutilizado, que es lo que cabe hacer para que no esté operativo.



En el caso que nos ocupa, el NTOSKRNL.EXE lo tienes en dos sitios, en



\WINDOWS\system32|NTOSKRNL.EXE



\WINDOWS\system32\dllcache\NTOSKRNL.EXE





Pues bien, es cuestion de cambiar el nombre de la extension de este fichero en la primera de las rutas y en su lugar dejar NTOSKRNL.VIR , y eliminar el de la segunda de las rutas , y reiniciar, tras lo cual volveran a estar pero regenerados y buenos [/quote]

______________





y finalizo este post con la SOLUCION que sirve para eliminar este malware, segun comprobado en los casos que hemos tenido hasta ahora:


[quote="msc"]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:



[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita el REPARAR sistema.


[/quote]

saludos



ms, 4-de Mayo de 2007

[zersdb]

sip sip ^__^



hice todo eso

[msc hotline sat]

Pues tras reiniciar, cuentanos el resultado, "zersdb"



y si tienes algun problema todavía, posteanos el contenido de C:\infosat.txt



saludos



ms, 4 de Mayo de 2007

[zersdb]

a decir verdad si, lo hice y lo ahbia hecho ^^

y sigue = , se siguen regenerando los archivos foto_celular, al menos los q se muestran en el C:, asi q supongo q los otros q no veo xD, tambien

x ahora cada vez q reinicio me estoy manteniendo gracias al elis..., sino se hace muy molesto xD, mas q tengo q usar el msn para el trabajo.., pero bueh, x ahora todo sigue =

[msc hotline sat]

Pues haz lo que te pedimos:



"y si tienes algun problema todavía, posteanos el contenido de C:\infosat.txt "



ms.

[zersdb]

pues una y otra vez lo mismo



Thu May 03 23:39:24 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HIDEKIT.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\LOGUNIT.SYS --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Estas usando la 13.86 !!! del ELISTARA





Actualmente hay la 13.88





Debe probar siempre la ultima versión, que para esto se suben a este foro...





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Y no solo testear por accion directa, sino tambien por exploracion completa !



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



ms.

[zersdb]

jeje

al parecer ese era mi problema ^^ , estaba usando la version vieja ^^



Fri May 04 01:26:04 2007

EliStartPage v13.88 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\HIDEKIT.EXE.MUESTRA ELISTARTPAGE V13.86 --> Eliminado, MalWare.Celular

C:\Muestras\MSNWORM.EXE.MUESTRA ELISTARTPAGE V13.86 --> Eliminado, MalWare.Celular



cambie todo

recinicie y parace q ta todo de 10 ^^



muchas gracias

[msc hotline sat]

Ves, ya conocemos esta variante, y asi la hemos podido eliminar.



Es que cada día implementamos las nuevas muestras recibidas y asi vamos controlando lo nuevo que vamos conociendo...



Pues nos alegramos de ello, y como que ya tenemos pisado el cuello a este troyano, dejamos en este ultimo post el proceso aconsejado para eliminarlo y si a pesar de ello persistiera alguna nueva variante, abrir nuevo Tema y comentarlo:


[quote="msc"]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:



[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.


[/quote]



Este se da por solucionado y procedemos a cerrarlo



saludos



ms, 4 de mayo de 2007