Hola a todos...hace 2 dias acepte un archivo de un amigo y me entro un virus o worm llamado Foto_celular y estuve leyendo este foro tan interesante y encontré q con el programa Elistara 14.12 lo podría llegar a sacar.
Pero mi problema es q no lo puedo conseguir y lei en una pagina q para conseguir las versiones entre 11 y 14.15 postee en el foro y aquí estoy
espero q alguien me pueda ayudar
saludos a todos..muy buen foro y buena informacion
gracias
Elistara 14.12
Hola, descargatelo de aquí, http://www.zonavirus.com/descargas/elistara.asp cuando lo pases te dejara un log en C llamado infosat.txt, nos lo pegas aquí como respuesta al tema y veremos lo que te ha echo, saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Y aclaro que siempre se ha de probar la ultima version, que incluye las anteriores.
Pero ademas, según las versiones, el foto_celular puede haber dejado modificado el NTOSKRNL, si tras probar el ELISTARA y reiniciar, el messenger hace ruidos, ver lo que en su día deciamos al respecto (y que con el buscador del foro hubiera encontrado) y aquí mismo añado un resumen del proceso provisional que elimina los "foto_celular" hasta ahora conocidos:
ms, 17-06-2007
Pero ademas, según las versiones, el foto_celular puede haber dejado modificado el NTOSKRNL, si tras probar el ELISTARA y reiniciar, el messenger hace ruidos, ver lo que en su día deciamos al respecto (y que con el buscador del foro hubiera encontrado) y aquí mismo añado un resumen del proceso provisional que elimina los "foto_celular" hasta ahora conocidos:
saludosAsí que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA
ELISTARA: http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:
Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extensión .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.
Con lo indicado es suficiente para la primera variante, pero:
______________
Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :
SVSCHOST.EXE (no SVCHOST.EXE, cuidado)
STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)
buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.
Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA: -> Para ello recordar: viewtopic.php?f=2&t=45334
ms, 17-06-2007