CONTINUACION (3ER TEMA) AL VIRUS DE MSN_POSSE YA SOLUCIONADO

[msc hotline sat]

Como que este virus del Messenger ha sido prolifico, y aparte de Temas paralelos que han sido redirigidos, ya hemos cerrado dos Temas generales de mas de 100 post cada uno abrimos este tercero, que quizas no será el último al respecto, sobre el particular, empezando con un resumen de las características del Virus y del método de eliminación:

VIRUS MSN-POSSE:

Llega por messenger y ofrece un FOTOS_POSSE.ZIP, que, al ejecutarlo, infecta al ordenador, el cual captura y envia dicho virus a todos los contactos del MSN.

Paralelamente crea los siguientes ficheros:

c:\windows\system32\sp2.exe
c:\windows\system32\yo_posse_007.jpg.exe

y modifica las claves de registro para lanzar el SP2.EXE en cada reinicio y para mantener desactivado el Administrador de tareas, y asi no poder detener el proceso virico una vez lanzado

A continuacion se descarga de la web

http: // usuarios. lycos. es/ sharkito32 /

el fichero SERVER.EXE que es otro virus, en este caso un backdoor CEP de la familia de los BIFROSE, que genera un OREANS32.SYS que tambien pasamos a controlar.

Para salir del paso, si se renombran estos ficheros a extension .VIR y se reinicia, cesa la accion del virus, si bien persiste la desactivacion del Administrador de tareas

Para que automaticamente se pueda solucionar totalmente la infeccion, incluida la restauracion de acceso al Administrador de Tareas, hemos implementado su control, restauracion de claves y eliminacion de ficheros malware, con nuestras utilidades ELISTARA (para el MSN-POSSE propiamente dicho) y el ELITRIIP (para el BIFROSE) :

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp


Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Si hay algun comentario o consulta al respecto, puede hacerse como respuesta de este Tema, gracias

saludos
ms, 23-05-2007

[FRANK LAMPARD]

ESO L HIZE AMR, LO DESINSTALE Y L VOLVI A INSTALAR XO NADA ES Q N T DEJA ES IMPOSIBLE METERSE, DIME SI TIENE ALGO Q VER CN EL FIREWALL O HARDWARE.



AKI VA MI SUPERPREGUNTA MCD XQ EN EL SPYWARE DOCTOR

ME DETECTA 29 INFECCIONES Y EN EL ELISTARA Y ELITRIIP SOLO 8?

[msc hotline sat]

Para "FRANK LAMPARD" : Por favor este Tema es para consultas sobre el MSN-POSSE o BIFROSE del Server que se descarga, no para otros troyanos o anomalias de software.

Ademas, tienes tu post en el apartado de software, muy correctamente, pero no postees en paralelo...

Otros especialistas en software y aplicaciones como MSN (CLaudia 34, lucl, vampira, nuker, etc) te atenderán al respecto en dicho apartado.

En cuanto a preguntas sobre el Spyware Doctor, en primer lugar no lo recomendamos porque ralentiza mucho, y en segundo lugar el ELISTARA y el ELITRIIP son utilidades especificas para unas determinadas familias, unas 30.000, de entre los 300.000 virus y troyanos que existen, asi que a cada caso su cosa !

Arranca en modo seguro y que el Spyware Doctor te limpie lo que detecta infectado.

Pero en este Tema no postees mas que lo relativo a los dos a que hacemos referencia en él, el FOTOS_POSSE (MSN-POSSE) y el SERVER (BIFROSE), gracias

saludos
ms, 23.05.2007

[JORDAN_TUTAN]

ESTE ES MI INFO HABER SI ESTA TODO BIEN PAREDCE QUE ME FUNCIONA ME GUSTARIA UN CONSEJO DE SI KITE TODO YA O TENGO QUE FACER ALGO MAS VALE GRACAIS A TODOS LO QUE MQE HAN AYUDADO
Thu May 24 22:00:15 2007
EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\SP2.EXE --> Eliminado Posse(msn)
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"
Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu May 24 22:01:28 2007
EliStartPage v14.05  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\AskTBar\bar\1.bin\A5POPSWT.DLL --> Eliminado, MyWebSearch
C:\Archivos de programa\CyberLink\PowerDVD\QT3SUPPORT4.DLL --> Eliminado, ISTBar
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

	  Thu May 24 22:09:34 2007
EliTriIP v3.60  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

	  Thu May 24 22:09:49 2007
EliTriIP v3.60  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)
C:\Archivos de programa\HP\Temp\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ (inf)

[msc hotline sat]

Sí, detectaste y eliminaste el MSN-POSSE:



EliStartPage v14.05 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SP2.EXE --> Eliminado Posse(msn)



El BIFROSE del SERVER.EXE posiblemente ya no llegaste a descargarlo ya que el ELITRIIP no ha detectado nada. Puede que cuando ejecutaras el SP2 ya hubieran sacado de la web de descarga el SERVER.EXE en cuestion, y asi evitar su descarga.



saludos



ms, 25-05-2007

[Tukuma]

Logfile of HijackThis v1.99.1
Scan saved at 5:24:54 PM, on 5/25/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\service\services.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\LimeWire\LimeWire.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://e1.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://espanol.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://espanol.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://espanol.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e1.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://espanol.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvce1.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\SymProbe.exe -r "C:\Program Files\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\system32\service\services.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/229?7768d83dfe6649108d7ab556594dbe00
O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/230?7768d83dfe6649108d7ab556594dbe00
O9 - Extra button: Yahoo! Servicios - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvce1.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

Mi problema es el virus del msn, q envia a mis contactos un mensaje en el cual se dice q he actualizado las fotos y q las pueden ver en la siguiente direccion(obviamente esa dieccion es la del virus). He uilizado el buscador y he seguido todas las indicaciones leidas, como el scanonline, actualizacion del msn y scan en modo seguro.. pero no se encuentra.. asi q he utilizado el hijackthis y tal como he leido en un post, lo he pegado..
Espero haberlo hecho bien y haberlo hecho en el post adecuado, si no es asi, ruego disculpas.
Gracias por vuestra ayuda

[lucl]

Para tukuma, pasaste elistara? si no es asi hazlo te dejo link, pasalo mejor arrancando el pc en modo seguro, te lo digo porque dices

Mi problema es el virus del msn, q envia a mis contactos un mensaje en el cual se dice q he actualizado las fotos y q las pueden ver en la siguiente direccion(obviamente esa dieccion es la del virus). He uilizado el buscador y he seguido todas las indicaciones leidas, como el scanonline, actualizacion del msn y scan en modo seguro.. pero no se encuentra.. asi q he utilizado el hijackthis y tal como he leido en un post, lo he pegado..

y no comentas nada del elistara, pasalo y peganos el log que te dejara luego en C llamado infosat.txt , para que te elimine el virus, saludos

http://www.zonavirus.com/descargas/elistara.asp

[Tukuma]

Fri May 25 23:15:05 2007
EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.07
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\SERVICE\SERVICES.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\SERVICE\SERVICE.DLL --> Eliminado 
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Entrada Eliminada [HKLM\...\Run] "Services"="C:\WINDOWS\system32\service\services.exe"
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri May 25 23:16:51 2007
EliStartPage v14.07  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\Program Files\NewTech Infosystems\NTI Backup NOW! 4.5\PART32.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)
C:\System Volume Information\_restore{64C55BAE-0167-4E29-A424-980E0BCA06F2}\RP1\A0001072.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{64C55BAE-0167-4E29-A424-980E0BCA06F2}\RP1\A0001078.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{64C55BAE-0167-4E29-A424-980E0BCA06F2}\RP1\A0001079.DLL --> Eliminado, WinAntiVirus Pro 2006 (cpl)

Aqui ta el log.. no lo habia pasado antes.. gracias por decirmelo..

He notado q ha elminado 3 troyanos y 5 archivos infectados.. o eso creo

Salu2

[msc hotline sat]

Tienes algo mas !

Como verás te pedimos que nos envies muestra de:
C:\Muestras\SERVICES.EXE.Muestra EliStartPage v14.07 "

pues hazlo segun indicamos a continuacion y lo analizaremos e informaremos:

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 26-05-2007

[mynnie]

Yo toy muy pez en esto no se si ya he publicado algo o no porque no lo veo no tengo ni idea pero voy a volver a escribirlo por si acaso...





Sat May 26 13:56:37 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminados Ficheros Temporales del IE



Sat May 26 13:57:47 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat May 26 13:59:08 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

C:\PROGRAM FILES\BIFROST\KLOG.DAT --> Eliminado



Sat May 26 14:00:02 2007

EliTriIP v3.60 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\server.vir.exe --> Eliminado, Bifrose

C:\Documents and Settings\All Users\Start Menu\Programs\QuarkXpress Passport v6.0 Multilanguage Fixed\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)







esto es lo que me ha salido pero mi ordenador sige chillando yo no se si sera por esto o no

[althamir]

Bueno, os cuento mi historia. He recibido un virus que no es exactamente el FOTOS_POSSE.ZIP, pero que funciona igual. Vamos que me está puteando a los contactos del msn de la misma manera. Se llama algo así:

"Hola espero q te gusten las fotos; me las hice ayer.rar"

He de decir primero que tengo el Windows Vista Home Basic. Lo digo porque he intentado varias de las soluciones propuestas y no me han servido de nada.

Lo primero que hice fue intentar restaurar el sistema, el problema es que, al llevar poco tiempo con el PC nuevo, no había indicado ningún punto de inicio, con lo que la restauración me la hace con el virus ya dentro, cosa totalmente inútil.

Después me bajé los siguientes elistaras:
ELISTARA.28052007
ELISTARA.6062007

Los ejecuto en modo seguro, pero cuando están restaurando el registro, se me quedan colgados, y de ahí no pasa.

También he intentado desinstalar el livemessenger, pero automáticamente me saltó al explorer. Empezó haciendo que la página de inicio fuera el google como si estuviera buscando el archivo de marras. Después cada vez que escribía un mensaje, cada minuto saltaba poniendo el nombre del archivo en medio del texto. He de decir que todo esto del explorer se ha arreglado en cuanto he vuelto a instalar el messenger, donde ha vuelto a putearme, obviamente.

No sé si debería poner esto aquí o abrir un tema nuevo, pero puesto que es un virus de la misma especie, he creído interesante añadirlo aquí.

Gracias por vuestra ayuda

Edito para añadir un saludo, que he entrao un poco de sopetón

[Tukuma]

Ok! Muy bien, te he enviado el correo con el archivo adjunto que habias solicitado.



Saludos

[msc hotline sat]

elistara siempre el ultimo !!!

y si se encalla en el registro, saltalo con Inicio -> ejecutar ELISTARA.EXE /saltareg

saludos
ms, 26-05-2007

[yodi]

yo ya respondi en el otro post que puse,lo siento por abrir otro.

Muchas gracias por la ayuda,ahora ya me funciona perfectamente...gracias. :D





Pego:





Sun May 27 17:28:18 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SP2.EXE --> Posse(msn) Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun May 27 17:32:57 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SP2.EXE.VIR --> Eliminado, Posse(msn)



Sun May 27 17:41:43 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun May 27 17:49:59 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

[msc hotline sat]

Pues gracias por decirnoslo, "yodi", vemos que has eliminado totalmente claves y ficheros del mismo, y posiblemente no pudiera descargar el SERVER.EXE si con el ELITRIIP.EXE no lo has detectado.



saludos



ms, 28-05-2007

[msc hotline sat]

Para "Tukuma": La muestra del SERVICES.EXE recibida, no tiene nada que ver con este virus, sino que se trata de un Banker que pasa a ser controlado con el ELISTARA 14.09 de mañana, pues el de hoy ya lo hemos subido a esta web.



Si quiere algo al respecto, abra un Tema con titulo apropiado como "VARIANTE DE BANKER CON NOMBRE SERVICES.EXE"



Solo añadir que existe un SERVICES.EXE del sistema dentro de la carpeta de sistema, mientras que este otro está en la carpeta %system%\service\



saludos



ms, 28-05-2007

[withe rusian]

Buenas yo si que soy pez en esto...he estado leyendo un rato, ya que buscaba información sobre el virus i creo averla encontrado...el resultado despues de hacer lo correcto - o eso creo yo -

Mon May 28 22:47:50 2007
EliStartPage v14.08 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):

Código: Seleccionar todo

Por favor, envienos una muestra del fichero
C:\Muestras\COBFKQSW.EXE.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\COBFKQSW.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ALCMTR.EXE.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\ALCMTR.EXE --> Eliminado 
C:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "COBFKQSW"="c:\windows\system32\cobfkqsw.exe cobfkqsw"
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminada Class, "{5F4D3335-3194-4167-85AE-E7325F2695EF}" -> NULL1
Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD
Eliminada Carpeta "%Archivos de Programa%\VVSN"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon May 28 22:48:49 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

gracias a todos por esta web

[msc hotline sat]

Abre un Tema aparte, que lo que tienes es el CiD, y requiere un tratamiento especial.

Para ello postea "AYUDA PARA ELIMINAR VIRUS CID"

y en el Tema posteas el infosat como has hecho en este, y te ayudaremos

saludos
ms, 29-05.2007

[withe rusian]

ok, muchas gracias!!!!





alli voy

[msc hotline sat]

sigue el caso del CiD de White Rusian en: viewtopic.php?f=5&t=18854

ms.

[althamir]

Ante todo perdón por la tardanza en escribir la respuesta, pero he estado unos días fuera y no he podido poner en marcha lo que me sugerís.

Ahora mismo estoy en modo seguro con funciones de red. He ejecutado el ELISTARA6062007.EXE /saltareg

ahora me salta el análisis del registro, pero se queda colgado en: Config. Escritorio e IExplorer

¿Me estará puteando el Windows Vista?


Esto es un poco desesperante. Gracias de nuevo por toda vuestra ayuda.

[msc hotline sat]

El ELISTARA no es para el VISTA !!!



haga lo que indicamos manualmente, no con las utilidades para XP /2000



saludos



ms, 30-05-2007

[Tukuma]

muy bien.. solo comentar q al pasar el elistara se ha solucionado el problema.. gracias por la ayuda sin emabrgo estare al loro con el tema banker..



gracias otra vez



saludos

[cristianandres]

Como que este virus del Messenger ha sido prolifico, y aparte de Temas paralelos que han sido redirigidos, ya hemos cerrado dos Temas generales de mas de 100 post cada uno

viewtopic.php?f=5&t=18609

abrimos este tercero, que quizas no será el último al respecto, sobre el particular, empezando con un resumen de las caracteristicas del Virus y del método de eliminacion:

VIRUS MSN-POSSE:

Llega por messenger y ofrece un FOTOS_POSSE.ZIP, que, al ejecutarlo, infecta al ordenador, el cual captura y envia dicho virus a todos los contactos del MSN.

Paralelamente crea los siguientes ficheros:

c:\windows\system32\sp2.exe
c:\windows\system32\yo_posse_007.jpg.exe

y modifica las claves de registro para lanzar el SP2.EXE en cada reinicio y para mantener desactivado el Administrador de tareas, y asi no poder detener el proceso virico una vez lanzado

A continuacion se descarga de la web

http: // usuarios. lycos. es/ sharkito32 /

el fichero SERVER.EXE que es otro virus, en este caso un backdoor CEP de la familia de los BIFROSE, que genera un OREANS32.SYS que tambien pasamos a controlar.

Para salir del paso, si se renombran estos ficheros a extension .VIR y se reinicia, cesa la accion del virus, si bien persiste la desactivacion del Administrador de tareas

Para que automaticamente se pueda solucionar totalmente la infeccion, incluida la restauracion de acceso al Administrador de Tareas, hemos implementado su control, restauracion de claves y eliminacion de ficheros malware, con nuestras utilidades ELISTARA (para el MSN-POSSE propiamente dicho) y el ELITRIIP (para el BIFROSE) :

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp


Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Si hay algun comentario o consulta al respecto, puede hacerse como respuesta de este Tema, gracias

saludos

ms, 23-05-2007

MSC: disculpa quie te moleste pero todavia no pude solucionar el virus foto cel, hice otro tema espero tu respuesta y no ser muy pesado . saludos y mil gracias

[msc hotline sat]

El virus de "fotos celular" es otra cosa que está contemplada en otro Tema, no mezclarlo con este, pues aparte del uso del ELISTARA, en aquel debe restaurarse el NTOSKRNL.EXE, como se explica en el proceso indicado para aquel, que no ponemos aqui para no liar.

saludos

ms,31-05-2007

nota: solo a titulo de informacion para el que buscara como solucionar el "fotos celular", ver lo que indico al respecto en viewtopic.php?f=5&t=18872