SOLUCION AL VIRUS DE MSN "FOTOS_POSSE" (2º CIERRE)

sultana2000 · Mensaje por **sultana2000** » 21 May 2007, 21:40

He renombrado los archivos (excepto proyecto 1 que no aparece) y todo ha vuelto a la normalidad.

Mensaje por **msc hotline sat** » 21 May 2007, 21:48

Bien Sultana2000, pero ahora ya tienes el ELISTARA que lo controla, pruebalo:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 21-05-2007

8jordi8 · Mensaje por **8jordi8** » 21 May 2007, 21:56

NO TENGO Q HACER NADA MAS?? GRACIAS

RESULTADO ELISTARA:

Mon May 21 20:45:49 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 21 May 2007, 22:01

Por lo que parece ya habias borrado los ficheros.

(O habias pasado el ELISTARA antes...)

Ahora comprueba que tengas acceso al Administrador de Tareas con CTRL SHIFT ESC y que tu MSN no envie regalitos...

saludos

ms, 21-05-2007

8jordi8 · Mensaje por **8jordi8** » 21 May 2007, 22:06

PASÉ EL ELISTARA AYER...

ADMINISTRADOR DE TAREAS FUNCIONA.

MESENGER TAMBIEN.

LO UNICO EL NORTON Q SE HA ABIERTO 2 VECES DANDOME MENSAJES Q HA ELIMINADO UN ARCHIVO Y DESPUES Q HA ELIMINADO OTRO ARCHIVO... CORRECTAMENTE. :?

GRACIAS!

Mensaje por **lucl** » 21 May 2007, 22:09

perdona jordi pero creo que te falta el analisis por exploracion, vuelve a ejecutarlo y cuando te salga la ventana grande le das a explorar, luego nos copias el log, saludos

Klifairy · Mensaje por **Klifairy** » 21 May 2007, 22:11

Buenas!! pongo el resultado del análisis, espero qeu sea positivo!! :?

Sat May 19 20:30:56 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sat May 19 20:31:05 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 10:12:06 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun May 20 10:12:08 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 10:20:12 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun May 20 10:20:14 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon May 21 21:00:51 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 21 21:02:46 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SP2.VIR.EXE --> Eliminado, Posse(msn)

conchirrin · Mensaje por **conchirrin** » 21 May 2007, 22:15

sobre el SERVER , en principio a mi lo que me llego por el msn es el posse , pero al buscar en mis archivos recibidos vi 5 possen en rar . que elimine y luego resulta que encontre otro posse en mi pc el disco duro C y asi fue como vi por casualidad el SERVER , entonces yo mire la hora de creacion de esa aplicacion y me salia justo a la misma hora que el posse. espero que eso es lo que preguntabas mas arriba y perdon por la tardanza pero no estaba por aqui

8jordi8 · Mensaje por **8jordi8** » 21 May 2007, 22:19

LULC... analisis de exploracion?? y eso como lo hago??

HE VUELTO A PASAR ELISTARA Y ME HA DADO ESTO:

l

Mon May 21 20:45:49 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminados Ficheros Temporales del IE

Mon May 21 21:21:04 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

GINEBRA · Mensaje por **GINEBRA** » 21 May 2007, 22:20

ya he pasado el elitrip para lo del server y tb he borrado manualmente los ficheros rar... pego el infoxat de lo q me ha salido

Fri Feb 23 22:20:16 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Feb 23 22:23:52 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Feb 23 22:24:10 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Feb 26 19:55:38 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "firefox.exe"="C:\Windows\system\firefox.exe"

ALERTA. WindowsUpdate Incompleto.

Mon Feb 26 19:55:54 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 27 09:26:04 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Tue Feb 27 09:28:06 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Feb 27 09:30:57 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Tue Feb 27 09:31:06 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 10:35:50 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 20 10:52:10 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Sun May 20 10:52:42 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 11:04:52 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon May 21 12:13:18 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 21 21:10:53 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\BIFROST\SERVER.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\BIFROST\KLOG.DAT --> Eliminado

Mon May 21 21:11:06 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\server.VIR.exe --> Eliminado, Bifrose

¿ME PODEIS DECIR SI YA ESTA TODO SOLUCIONADO?

GRACIAS.......

8jordi8 · Mensaje por **8jordi8** » 21 May 2007, 22:24

[quote="lucl"]perdona jordi pero creo que te falta el analisis por exploracion, vuelve a ejecutarlo y cuando te salga la ventana grande le das a explorar, luego nos copias el log, saludos[/quote]

Q ES EL ANALISI POR EXPLORACIÓN??

GRACIAS LULC

Mensaje por **msc hotline sat** » 21 May 2007, 22:24

Para Klifairy, asunto resuelto !

Para "8Jordi8", "lucl" tiene razon, falta la exploracion !!! menos mal que está en todo :wink:

Para "conchirrin", es que no parece tener nada que ver, lo uno son Backdoors que controlamos con el ELITRIIP y ya son toda una familia de conocidos, y lo otro un virus de MSN, pero claro, al ser simultaneo, podía haber sido causado por lo mismo, por eso te lo preguntaba, pero parece que no.

saludos

ms, 21-05-2007

8jordi8 · Mensaje por **8jordi8** » 21 May 2007, 22:31

y como se hace eso de la exploración???

gracias

JORDAN_TUTAN · Mensaje por **JORDAN_TUTAN** » 21 May 2007, 23:02

OLA QE SOY NUEVO EN ESTO Y SNO SE COMO SE HACE TODO LO QE ESTAIS HABLANDO PA KITAR ESTE VIRUS PERO ME GUSTARIA KITARLO SIN FALTA DE FORMATEAR ME PODRIAN AYUDAR ESP`LICANDOMELO PARA QE YO LO ENTENDIERA PASO POR PASO GRACIAS

conchirrin · Mensaje por **conchirrin** » 21 May 2007, 23:06

bueno puede ser que no sean de la misma familia pero si te fijas cuando comenzo este foro del virus el primer dia habia mas gente que le salia el server, puede ser que fuese casualidad, yo ahora pasare el elitriip y eliminare tambien los que tengo en rar , y espero que ya este lo mejor posible el pc , gracias por toda la ayuda y la rapidez con que resolveis nuestros problemas .

8jordi8 · Mensaje por **8jordi8** » 21 May 2007, 23:11

alguien q me diga como se hace la exploracion esta... me dicen q es lo q me falta... :? :? :?

Lylah · Mensaje por **Lylah** » 21 May 2007, 23:23

a 8jordi8:

cuando pasas el elistara hay un momento (despues de eliminar los IE de internet) k te aparece una ventana del preograma, arriba te salen 2 teclas, una dice "explorar" y al de la derecha "salir" dale a explorar, creo k era éos lo k preguntabas,no??

8jordi8 · Mensaje por **8jordi8** » 21 May 2007, 23:36

DESPUES DE HACER LA EXPLORACION (ES Q ANTES NO ME SALIO LA VENTANA GRANDE) EL RESULTADO ES EL SIGUIENTE, YA DIREIS SI ES CORRECTO O TENGO Q HACER ALGO MAS :oops: :?

Mon May 21 20:45:49 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminados Ficheros Temporales del IE

Mon May 21 21:21:04 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 21 22:32:27 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 21 22:32:31 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{F2B06C8D-25F5-4150-8148-D50A9C0263AC}\RP167\A0018208.EXE --> Eliminado, Posse(msn)

C:\System Volume Information\_restore{F2B06C8D-25F5-4150-8148-D50A9C0263AC}\RP175\A0018448.EXE --> Eliminado, Posse(msn)

conchirrin · Mensaje por **conchirrin** » 22 May 2007, 00:22

Bueno he pasado el elitriip y ya me ha eliminado el server que porcierto ese no se donde estaria por que el otro lo habia eliminado yo , pero bueno la cuestion es que me sale un archivo infectado y no me lo elimina me dice que lo hara al reiniciar se abre directamente el elitriip le doy a explorar y vuelve a decir otra vez lo mismo. te pongo el nombre pero si mal no me equivoco es del norton y que conste que lo desactivo para hacer la exploracion,

LUInit.exe->BackDoor.CMQ

dime si no es nada importante . o es que yo hago algo mal

perdon por las molestias

Mensaje por **msc hotline sat** » 22 May 2007, 06:31

Para "8Jordi8": Pues gracias a lucl has rematado la limpieza:

Mon May 21 22:32:31 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{F2B06C8D-25F5-4150-8148-D50A9C0263AC}\RP167\A0018208.EXE --> Eliminado, Posse(msn)

C:\System Volume Information\_restore{F2B06C8D-25F5-4150-8148-D50A9C0263AC}\RP175\A0018448.EXE --> Eliminado, Posse(msn)

Sino, con una restauracion a un punto anterior en el que hubiera el virus, podía habertelo reinstalado ..., aunque ya no estaba activo pues los ficheros de uso normal ya los habias borrado.

y para "conchirrin": Pues este SERVER eliminado debia ser un BIFROSE, y supongo que primo hermano (sino una copia) del que tenias. Si nos posteas el contenido de C:\infosat.txt como siempre pedimos con nuestras utilidades, veremos donde estaba y quizas entenderás porqué no lo habias visto.

y sobre el LUInit.exe mira de enviarnoslo como muestra a analizar pero indicando "PUEDE SER FALSO POSITIVO, PUES ES DE NORTON" y asi lo analizaremos en tal sentido para excluirlo de la deteccion de proximas versiones del ELITRIIP

http://www.fbmsoftware.com/spyware-net/process/LUInit_exe/1155/

gracias por vuestra colaboracion

saludos

ms, 22-05-2007

Mensaje por **msc hotline sat** » 22 May 2007, 06:36

Para "er_makiki_06": No, el virus no impide descargar dicho programa. Quizas tienes el I.E. en un nivel de seguridad alto, bajalo a medio.

Y para "GINEBRA": Pues felicidades, MSN-POSSE y BIFROSE eliminados !!!:

[quote="GINEBRA"]
Mon May 21 12:13:18 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 21 21:10:53 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\BIFROST\SERVER.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\BIFROST\KLOG.DAT --> Eliminado

Mon May 21 21:11:06 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\server.VIR.exe --> Eliminado, Bifrose
[/quote]

y para "JORDAN_TUTAN": pues como se indica, descarga el ELISTARA y lo pruebas:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 22-05-2007

Mensaje por **msc hotline sat** » 22 May 2007, 07:45

[size=200]ULTIMA NOTICIA !!! [/size]

Al fin se aclara lo del SERVER.EXE , que aunque es un BIFROSE que no tiene nada que ver con el MSN-POSSE, es descargado por el mismo desde

http://usuarios.lycos.es/sharkito32/ <interceptado>

Asi que, ademas de probar el ELISTARA 14.01 ó 14.02, probar ademas el ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y comprobar si se detecta y elimina este BIFROSE !!!

saludos

ms, 22-05-2007

conchirrin · Mensaje por **conchirrin** » 22 May 2007, 08:47

Anoche fue cuando pase el elitriip dos veces esto fue lo que dio, de lo que me dices que te mande la muestra del LUInit.exe->BackDoor.CMQ es que no tengo ni idea donde esta, dentro de un ratito cuando este mas despierta mirare

de buscarlo y encontrarlo y os mando la muestra

Mon May 21 22:39:41 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\BIFROST\SERVER.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\BIFROST\KLOG.DAT --> Eliminado

ALERTA. WindowsUpdate Incompleto.

Mon May 21 22:39:57 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon May 21 22:52:42 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Mon May 21 22:52:48 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **lucl** » 22 May 2007, 09:18

Bueno pues parece que te los ha quitado (para conchirrin)

Mon May 21 22:39:41 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\BIFROST\SERVER.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\BIFROST\KLOG.DAT --> Eliminado

ALERTA. WindowsUpdate Incompleto.

y actualiza el pc, te faltan actualizaciones, entra aqui

https://support.microsoft.com/es-es/help/12373/windows-update-faq

saludos

conchirrin · Mensaje por **conchirrin** » 22 May 2007, 09:18

como ayer no lo hice con windows a prueba de errores lo he echo ahora y este es el resultado

Tue May 22 08:06:05 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

ALERTA. WindowsUpdate Incompleto.

Tue May 22 08:06:14 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Symantec\LiveUpdate\LUInit.exe --> Eliminado, BackDoor.CMQ

Mensaje por **lucl** » 22 May 2007, 09:20

pues a modo de errores te quito este tambien

Tue May 22 08:06:14 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Symantec\LiveUpdate\LUInit.exe --> Eliminado, BackDoor.CMQ

saludos

Mensaje por **msc hotline sat** » 22 May 2007, 09:44

No, este ultimo parece ser un falso positivo que ya hemos pedido a Conchirrin que nos enviara para excluirlo, pero parece que esta mañana lo ha eliminado ...

Tue May 22 08:06:14 2007

EliTriIP v3.57 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Symantec\LiveUpdate\LUInit.exe --> Eliminado,

Nos hemos quedado sin muestra !

Si alguien usa Symantec, antes de pasar el actual ELITRIIP, que nos envie el fichero en cuestion:

C:\Archivos de programa\Symantec\LiveUpdate\LUInit.exe

como muestra para excluir por suponer que es un falso positivo

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 22-05-2007

GINEBRA · Mensaje por **GINEBRA** » 22 May 2007, 10:15

GRACIAS POR TODO......

GINEBRA · Mensaje por **GINEBRA** » 22 May 2007, 10:17

GRACIAS.....

Mensaje por **msc hotline sat** » 22 May 2007, 10:44

Sobre el BIFROSE que descarga este MSN-POSSE, en el fichero SERVER.EXE, cabe indicar que algunos antivirus cuyo nombre suena, como ANTIVIR, AVAST, BITDEFENDER, F-PROT , NOD-32, SOPHOS, no lo detectan a estas horas, segun analisis con el VIRUSTOTAL:

[quote="VirusTotal"]
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "Server_2_.gxe" que VirusTotal ha recibido el día 22.05.2007 a las 09:16:32 (CET).

Antivirus Version Actualización Resultado

AhnLab-V3 2007.5.21.1 21.05.2007 no ha encontrado virus

AntiVir 7.4.0.23 22.05.2007 TR/Agent.85296

Authentium 4.93.8 21.05.2007 no ha encontrado virus

Avast 4.7.997.0 21.05.2007 no ha encontrado virus

AVG 7.5.0.467 21.05.2007 BackDoor.Generic6.WTE

BitDefender 7.2 22.05.2007 no ha encontrado virus

CAT-QuickHeal 9.00 21.05.2007 no ha encontrado virus

ClamAV devel-20070416 22.05.2007 Trojan.Packed

DrWeb 4.33 21.05.2007 no ha encontrado virus

eSafe 7.0.15.0 21.05.2007 Win32.Bifrose.aft

eTrust-Vet 30.7.3651 21.05.2007 no ha encontrado virus

Ewido 4.0 21.05.2007 Backdoor.Bifrose.aft

FileAdvisor 1 22.05.2007 no ha encontrado virus

Fortinet 2.85.0.0 22.05.2007 W32/Bifrose.AFT!tr.bdr

F-Prot 4.3.2.48 21.05.2007 no ha encontrado virus

F-Secure 6.70.13030.0 22.05.2007 Backdoor.Win32.Bifrose.aft

Ikarus T3.1.1.7 22.05.2007 Backdoor.VB.EV

Kaspersky 4.0.2.24 22.05.2007 Backdoor.Win32.Bifrose.aft

McAfee 5035 21.05.2007 +

Microsoft 1.2503 22.05.2007 no ha encontrado virus

NOD32v2 2283 21.05.2007 no ha encontrado virus

Norman 5.80.02 21.05.2007 no ha encontrado virus

Panda 9.0.0.4 21.05.2007 Bck/Bifrose.ATW

Prevx1 V2 22.05.2007 no ha encontrado virus

Sophos 4.17.0 21.05.2007 no ha encontrado virus

Sunbelt 2.2.907.0 17.05.2007 VIPRE.Suspicious

Symantec 10 22.05.2007 Backdoor.Bifrose.I

TheHacker 6.1.6.120 21.05.2007 no ha encontrado virus

VBA32 3.12.0 21.05.2007 no ha encontrado virus

VirusBuster 4.3.23:9 21.05.2007 no ha encontrado virus

Webwasher-Gateway 6.0.1 22.05.2007 Trojan.Agent.85296

Información adicional

Tamaño archivo: 1195967 bytes

MD5: b045fbab290e1fab07200409503708c3

SHA1: 9aa6fb5c6014990b93af1f4d06f75ca5e6897c19

packers: Themida

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
[/quote]

Así que no confiarse quienes tengais dichos antivirus, si habeis tenido este FOTOS_POSSE, ademas del ELISTARA, rematad la eliminacion de las descargas que pudiera haber hecho, con el ELITRIIP.

asi que resumo, PARA ELIMINAR EL FOTOS_POSSE Y EL BIFROSE QUE DESCARGA, emplear las dos utilidades, primero el ELISTARA y luego el ELITRIIP:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Nota: Ya con las muestras enviadas, en los DAT diarios de esta mañana, McAfee ha implementado el control del Fotos_Posse como GENERIC DOWNLOADER.S, y el Bifrose del SERVER.EXE ya se controla con los DAT normales como BACKDOOR-CEP.svr

saludos

ms, 22.-05-2007

SOLUCION AL VIRUS DE MSN "FOTOS_POSSE" (2º CIERRE)

UNRGENTE SI PUEDE SER