SOLUCION AL VIRUS DE MSN "FOTOS_POSSE" (2º CIERRE)

Mensaje por **msc hotline sat** » 20 May 2007, 13:19

Como sea que este fin de semana ha habido una avalancha de afectados pro el nuevo virus de MESSENGER que envia FOTOS_POSSE.ZIP a los contactos de quien está infectado, habiendo ya solucionado provisionalmente dicho virus, hasta que mañana ofrezcamos la version 14.01 de la utilidad ELISTARA.EXE que facilitará automaticamente la eliminacion de ficheros y restauracion de claves, ofrecemos un resumen de los pasos a seguir para desactivar el virus e incluso de reactivar el acceso a tareas desactivadas:

msc escribió:
Simplemente buscar estos ficheros y renombrar su extension a .VIR:
yo_posse_007.jpg.exe
SP2
SERVER
Proyecto 1.exe
fotos_posse.exe
y FOTOS_POSSE.ZIP tambien renombrarlo a .VIR, no sea que lo pulseis de nuevo ...

Tras lo indicado de renombrar los ficheros, REINICIAR EL ORDENADOR y ya no se pondrá en marcha el virus.

Si ademas se desea poder volver a acceder al Administrador de tareas, con ejecutar el ELITRIIP o el ELILESLIE se logrará restaurar la clave que inhabilita el acceso, ya que ello tambien lo hacen otros virus ya controlados y ya es conocido y restaurado con dicha utilidad:

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

ELILESLI
http://www.zonavirus.com/descargas/elilesli.asp

pero ello ya lo hará tambien, ademas de eliminar ficheros y demás restos relativos a este virus, el ELISTARA 14.01 que subiremos mañana a esta web (el de hoy todavía no) :

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

__________

De todas formas, se haga lo que se haga, mañana probar el ELISTARA 14.01 PARA ELIMINAR RESTOS

saludos

ms, 20-05-2007

Mensaje por **msc hotline sat** » 20 May 2007, 13:22

Y si alguien quiere consultar algo al respecto, que lo haga como respuesta de este TEMA, que viene de este otro ya cerrado por exceso de posts (mas de 100 !) :

saludos

ms, 20-05-2007

luchador · Mensaje por **luchador** » 20 May 2007, 14:27

porcierto,el msn le tengo encendido y veo quien se conecta y quien esta conectado,pero al hacer clik en el contacto para abrir la ventana no me deja,no me deja abrir ventana para hablar...solucion alguna?

gracias

nigth_dark · Mensaje por **nigth_dark** » 20 May 2007, 17:48

wenas ayer me pasaron el virus y borre los arxivos :cry:

e pasado limpiadores y no consigo qitarlo...

nseq acer¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡

si algn pudiese ayudarm staria +q agradecida :D

andrea89 · Mensaje por **andrea89** » 20 May 2007, 17:51

Estoy un poco molesta porque:

:arrow: No acepté ese archivo, simplemente cerraba las ventanas. Incluso llegué a desadmitir al contacto que me lo pasaba pero lo recibí igualmente.

:arrow: He renombrado los archivos que he encontrado a .VIR (SP2 y los demás no aparecen)

:arrow: He restaurado y reiniciado mi equipo

:arrow: Mi ordenador ENTERO funciona loco. De repente se ponen en marcha programas que ni siquiera he hecho click con el ratón.

:arrow: De repente estoy escribiendo algo y deja de escribir.

Si nada de lo que se ha dicho en ese hilo de tantas hojas ya cerrado por abusivos posts, ¿qué hago? ¿La solución de mañana funcionará para mí también o primero tengo que intentar algo?

Y si no, ¿este virus morirá o se quedara conmigo para siempre? :cry:

En serio, lo del messenger es molesto pero eso de que estés escribiendo y de repente se pare lo es aún más :roll:

OHHHH y la pregunta del millón (soy nula en esto de la informática): Una vez que me lo quite de encima, mis contactos me lo pueden volver a pasar? Porque me da a mí que estamos toditos todos infectados.

Mensaje por **msc hotline sat** » 20 May 2007, 18:10

para luchador:

renombra los ficheros que se indican a extension .VIR y añade lo mismo para la aplicacion SERVER,. que hemos añadido al final

______________________

para alexmacan

gracias pero si quieres decir que el kaspersky ya lo controla, no hace falta ofrecer blog privado, que no está permitido... que prueben con dicho antivirus, pero no está comprobado que lo controle aun-

_______________________

para nigth_dark

Borrarlos no deja windows si estan en uso, por eso indicamos renombrarlos.

Pero sin quieres hacerlo al reves, primero has de detener el proceso, para lo cual necesitas el Adnministrador de tareas, que podras rehabilitarlo con el ELITRIIP o con el ELILESLIE, como indicamos, y tras ello podras acceder a él, deterner el proceso y eliminar los ficheros, que es lo que haremos de una sola vez con el ELISTARA 14.01 de mañana.

_______________________

para andrea89

- primero: si no lo aceptaste no puede haberte infectado, igual es otra cosa

- tranquila que si es esto por no haberte dado cuenta y abrirlo, el ELISTARA 14.01 lo eliminará totalmente

- y la respuesta a la pregunta del millon: Si tu antivirus no lo controla, tus amigos infectados pueden volvertelo a pasar, y cuando lo controile, pueden pasarte otro... asi que mucho cuidado con aceptar mas regalitos del messenger

saludos

ms, 20-05-2007

Lylah · Mensaje por **Lylah** » 20 May 2007, 18:19

Hola, a mi me pasa igual k a ti, mi hermano dice k no aceptó ningún archivo, más k nada pk su contacto le advirtió de k se trataba de un virus, y aki estamos con los mismos problemas k si hubieramos aceptado el archivo, mi pregunta es:

:?: Esto se puede deber a k sea un virus un poco distinto al k se describe anteriormente?

:?: Estuve buscando los 6 archivos para ponerlos .vir y hay 2 k no los tengo( fotos_posse.exe y proyecto 1.exe), kizás en vez de esos 2 yo tenga otros archivos??

:?: En cuanto a lo de renombrar los archivos, como los 4 tipos k tengo están duplicados y en diferentes carpetas se me hace un poco dificil saber cuales son exactamente, ésto me pasa por ejemplo en el archivo SP2 k tengo 5 archivos k se llaman así, todos son malos?

Estoy deseando k llegue mñn para pasar el nuevo Elistara... :(

Mensaje por **msc hotline sat** » 20 May 2007, 18:28

respuesta a Lylah:

:arrow: Se hace dificil aceptar que fuera sin abrir ningun fichero al respecto, pero... ya veremos tras analizarlo mañana.

:arrow: Sobre todo busque el SP2 y renombrelo a SP2.VIR, y si tiene mas ficheros con este nombre, compruebe si tiene extension, este no tiene extension https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

:arrow: Sí, pero hoy puede detener y liberarse de la propagacion si hace lo indicado. Vea las intrucciones al principio de este Tema

saludos

ms, 20-05-2007

Lylah · Mensaje por **Lylah** » 20 May 2007, 18:48

Hola de nuevo, la verdad no me extrañaria k tuviera como hermano un mentiroso compulsivo jajajaj

Una cosa, hice lo k me pediste para ver la extensión de los archivos y ahora todos los k me salían de SP2 tienen extensión, pero al- hay 1 k me parece sospechoso, se llama sp2.exe está en la carpeta system32 y el icono es como si fuera una imagen...

Bueno solo era comentarte esto... y gracias por todo!! :wink:

Cuca · Mensaje por **Cuca** » 20 May 2007, 19:14

Ya me quedo más tranquila de ver que no soy la única con esta movida.

A mí el msn se me vuelve totalmente loco, me empieza abrir ventanas sin parar hasta que se me bloquea :evil:

Además, por si fuera poco me salían las tildes dobles tal que así ´´ menos mal que eso, afortunadamente, lo pude subsanar :D

Yo también tengo este archivo sp2.exe y no me deja abrirlo, ni eliminarlo, ni cambiarle de nombre ni na de na :cry:

Chicos, gracias por abrir este espacio para consultar dudas y ayudarnos.

Mensaje por **msc hotline sat** » 20 May 2007, 21:01

Con el nombre de SP2.EXE puede haber desde un update de microsoft (service pack 2) hasta uno de los varios virus que se esconden con este nombre, aunque nada tengan que ver con el FOTOS_POSSE que utiliza un SP2

Si quereis salir de dudas, enviarnos los ficheros con dicho nombre para analizar:

saludos

ms, 20-05-2007

Mensaje por **msc hotline sat** » 21 May 2007, 12:33

Subida a esta web la version 14.01 del ELISTARA !!!

Ya está disponible, la probais e indicais el resultado, gracias:

---v14.01-(21 de Mayo del 2007) (Muestras de Vundo6(notify), DownLoader.ConHook "*****.DLL", Posse(msn) "SP2.EXE", BraveSentry(dldr) "XPUPDATE.EXE" y Alanchum "SPOOLSVV.EXE")

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 21-05-2007

er_makiki_06 · Mensaje por **er_makiki_06** » 21 May 2007, 12:57

¿Porqué no me deja descargarmelo de vuestra pagina el programa, que es el virus?.
Yo tambien tengo el virus de fotos_posse debido al "listillo" de mi hermano que todo lo acepta, pero nosé como se maneja y lo que hay que hacer, me gustaria que me echarais una mano.
Y tambien l porque no puedo descargarmelo a traves de vuestra pagina, o sino si alguien me lo mandase a mi correo le estaria agradecido <interceptado>
saludos

_______________

ELIMINADA DIRECCION DE MESSENGER o E-MAIL, NO PERMITIDO SOLICITAR NI OFRECER RESPUESTAS EN PRIVADO !!!

Deben postearse en el foro, para aprovechamiento de todos.

____________

conchirrin · Mensaje por **conchirrin** » 21 May 2007, 13:01

bueno ya he pasado el elistara te mando el info

Fri Feb 09 10:24:19 2007

EliStartPage v13.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Feb 09 10:25:09 2007

EliStartPage v13.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\CONCHI\Mis documentos\Mis archivos recibidos\GALAPAGOSSETUP.EXE --> AutoExtraible

Fri Feb 09 10:35:32 2007

EliTriIP v3.15 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 09:42:05 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

ALERTA. WindowsUpdate Incompleto.

Sun May 20 09:43:16 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 09:50:57 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Sun May 20 09:54:32 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Sun May 20 09:54:37 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon May 21 11:56:22 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Mon May 21 11:57:07 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\OpenOffice.org 2.2\program\CANVASFACTORY.UNO.DLL --> Eliminado, SaveNow

C:\WINDOWS\AUTOCLK.EXE --> Eliminado, Autoclk

C:\WINDOWS\system32\SP2.VIR.EXE --> Eliminado, Posse(msn)

Mensaje por **msc hotline sat** » 21 May 2007, 13:01

Pues todo el mundo se ha podido descargar el ELISTARA estando infectado, lo que pasa es que hasta la version de hoy no controlaba este virus, pero no es por culpa del virus si no lo puede descargar. Vea de hacerlo desde otro ordenador y luego lo copia a este y lo prueba.

saludos

ms, 21-05-2007

GINEBRA · Mensaje por **GINEBRA** » 21 May 2007, 13:13

acabo de pasar la nueva version del elistara de hoy y esto es lo q me aparece:

Fri Feb 23 22:20:16 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Feb 23 22:23:52 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Feb 23 22:24:10 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Feb 26 19:55:38 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "firefox.exe"="C:\Windows\system\firefox.exe"

ALERTA. WindowsUpdate Incompleto.

Mon Feb 26 19:55:54 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 27 09:26:04 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Tue Feb 27 09:28:06 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Feb 27 09:30:57 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Tue Feb 27 09:31:06 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 10:35:50 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 20 10:52:10 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Sun May 20 10:52:42 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 11:04:52 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon May 21 12:13:18 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

conchirrin · Mensaje por **conchirrin** » 21 May 2007, 13:13

te cuento que el archivo winrar fotos_posse que tengo en mi pc ,disco duro no se ha eliminado.

y si puedes me dices algo de la aplicacion server que tambien la tengo hay en winrar para saber si tiene que ver una cosa con otra y si os a dado tiempo a analizarla

gracias por adelantado

GINEBRA · Mensaje por **GINEBRA** » 21 May 2007, 13:20

despues de pasar el elistara de hoy, me siguen apareciendo los archivos en el disco duro y hasta en el es escritorio , no se han borrado... ¿ los borro?.. y esto es lo q me ha salido:

Fri Feb 23 22:20:16 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Feb 23 22:23:52 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Feb 23 22:24:10 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Feb 26 19:55:38 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "firefox.exe"="C:\Windows\system\firefox.exe"

ALERTA. WindowsUpdate Incompleto.

Mon Feb 26 19:55:54 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Tue Feb 27 09:26:04 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Tue Feb 27 09:28:06 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Feb 27 09:30:57 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Tue Feb 27 09:31:06 2007

EliStartPage v13.41 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 10:35:50 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun May 20 10:52:10 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Sun May 20 10:52:42 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun May 20 11:04:52 2007

EliTriIP v3.56 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon May 21 12:13:18 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 21 May 2007, 13:36

NOTICIAS SOBRE FICHERO SERVER.EXE enviado por algunos afectados del SPY-POSSE (conchirrin, sultana2000,...)

El fichero indicado ha resultado ser un BIFROSE, que quizas ha podido ser en algun ordenador y algun momento, descargado por el SPY-POSSE, si bien en las pruebas que hemos hecho, solo nos ha creado una clave vacía con valor downloader, por lo que es posible que ocasionalmente se descargue dicho fichero, para el que haremos una nueva versión de ELITRIIP 3.57 que controlará este nuevo BIFROSE, además de los ya conocidos hasta la fecha.

Claro, no sabemos si ha sido descargado por el SPY-POSSE ??? o por un downloader u otro medio, pero ya que habeis tenido este virus, dá que pensar que puedan estar relacionados, pero no a todos se lo ha generado, por lo que podria ser que alguien tuviera éste además del otro, de moemnto lo añadirmos a los BIFROSE, por lo que los que tengan esta aplicacion SERVER, prueba tambien el ELITRIIP de esta tarde v 3.57 que estará disponible a partir de las 20 h GMT

Si vieramos que es automaticamente generado oor el SPY-POSSE, ademas del ELITRIIP haríamos que lo eliminara tambien el ELISTARA, para pasando una sola utilidad eliminarlo totalmente, pero esto está por ver.

EN RESUMEN. QUIEN ADEMAS TENGA APLICACION SERVER, PROBAR ELITRIIP 3.57 DE ESTA TARDE.

saludos

ms, 21-05-2007

conchirrin · Mensaje por **conchirrin** » 21 May 2007, 14:03

msc perdona que sea pesada, pero como veo que a GINEBRA segun dice tambien se le han quedado en su disco duro y en el escritorio el fotos_posse, sera que no los detecta el elistara al estar en zip ? y los tenemos que eliminar manualmente. gracias

Blanquita · Mensaje por **Blanquita** » 21 May 2007, 14:16

Hola! Verás, tengo dos ordenadores, uno portátil, del que ya he hablado anteriormente(sony vaio con windows vista) y uno de los grandes de mesa(XP)

En el portatil es imposible pasar el ELISTARA--> se queda en "no responde" una y otra vez. No lo entiendo.Por qué puede pasar eso?

Y...en el otro lleva un ratazo. Es normal??

Gracias!!!

Un bsito

Mensaje por **msc hotline sat** » 21 May 2007, 14:17

Efectivamente, el ZIP no lo hemos incluido en la cadena de deteccion del ELISTARA, porque ningun fichero ZIP lo controlamos con nuestras utilidades, solo los ejecutables, y logicamente los ZIP se borran simple y llanamente y listos.

En este caso, dado lo prolifico que ha sido el bicho, vamos a detectar el ZIP por cadenas, y si no nos lo cambian, lo controlarenmos y eliminaremos tambien en la proxima version del ELISTARA 14.02

________________________________________________

se rectifica lo indicado anteriormente: No se van a controlar los .ZIP porque ello ralentizaría mucho el proceso del ELISTARA, como en los demas casos, se deben eliminar manualmente los ZIP o RAR de los virus originales.

_________________________________________________

Otro Tema es el del BIFROSE, de la aplicacion SERVER.

Estamos haciendo el ELITRIIP 3.57 que lo controlará y eliminará, junto con los demás BIFROSE, pero dinos si sabes si lo tenais antes o despues o es que te parece que este SERVER ha sido a raiz de la infeccion del MSN-POSSE (mira las fechas y horas, a ver si coinciden...)

y nos lo indicas, gracias

saludos

ms, 21-05-2007

Lylah · Mensaje por **Lylah** » 21 May 2007, 15:56

~~[b]~~Hola! pasé la gran esperada nueva version del elistara y ésto es lo k vió:[/b]

Mon May 21 14:35:04 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Linea Eliminada del HOSTS --> 62.81.237.170 auto.search.msn.com

Linea Eliminada del HOSTS --> 62.81.237.170 beta.search.msn.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon May 21 14:37:55 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SP2.EXE --> Eliminado, Posse(msn)

C:\System Volume Information\_restore{A3555BD0-3B98-4B1B-B48D-D53BEB693B08}\RP469\A0587522.EXE --> Eliminado, Posse(msn)

C:\System Volume Information\_restore{A3555BD0-3B98-4B1B-B48D-D53BEB693B08}\RP469\A0590578.EXE --> Eliminado, Posse(msn)

C:\unzipped\fotos_posse\Mis imágenes\YO_POSSE_007.JPG.EXE.VIR --> Eliminado, Posse(msn)

~~[b]~~El archivo server parece k no dice na de él y del zip tpc. Debo pasar el Elitrip creo k era, la versión de esta tarde,no? y en cuanto al archivo zip, lo borro yo manualmente? Oh lo k preguntabas de si el Server se creó en el mismo momento k se metió el fotos_posse, a mi me pone la misma fecha y hora...[/b]

cabreado · Mensaje por **cabreado** » 21 May 2007, 16:18

~~[b]~~Aqui lo teneis:[/b]

Sat May 19 16:54:14 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Sat May 19 17:05:46 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\eZula"

Eliminada Carpeta "%ProgMenuInicio%\TopText iLookup"

Eliminados Ficheros Temporales del IE

Sat May 19 17:06:34 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\FSG_4104.EXE --> Eliminado, Gator Gain

C:\Archivos de programa\Monkey's Audio\Tools\QUICK RENAMER.EXE --> Eliminado, Malware.WINDOSW

C:\Documents and Settings\usuario\Escritorio\Macromedia Studio 8\Macromedia Studio 8 Full Edition\Keygen\KEYGEN.EXE --> Eliminado, KeyGen.ZWT

Sat May 19 17:25:56 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Sat May 19 17:29:15 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sat May 19 17:29:24 2007

EliStartPage v14.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Mon May 21 14:50:26 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Mon May 21 14:52:03 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Mon May 21 14:52:16 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SP2.VIR.EXE --> Eliminado, Posse(msn)

~~[b]~~Gracias y esperemos solucionar esto.[/b]

Mensaje por **msc hotline sat** » 21 May 2007, 16:46

para lylah:

EL Virus MSN-POSEE ha sido eliminado.

Contrariamente a lo indicado inciialmente, los ficheros ZIP o RAR no los eliminaremos, eliminarlos manualmente borrandolos

________________________________________________

se rectifica lo indicado anteriormente: No se van a controlar los .ZIP porque ello ralentizaría mucho el proceso del ELISTARA, como en los demas casos, se deben eliminar manualmente los ZIP o RAR de los virus originales.

_________________________________________________

y sobre el SERVER no es un MSN-POSSE sino un BIFROSE, similar y diriamos que agrupamiento de otros muchos que conocemos, por lo que lo controlaremos con el ELITRIIP como los demas, y en el caso de este ultimo, con la version 3.57 de esta tarde pero diganos si le parece que le llegó con el de MSN porque en principio es otra historia

saludos

ms, 21-05-2007

Mensaje por **msc hotline sat** » 21 May 2007, 16:51

Para "cabreado":

Bueno, no te quejes que ya lo has eliminado !:

Mon May 21 14:52:16 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\SP2.VIR.EXE --> Eliminado, Posse(msn)

comprueba que te vaya el Administrador de tareas y que ya no tengas problemas con el MSN... y nos lo cuentas

saludos

ms, 21-05-2007

yudy22 · Mensaje por **yudy22** » 21 May 2007, 16:58

~~[b]~~Hola, pues a mi también me entró el fotos_posse este finde.

He estado leyendo lo que comentabais, y tras buscar y cambiar la extensión a .VIR al único de los que deciais que he encontrado (el SP2.exe), le he pasado el Elistara que habeis dejado, y los resultados son los siguientes:[/b]

Mon May 21 15:31:14 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE

Mon May 21 15:32:56 2007

EliStartPage v14.01 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

~~[b]~~El caso es que creo que no me ha salido nada relacionado con el fotos_posse, sin embargo he abierto el messenger para probar y he estado hablando con contactos que estaban conectados, y ya no me pasa lo de antes, que empezaban a salir ventanas y a mandarse ese mensaje solo a todos los contactos conectados, y también ha desaparecido el problema que habeis comentado también, que estabas escribiendo y de buenas a primeras se ponía la ventana como en sombreado (como si estuviera cargando otra cosa), no se si me entendereis...

En fin, quisiera saber si el problema de las fotos_posse ese ha desaparecido ya y puedo estar tranquila.

Gracias por todo.[/b]

frankattak · Mensaje por **frankattak** » 21 May 2007, 16:58

buenas...pues llevo unos dias con el virus y me he bajado el programa k dejais...pero n se me inicia...me da que ha detectado un `problema y debe cerrarse.... no se k hacer pork parece k a todo el mundo le va muy bien...pero a mi ni se me enciende...

ayuda porfavoor!!

fran

Mensaje por **msc hotline sat** » 21 May 2007, 17:06

Si el sistema operativo es XP o 2000 bajalo de nuevo que debe ir bien.

Si es Vista, no está hecho para él, Utiliza el metodo manual indicado, renombrar ficheros a extension .VIR y utilizar el ELILESLIE para restaurar acceso al Administrador de Tareas

ELILESLI

http://www.zonavirus.com/datos/descargas/269/elilesliexe.asp

saludos

ms, 21-05-2007

8jordi8 · Mensaje por **8jordi8** » 21 May 2007, 21:40

YA PASE EL ELISTARA....

ESTE FUE EL RESULTADO :? :? :?

Mon May 21 20:45:49 2007

EliStartPage v14.02 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "WindowsSp2"="C:\WINDOWS\System32\sp2.exe"

Eliminados Ficheros Temporales del IE

SOLUCION AL VIRUS DE MSN "FOTOS_POSSE" (2º CIERRE)

SOLUCION AL VIRUS DE MSN "FOTOS_POSSE" (2º CIERRE)

Re: SOLUCION AL VIRUS DE MESSENGER "FOTOS_POSSE"

No me deja decargarme EliStarA 14.01 de vuestra pagina...

virus msm posse