"foto celular" no lo puedo eliminar con nada

cristianandres · Mensaje por **cristianandres** » 29 May 2007, 20:06

disculpen que sea tan torpe en esto es que soy nuevo y nunca antes me habia pasado. me infecte con el foto celular . me lei todo el tema que dice como solucionarlo pero no me da efecto. me baje el elistara y luego modifique el archivo NTOSKRNL y elimine el que tenia que eliminar y nada todo sigue igual.
espero que peudan ayudarme y no ser muy molesto

aca les dejo el infosat que me creo el elistara

Tue May 29 13:02:48 2007
EliStartPage v14.08 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 29 13:08:39 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Tue May 29 13:38:11 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 29 13:38:40 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mensaje por **msc hotline sat** » 29 May 2007, 20:27

Hoy hemos subido una nueva version con muchas cadenas nuevas de variantes del celular, pruebala , es la version 14.09 que podrás descargar ya normalmente ahora:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 29-05-2007

cristianandres · Mensaje por **cristianandres** » 29 May 2007, 21:16

msc hotline sat escribió:Hoy hemos subido una nueva version con muchas cadenas nuevas de variantes del celular, pruebala , es la version 14.09 que podrás descargar ya normalmente ahora:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 29-05-2007

ACABO DE BAJAR EL ELISTARA PERO AL EJECUTARLO ME DICE QUE NO ES UNA APLICACION WIN32 VALIDA .. NOSE QUE HACER ME TIENE DE LA CABEZA ESTE VIRUS

SALUDOS Y MUCHISIMAS GRACIAS POR TODO

CRISTIAN

novatillo · Mensaje por **novatillo** » 29 May 2007, 21:54

Parece ser que hay problemas con el link de elistara continua atento y espera que Msc lo solucione.

Saludos.

Mensaje por **msc hotline sat** » 29 May 2007, 22:00

Efectivamente, habia codificado tope para 9 de Mayo en lugar de 9 de Junio, pero avisado por 8Jordi8 ya lo arreglé antes de salir para casa...

Comprobarlo, bajandolo de nuevo, gracias

saludos

ms, 29-05-2007

cristianandres · Mensaje por **cristianandres** » 30 May 2007, 00:51

msc hotline sat escribió:Efectivamente, habia codificado tope para 9 de Mayo en lugar de 9 de Junio, pero avisado por 8Jordi8 ya lo arreglé antes de salir para casa...

Comprobarlo, bajandolo de nuevo, gracias

saludos

ms, 29-05-2007

Buenas te cuento que me pude bajar bien el elistara y tmb lo analice pero al reiniciarla vuelve los archivos del virus en el C:
aca te dejo el infosat

ue May 29 13:02:48 2007
EliStartPage v14.08 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 29 13:08:39 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Tue May 29 13:38:11 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 29 13:38:40 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Tue May 29 18:46:34 2007
EliStartPage v14.09  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.09
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 29 18:47:21 2007
EliStartPage v14.09  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Muestras\ODDYSEE.EXE.MUESTRA ELISTARTPAGE V14.08 --> Eliminado, MalWare.Celular
C:\RECYCLER\NPROTECT\01065255.EXE --> Eliminado, MalWare.Celular

ah y me olvide decirte que ahora me aparece un cartelito de advertencia diciendome esto :

"No se encuentra el punto de entrada del procedimiento GetCurrentProcessIyu12GetSystemTimeAsFileTime en la biblioteca de vinculo dinamicos KERNEL32.dll"

Espero tu respuesta saludos

Lascu · Mensaje por **Lascu** » 30 May 2007, 01:07

Hola cristianandres, cuando arrancás en modo seguro, ¿te aseguras de deshabilitar la restauración?

Yo tampoco lo podía limpiar y era por esta razón. Inclusive una vez terminado bootee dos veces en modo seguro y corrí el ELISTARA. Luego modifique el NTOSKRNL a la extensión .VIR y borré la copia de la carpeta DLLCACHE y recién allí funcionó.

Saludos

Lascu

cristianandres · Mensaje por **cristianandres** » 30 May 2007, 01:33

Lascu escribió:Hola cristianandres, cuando arrancás en modo seguro, ¿te aseguras de deshabilitar la restauración?
Yo tampoco lo podía limpiar y era por esta razón. Inclusive una vez terminado bootee dos veces en modo seguro y corrí el ELISTARA. Luego modifique el NTOSKRNL a la extensión .VIR y borré la copia de la carpeta DLLCACHE y recién allí funcionó.

Saludos
Lascu

Hola lascu, la verdad que no entiendo lo de modo seguro, mucha cancha con esto no tengo pero si me das una mano te lo agradeceria. un saludo

cristian

Mensaje por **msc hotline sat** » 30 May 2007, 08:06

Tener en cuenta que para el virus del celular se indica:

msc escribió: Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:

Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.

saludos
ms, 30-05-2007

cristianandres · Mensaje por **cristianandres** » 30 May 2007, 20:15

Tue May 29 13:02:48 2007
EliStartPage v14.08 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 29 13:08:39 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Tue May 29 13:38:11 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ODDYSEE.EXE.Muestra EliStartPage v14.08
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 29 13:38:40 2007
EliStartPage v14.08  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Tue May 29 18:46:34 2007
EliStartPage v14.09  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.09
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue May 29 18:47:21 2007
EliStartPage v14.09  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Muestras\ODDYSEE.EXE.MUESTRA ELISTARTPAGE V14.08 --> Eliminado, MalWare.Celular
C:\RECYCLER\NPROTECT\01065255.EXE --> Eliminado, MalWare.Celular

	  Wed May 30 14:16:08 2007
EliStartPage v14.10  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.10
 a "virus@satinfo.es".  Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular
C:\WINDOWS\SYSTEM32\SVSCHOST.SYS --> Eliminado 
Eliminado Servicio, "Oddysee"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Hice lo que me pusiste pase el elistara y luego modifique el NTOSKRNL pero el de la carpeta dll cache no lo encontre ya que lo habia eliminado el otro dia intentando arreglar el asunto. por lo qeu veo no se me regenero. asi qeu sigo con el virus en la pc

saludos.

Mensaje por **msc hotline sat** » 30 May 2007, 20:22

Pues del NTOSKRNL espero que se restaurara el de I386 a DLLCACHE y de esta a la de sistema, sino se tendría que copiar de otro ordenador con igual sistema o REPARAR con el CD de instalacion

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 30 de Mayo de 2007

Mensaje por **msc hotline sat** » 02 Jun 2007, 09:31

Perdon, no habia leido la nota:

"Hice lo que me pusiste pase el elistara y luego modifique el NTOSKRNL pero el de la carpeta dll cache no lo encontre ya que lo habia eliminado el otro dia intentando arreglar el asunto. por lo qeu veo no se me regenero. asi qeu sigo con el virus en la pc saludos."

Veo que persiste el problema, y es porque debe tratarse de una nueva variante:

"Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.10 "

Pues envianos las muestras que se piden para analizar y tras ello implementaremos su control y eliminacion en las nuevas versiones de nuestras utilidades.

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 2-06-2007

Mensaje por **msc hotline sat** » 02 Jun 2007, 11:14

Y para buscar si hay algo mas que no conozcamos, prueba esta utilidad:

SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp

Y posteanos el contenido del C:\SPROCLOG.TXT :

saludos
ms, 2-06-2007

Mensaje por **msc hotline sat** » 03 Jun 2007, 09:47

Y mirad si encontrais lo siguiente:

Como que por aqui hay un rootkit que nos esconde procesos, claves y ficheros, arrancar en modo seguro y buscar este fichero STARTING.EXE ESTÉ DONDE ESTÉ, pues si está en DLLCACHE se reproduce de donde lo borremos...

Sobre todo renombrarlo a .VIR y ENVIARNOS MUESTRA !!!

Espero que si se hace junto con lo demas desaparezca el problema !!!

saludos

ms, 3-06-2007

nota: gracias a viewtopic.php?f=5&t=18907

Mensaje por **msc hotline sat** » 05 Jun 2007, 17:57

Recibidas muestras celular. Se implementan en el ELISTARA 14.12 de hoy que estará disponible a partir de las 20 h

saludos

ms, 5-06-2007

Mensaje por **msc hotline sat** » 05 Jun 2007, 19:49

La acabo de subir, ya puedes probarla

saludos

ms, 5-06-2007