Problema con el Elitriip (SOLUCIONADO)

ezdookie · Mensaje por **ezdookie** » 02 May 2007, 00:18

Hola, soy nuevo en este foro y hace unos dias me infecte del foto_celular..... buscando ayuda por el google encontre que el Elistara y el Elitriip me podrian ayudar a eliminar.... No se si me habran sido de ayuda porque seguia teniendo el mismo problema 1 dia mas.... y bueno, termine eliminando al virus manualmente....

Pero ahora no se si sera por el Elistara o el Elitriip (Supongo que es este).. que tengo un problema con los puertos de mi pc... parece como si estuvieran cerrados porque no puedo hacer que nadie se conecte a mi pc... verifiqué en el router y los puertos siguen abiertos como siempre del 0 al 65550... Por eso, a la persona que programo esto quisiera saber que hicieron exactamente estos programas.....

gracias.

Oz.developer · Mensaje por **Oz.developer** » 02 May 2007, 01:44

postea el log del elistara y el elitrip para ver que resultado arrojaron, el archivo se llama infosat.txt y esta en tu disco duro

ezdookie · Mensaje por **ezdookie** » 02 May 2007, 02:17

Tue May 01 12:53:38 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\DIVOFT]

Por favor, envienos una muestra del fichero

C:\WinLogon\DIVOFT.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HIDEKIT.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\LOGUNIT.SYS --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue May 01 16:14:38 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Mensaje por **msc hotline sat** » 02 May 2007, 07:05

Pues de entrada haz caso a lo que se te pide:

Por favor, envienos una muestra del fichero

C:\WinLogon\DIVOFT.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86

[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y por otro lado, lanza un windowsupdate ya que te faltan parches:

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

y respecto a los ports, no, tras reiniciar aunque se hubiera cerrado el TCP 445 para evitar intrusiones en dicha sesion, estas utilidades no dejan ports modificados

saludos

ms, 2 de Mayo de 2007

ezdookie · Mensaje por **ezdookie** » 03 May 2007, 01:59

Hola, el HIDEKIT.EXE ya no existe.....

Pero sigo teniendo TODOS los puertos bloqueados... :|

Creo que es por el TCP 445 o porque yo siempre tenia el firewall desactivado pero despues de ejecutar el Elistara y el Elitrip todo se restauro y ahora me aparece ese globo rojo diciendome que no tengo ningun firewall y ninguna de las otras dos activadas....

Bueno.... en que parte de mi sistema haces para que el puerto 445 quede bloqueado? porque en mi router no se hizo nada..

gracias....... encuentren solucion :| por favor!

ezdookie · Mensaje por **ezdookie** » 03 May 2007, 03:36

hola de nuevo, escribo para decirles que ya solucione el problema..

tenia un problema con el firewall de windows... habia sufrido un daño y no se podia abrir... pero ya lo repare...

muchas gracias....

Mensaje por **msc hotline sat** » 03 May 2007, 05:44

Ya indicamos que nuestras utilidades solo cierran ports temporalmente, durante la sesion en curso, pero al reiniciar ya se restauran.

Y el HIDEKIT.EXE lo eliminamos de la carpeta de sistema, pero lo dejamos en C:\muestras para poder enviar la muestra...

Son 4 las variantes que conocemos de este troyano. Prueba el actual ELISTARA, 13.87 que ya las controla, y que si el HIDEKIT de C:\muestras es uno de los conocidos, ya lo eliminará.

Gracias por aclarar que lo que te pasaba era un problema de problema del cortafuegos del XP.

saludos

ms, 3 de Mayo de 2007

Mensaje por **msc hotline sat** » 04 May 2007, 08:11

Y ya dando por terminado este tema, lo cerramos ofreciendo la solucion comprobada para total eliminacion de este troyano FOTOS_CELULAR

[quote="msc"]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:

[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita el REPARAR sistema.

[/quote]

si alguien tine algun problema al respecto, puede abrir un nuevo Tema y comentarlo

saludos

ms, 4 de mayo de 2007