foto_celular.zip!!!!!!!!!!!!!! (SOLUCIONADO)

jonandez07 · Mensaje por **jonandez07** » 14 May 2007, 04:28

hola..soy nuevo en el foro..mi problema es el archivo que recibi llamado foto_celular.zip...lo que he hecho ha sido hechar a correr ELISTART, me borra el archivo, le cambio la extension a ntoskrnl.exe a .vir en system32 y en dllcache...y borro este ultimo.....pero cuando reinicio me vuelve a aparecer todo... este virus hace zumbidos en el msn y se regenera a cada rato cuando se elimina manualmente... mi pc es un celeron, 2.13Ghz, 256 ram.. windows xp Profesional del cual no tengo copia como para reinstalarlo....ruego a uds que me ayuden y por favor los paso a seguir me los den pausadamente porque entiendo poco....las muestras del Elistar las tengo ... se las mando por aca,... en todo caso les mande un correo ..mi mail es <interceptado>@hotmail.com......gracias

Mensaje por **msc hotline sat** » 14 May 2007, 05:54

Si ha probado el ELISTARA, debe postear el contenido del C:\infosat.txt, sino de nada nos sirve

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y si en él le pide enviar muestras, recuerde hacerlo siguiendo las indicaciones de:

Para ello recordar: viewtopic.php?f=2&t=45334

saludos

ms, 14-05-2007

minime0475 · Mensaje por **minime0475** » 14 May 2007, 05:57

Q pena, tambien soy nuevo en el foro y me paso lo mismo con el foto_celular.zip... Pido ayuda con esto pues no se q hacer, no he podido adquirir elistara

Mensaje por **msc hotline sat** » 14 May 2007, 06:03

Pues en Temas anteriores al resepcto se indicaba:

msc escribió: Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:

Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.

Y tras probar lo indicado, nos comentas el resultado, gracias

saludos

ms, 14-05-2007

m_k · Mensaje por **m_k** » 14 May 2007, 06:18

puess ami me paso ese mismo problemaa pero descargue elistara y de una vezz me lo quito! Graciasss

Mensaje por **msc hotline sat** » 14 May 2007, 06:30

Sí, es lo que pretendemos hacer con el ELISTARA, pero aclaro que dia a dia vamos descubriendo nuevas variantes, las cuales controlamos con las nuevas versiones, asi que, ahora y siempre, es muy importante probar siempre la ultima version de nuestras utilidades.

Actualmente con el ELISTARA vamos por la 13.94

saludos

ms, 14-05-2007

minime0475 · Mensaje por **minime0475** » 14 May 2007, 07:23

Ahi va el archivo de InfoSat

Sun May 13 22:17:51 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\FOTO_CELULAR.SCR --> Eliminado

C:\FOTO_CELULAR.ZIP --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.94

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HIDEKIT.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\LOGUNIT.SYS --> Eliminado

Eliminado Servicio, "Oddysee"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 13 22:19:16 2007

EliStartPage v13.94 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\palmOne\OCPTASKSHH.DLL --> Eliminado, NavHelper (BHO)

C:\Documents and Settings\Administrador\Mis documentos\Alvaro José\palmOne\OCPTASKSHH.DLL --> Eliminado, NavHelper (BHO)

C:\Documents and Settings\Administrador\Mis documentos\Alvaro José\palmOne 1\OCPTASKSHH.DLL --> Eliminado, NavHelper (BHO)

C:\WORKSSETUP\PFiles\MSWorks\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\WORKSSETUP\PFiles\MSWorks\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

minime0475 · Mensaje por **minime0475** » 14 May 2007, 07:25

Sinembargo a mi me siguio molestando con solo correr el ElistarA, no encuentro los archivos para renombrar, no esta la carperta cachedll y en el system 32 esta el nombre del archivo pero no tiene extension .exe

Borro el archivo del computador pero sinembargo me sigue enviando el zumbido y tratando de enviar el archivo

Mensaje por **msc hotline sat** » 14 May 2007, 07:45

Pues sobre el infosat posteado, ya ves que se trata de nuevas variantes:

Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v13.94

Por favor, envienos una muestra del fichero
C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v13.94

Por favor, envienos una muestra del fichero
C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.94

Envianos dichas muestras segun indicamos:

Para ello recordar: viewtopic.php?f=2&t=45334

saludos

ms, 14-05-2007

Mensaje por **msc hotline sat** » 14 May 2007, 07:48

Y sobre lo indicado en:

Sinembargo a mi me siguio molestando con solo correr el ElistarA, no encuentro los archivos para renombrar, no esta la carperta cachedll y en el system 32 esta el nombre del archivo pero no tiene extension .exe

Si configuras tu windows para ver las extensiones, por defecto no las muestra:

http://www.zonavirus.com/articulos/most ... chivos.asp

pero si tienes mas problemas con ello, REPARA windows:

Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

saludos

ms, 14-05-2007

minime0475 · Mensaje por **minime0475** » 14 May 2007, 07:54

Las muestras ya las envie al mail debido. Me fue necesario crear un archivo .zip, y tal y como lo piden, el codigo es VIRUS, todo en mayuscula

minime0475 · Mensaje por **minime0475** » 14 May 2007, 08:00

En cuanto a reparar el sistema con el cd de instalacion tengo un problema, el computador fue asignado a mi padre en su oficina y todos los cds correspondientes los tienen ellos. Esa es mi mas grande preocupacion pues si fuera mi compu no estaria tan preocupado... Puedo proceder a reparar el sistema con un cd distinto de XP al cual fue instalado inicialmente?

A y una ultima cosa, en los archivos ocultos de la carpeta de dllcache encontre un archivo con nombre inyourface.exe, y el icono es algo borroso, no he querido hacer nada con el, no se si depronto eso pueda contribuir

Mensaje por **msc hotline sat** » 14 May 2007, 08:40

No, para REPARAR no sirve el CD de otra maquina, pero si que vale el fichero NTOSKRNL.EXEde otra maquina, mientras sea del mismo sistema

Copialo a la carpeta DLLCACHE, luego renombras de la carpeta SYSTEM32 y reinicia

Y nos cuentas el resultado, gracias

saludos

nota: al ser de unos 2 MB requriras un pendrive, no cabe en un disquete. ms.

minime0475 · Mensaje por **minime0475** » 14 May 2007, 08:53

Desafortunadamente no he podido resolver el problema, he hecho todo lo que me han sugerido y sin embargo el archivo .zip y "el protector de pantalla" con nombres foto_celular siguen apareciendo al iniciar la computadora. Ahi le hice llegar las muestras que pidieron, espero con eso me puedan ayudar

De antemano les doy las gracias por prestar atencion a problemas ajenos

Mensaje por **msc hotline sat** » 14 May 2007, 08:55

Claro que sí !

En cuanto entremos al trabajo, en un par de horas, procederemos con ello, y esta tarde pruebe el nuevo ELISTARA de hoy

saludos

ms, 14-05-2007

Mensaje por **msc hotline sat** » 14 May 2007, 12:04

Como que no han llegado sus muestras pero este fin de semana han llegado como 12 de este foro sobre variantes del celular, vea si con el ELISTARA 13.96 que subiremos esta tarde sobre las 20 h GMT a esta web, para evaluacion en este foro, y nos informa en cualquier caso, gracias

saludos

ms, 14-05-2007

minime0475 · Mensaje por **minime0475** » 14 May 2007, 18:03

Ok, bajare la nueva version de elistara y les contare.

La pregunta es, esta clase de problemas genera nuevos problemas o solo va a molestar el msn messenger.

Mensaje por **msc hotline sat** » 14 May 2007, 18:20

este virus del MSN se propaga a otros usuarios del MSN, y modifica ficheros de sistema como el NTOSKRNL.DLL, con lo que puedan resultar afectadas las aplicaciones que usaran dicha DLL y demas sistemas modificados.

pruebe esta noche el nuevo ELISTARA de hoy y posteenos el log del infosat,txt, gracias

saludos

ms, 14-05-2007

jonandez07 · Mensaje por **jonandez07** » 15 May 2007, 02:17

bueno...junto con saludarlos, les cuento:

leí el foro y baje el elistar 13.96 (yo tenia el 13.94), lo eche a correr, reinicie,....y.....¡¡¡¡¡asunto arreglado!!!!!, estoy muy feliz y todo gracias a ustedes.... aqui les mando la info que arrojo el elistart por si les sirve de algo....muchas gracias y no se como se hace para cerrar el tema.. me sirvio mucho........

Mon May 14 18:09:31 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DLLCACHE\INYOURFACE.EXE --> Eliminado MalWare.Celular

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 14 18:09:47 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

P.D. El elistart anterior cuando lo echaba a correr me arrojaba una info en doc de texto, super larga.. el 13.96 arrojo esto no mas.. en todo caso igual este me sirvio...gracias

Mensaje por **msc hotline sat** » 15 May 2007, 05:47

Porque lo que ya hizo el 13.94 no fue necesario volverlo a hacer.

Pues perfecto !

Mon May 14 18:09:31 2007

EliStartPage v13.96 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DLLCACHE\INYOURFACE.EXE --> Eliminado MalWare.Celular

y efectivamente, el 13.96 controla nuevas variantes que no conocian las versiones anteriores

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 15 de Mayo de 2007

foto_celular.zip!!!!!!!!!!!!!! (SOLUCIONADO)

foto_celular.zip!!!!!!!!!!!!!! (SOLUCIONADO)

No puedo con elistara