virus messenger (fotos_posse) <SOLUCIONADO>

Mensaje por **msc hotline sat** » 20 May 2007, 12:09

Entonces no los vas a encontrar...

De todas formas pueden haber otros restos en ficheros y en registro, como la inhabilitacion del Administrador de Tareas, la clave que lanza al SP2, etc, pero de esto se ocupara el ELISTARA 14.01 de mañana

saludos

ms, 20-05-2007

luchador · Mensaje por **luchador** » 20 May 2007, 12:11

Entonces no puedo hacer nada hasta mañana,¿ni siquiera utilizar el msn? el server y el sp2 les he renombrado a .VIR

carl- · Mensaje por **carl-** » 20 May 2007, 12:15

pero es k por ejemplo yo he encontrado el archivo ese ''SP2'' y pongo ''SP2.vir'' es asi no??? y cuando voy a pasar elileslie dice k hay un gusano en mi ordenador y que reinicie el equipo para eliminarlo pero lo reinicio y luego me informa de que se hay ido pero luego cada vez que paso el elileslie me dice que hay un gusano y no se como hacer para que se vaya... y lo del server yo lo elimine :cry: :(

conchirrin · Mensaje por **conchirrin** » 20 May 2007, 12:17

LUCHADOR si ya has renombrado el sp2 a sp2.vir reinicia y ya puedes utilizar el msn sin problemas

luchador · Mensaje por **luchador** » 20 May 2007, 12:27

[quote="conchirrin"]LUCHADOR si ya has renombrado el sp2 a sp2.vir reinicia y ya puedes utilizar el msn sin problemas[/quote]

Veamos si llevas razón....

dolphin84 · Mensaje por **dolphin84** » 20 May 2007, 12:29

Muchiiiiisimas gracias a todos!!!

El msn creo que ya me funciona, al cambiar el nombre de los archivos que deciais, aunq algunos no los encontre. EL msn lo desistale y volvi a instalar desde la web del msn

el administrador de tareas lo arregle como dijo furion, y tb me funciona

10000000 gracias a todos los que haceis posible esta web

y mñn intentare eliminar los restos con el elistara

1 saludo!

Mensaje por **msc hotline sat** » 20 May 2007, 12:29

Para "carl-"

Pero qué tiene que ver el ELILESLIE con todo esto ???

Esto es para otra historia que no viene al caso !!!

saludos
ms, 20-05-2007

añado que lo unico que tiene en comun con el que nos ocupa es que son virus de MSN y que tambien desactiva el acceso al administrador de tareas, si bien el LESLIE desactiva ademas la edicion de registro con el REGEDIT:

msc escribió:Utilidad ELILESLI.EXE para eliminar virus LESLIE (alias ELILES, ITZAR, ELPERFECTO) que llega como MSN.EXE y modifica el TASKMGR.EXE firmandolo al final con el nombre LESLIE y añadiendose al principio el codigo virico, pasando a tener mas de 200 KB.

Ademas crea en la carpeta principal una copia del gusano como C: EL_69.EXE

Ademas modifica claves del registro que impiden editar el REGEDIT, acceder al TASKMANAGER, ejecutar ficheros desde Inicio->Ejecutar, acceder a MIPC,

y cambia el nombre del usuario y organizacion por LESLIE, y ELILES todo lo cual es eliminado por nuestra utilidad

carl- · Mensaje por **carl-** » 20 May 2007, 12:36

a ok ... es k vi en este foro k me bajara el elitriip el elistara y el elileslie y eso fue lo k ise y yo pensaba k tenia k ver , pero yo ya elimine todo lo de fotos_posse de todas formas muchisimas gracias al foro x k si no mi ordena ya estaria podrido jaja y pos gracias por ayudarnos tanto msc hotline sat y espero el elistara :D

luchador · Mensaje por **luchador** » 20 May 2007, 12:36

He renombrado el archivo SP2 A SP2.VIR,he deshabilitado lo de ocultar archivos(no aparecen los de fotos_posse etc...)he reiniciado,he conectado el msn y sigue propagando el virus y sin dejarme hablar,y no es por ocio sino que necesitaba el msn por los motivos que sean.

Al ir a mi pc windows me aparecen unas carpetas con el nombre en azul y simbolos como $NTuninstal y unos numeros...

Bufffff que chinada.

Mensaje por **msc hotline sat** » 20 May 2007, 12:37

Pues ademas habrá conseguido restaurar el acceso al Administrador de Tareas y todo, compruebelo y nos lo indica, gracias

(Pulsando simultaneamnete CTRL-SHIFT-ESC)

saludos

ms, 20.05.2007

Nota: este Tema respondia el ultimo post de carl-

luchador · Mensaje por **luchador** » 20 May 2007, 12:42

El administrador de tareas ha sido dehabilitado por un administrador me dice... :?: :idea:

Mensaje por **msc hotline sat** » 20 May 2007, 12:56

Sí, claro, el virus modifica la clave de registro de acceso al TaskManager, y el ELISTARA de mañana ya lo restaurará...

Pero alguna de nuestras utilidades lo corrigen por otros virus

saludos
ms, 20-05-2007

nota: quien lo quiera probar solo para reactivar el acceso al Task Manager

Stimdark · Mensaje por **Stimdark** » 20 May 2007, 12:57

hOLA soy nuevo en el foro mirar
tengo un problema no se si el
wido que he tenido que utilizar
para eliminar el virus del msn (fotos_pose)
se va a pelear con el otro antivirus
q tengo (el NOD32)

alguien me podria comfirmar si lo van a hacer

Gracias un saludo

Mensaje por **msc hotline sat** » 20 May 2007, 13:01

Siga nuestras instrucciones provisionales del post anteriores para el virus FOTOS_POSSE y mañana pruebe el ELISTARA 14.01

Y no instale mas de un antivirus en un ordenador, colisionan y ralentizan !

saludos

ms, 20-05-2007

conchirrin · Mensaje por **conchirrin** » 20 May 2007, 13:03

luchador A mi me ha funcionado lo de cambiar el nombre de sp2 a sp2.vir yo tengo conectado mi msn y hablo con mis contactos sin ningun problema . "ese archivo lo has encontrado en windows carpeta system32 ??" y otra cosa para lo del adminitrador de tareas descargate el elitriip si te fijas en otros pots mas arriba el administrador de este foro ha puesto el enlace .

luchador · Mensaje por **luchador** » 20 May 2007, 13:07

En definitiva,por hoy que es lo que puedo hacer para solventar en la medida de lo posible los problemas??

msn??

Mensaje por **msc hotline sat** » 20 May 2007, 13:13

Como sea que este Tema ya pasa de los 100 post, se cierra con las indicaciones de como eliminar provisionalmente el VIRUS FOTOS_POSSE y como reactivar el acceso al ADMINISTRADOR DE TAREAS, hasta que mañana se ofrezca la bersion 14.01 de la utilidad ELISTARA que ya lo controlará_

msc escribió:
Simplemente buscar estos ficheros y renombrar su extension a .VIR:

yo_posse_007.jpg.exe
SP2
SERVER
Proyecto 1.exe
fotos_posse.exe
y FOTOS_POSSE.ZIP tambien renombrarlo a .VIR, no sea que lo pulseis de nuevo ...

Tras lo indicado de renombrar los ficheros, REINICIAR EL ORDENADOR y ya no se pondrá en marcha el virus.

Si ademas se desea poder volver a acceder al Administrador de tareas, con ejecutar el ELITRIIP se logrará restaurar la clave que inhabilita el acceso, ya que ello tambien lo hacen otros virus ya controlados y ya es conocido y restaurado con dicha utilidad:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

pero ello ya lo hará tambien, ademas de eliminar ficheros y demás restos relativos a este virus, el ELISTARA 14.01 que subiremos mañana a esta web (el de hoy todavía no) :

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

__________

De todas formas, se haga lo que se haga, mañana probar el ELISTARA 14.01 PARA ELIMINAR RESTOS

saludos

ms, 20-05-2007

nota: en anteriores post se habia mencionado a un SP2.exe y no existe, es SP2 a secas el que se tiene que renombrar a SP2.VIR
_________________

ms.

Mensaje por **msc hotline sat** » 21 May 2007, 12:45

A partir de ahora ya esta disponible la version 14.01 del ELISTARA que ontrola y elimina el MSN-POSSE:
---v14.01-(21 de Mayo del 2007) (Muestras de Vundo6(notify), DownLoader.ConHook "*****.DLL", Posse(msn) "SP2.EXE", BraveSentry(dldr) "XPUPDATE.EXE" y Alanchum "SPOOLSVV.EXE")

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 21-05-2007

Mensaje por **msc hotline sat** » 22 May 2007, 07:46

ULTIMA NOTICIA !!!

Al fin se aclara lo del SERVER.EXE , que aunque es un BIFROSE que no tiene nada que ver con el MSN-POSSE, es descargado por el mismo desde

Asi que, ademas de probar el ELISTARA 14.01 ó 14.02, probar ademas el ELITRIIP:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y comprobar si se detecta y elimina este BIFROSE !!!

saludos
ms, 22-05-2007

Mensaje por **msc hotline sat** » 22 May 2007, 10:49

Sobre el BIFROSE que descarga este MSN-POSSE, en el fichero SERVER.EXE, cabe indicar que algunos antivirus cuyo nombre suena, como ANTIVIR, AVAST, BITDEFENDER, F-PROT , NOD-32 no lo detectan a estas horas, segun analisis con el VIRUSTOTAL:

VirusTotal escribió: ESTADO: FINALIZADO
Este es el resultado completo de analizar el archivo "Server_2_.gxe" que VirusTotal ha recibido el día 22.05.2007 a las 09:16:32 (CET).
Antivirus Version Actualización Resultado
AhnLab-V3 2007.5.21.1 21.05.2007 no ha encontrado virus
AntiVir 7.4.0.23 22.05.2007 TR/Agent.85296
Authentium 4.93.8 21.05.2007 no ha encontrado virus
Avast 4.7.997.0 21.05.2007 no ha encontrado virus
AVG 7.5.0.467 21.05.2007 BackDoor.Generic6.WTE
BitDefender 7.2 22.05.2007 no ha encontrado virus
CAT-QuickHeal 9.00 21.05.2007 no ha encontrado virus
ClamAV devel-20070416 22.05.2007 Trojan.Packed
DrWeb 4.33 21.05.2007 no ha encontrado virus
eSafe 7.0.15.0 21.05.2007 Win32.Bifrose.aft
eTrust-Vet 30.7.3651 21.05.2007 no ha encontrado virus
Ewido 4.0 21.05.2007 Backdoor.Bifrose.aft
FileAdvisor 1 22.05.2007 no ha encontrado virus
Fortinet 2.85.0.0 22.05.2007 W32/Bifrose.AFT!tr.bdr
F-Prot 4.3.2.48 21.05.2007 no ha encontrado virus
F-Secure 6.70.13030.0 22.05.2007 Backdoor.Win32.Bifrose.aft
Ikarus T3.1.1.7 22.05.2007 Backdoor.VB.EV
Kaspersky 4.0.2.24 22.05.2007 Backdoor.Win32.Bifrose.aft
McAfee 5035 21.05.2007 +
Microsoft 1.2503 22.05.2007 no ha encontrado virus
NOD32v2 2283 21.05.2007 no ha encontrado virus
Norman 5.80.02 21.05.2007 no ha encontrado virus
Panda 9.0.0.4 21.05.2007 Bck/Bifrose.ATW
Prevx1 V2 22.05.2007 no ha encontrado virus
Sophos 4.17.0 21.05.2007 no ha encontrado virus
Sunbelt 2.2.907.0 17.05.2007 VIPRE.Suspicious
Symantec 10 22.05.2007 Backdoor.Bifrose.I
TheHacker 6.1.6.120 21.05.2007 no ha encontrado virus
VBA32 3.12.0 21.05.2007 no ha encontrado virus
VirusBuster 4.3.23:9 21.05.2007 no ha encontrado virus
Webwasher-Gateway 6.0.1 22.05.2007 Trojan.Agent.85296

Información adicional
Tamaño archivo: 1195967 bytes
MD5: b045fbab290e1fab07200409503708c3
SHA1: 9aa6fb5c6014990b93af1f4d06f75ca5e6897c19
packers: Themida
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Así que no confiarse quienes tengais dichos antivirus, si habeis tenido este FOTOS_POSSE, ademas del ELISTARA, rematad la eliminacion de las descargas que pudiera haber hecho, con el ELITRIIP.

asi que resumo, PARA ELIMINAR EL FOTOS_POSSE Y EL BIFROSE QUE DESCARGA, emplear las dos utilidades, primero el ELISTARA y luego el ELITRIIP:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Nota: Ya con las muestras enviadas, en los DAT diarios de esta mañana, McAfee ha implementado el control del Fotos_Posse como GENERIC DOWNLOADER.S, y el Bifrose del SERVER.EXE ya se controla con los DAT normales como BACKDOOR-CEP.svr

saludos

ms, 22.-05-2007

virus messenger (fotos_posse) <SOLUCIONADO>

Antivirus VS Antivirus

Re: Antivirus VS Antivirus