[quote]Hola el problema de "Fotos_celular.zip"....mira logro eliminar el "Fotos_celular.zip", pero aun zumba EN EL msn, y quiere mandar el "Fotos_celular.zip", pero como no lo encuentra no lo manda, que debo aser ahora?....me di cuenta que hay unos exes en System32 : net.exe, net1.exe
pero cuando los quiero eliminar se autogeneran.
Muy buen programa por q tb elimino otros que estaba:idea:
este es el el INFOSAT
Sun Jun 24 09:37:54 2007
EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
D:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado MalWare.Celular
D:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular
D:\WINDOWS\SYSTEM32\SSVSCHOST.SYS --> Eliminado
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sun Jun 24 09:39:08 2007
EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\FOTO_CELULAR.SCR --> Eliminado, MalWare.Celular
D:\WINDOWS\system32\dllcache\NAOADIANTA.EXE --> Eliminado, MalWare.Celular
D:\Archivos de programa\Rapidown\RAPIDOWN.EXE --> Eliminado, Slurk(dll)
D:\Archivos de programa\mobile PhoneTools\MEXPLORER.DLL --> Eliminado, EliteToolBar (dropper)
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP45\A0015060.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP45\A0015069.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP45\A0015079.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP45\A0015091.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP45\A0015109.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP45\A0015115.SCR --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP45\A0015119.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP45\A0015124.SCR --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP45\A0015129.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP46\A0015174.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP46\A0015175.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP46\A0015176.SYS --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP46\A0015177.SCR --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP46\A0015178.EXE --> Eliminado, MalWare.Celular
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP46\A0015179.EXE --> Eliminado, Slurk(dll)
D:\System Volume Information\_restore{6E51B4FA-E8F5-4274-99A5-5AA607F40383}\RP46\A0015180.DLL --> Eliminado, EliteToolBar (dropper)[/quote]
YA tengo pero Aun Zumba :
YA tengo pero Aun Zumba :
Manbraver!
Mira de enviarnos alguno de esos que se te replican
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
comprimelo en winrar o winzip y ponle contraseña como se te indica en el link que te deje arriba, pones tu nick como referencia, lo analizaran ymiraran que es, de paso ejecuta hijackthis y veamos que claves se te cargan
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos
saludos
comprimelo en winrar o winzip y ponle contraseña como se te indica en el link que te deje arriba, pones tu nick como referencia, lo analizaran ymiraran que es, de paso ejecuta hijackthis y veamos que claves se te cargan
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos
saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
El fotos_celular no se termina con el ELISTARA:
[quote="Para el "fotos_celular, msc"]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:
Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.
Con lo indicado es suficiente para la primera variante, pero:
______________
En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
______________
Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :
SVSCHOST.EXE (no SVCHOST.EXE, cuidado)
STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)
buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.
Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
[/quote]
saludos
ms, 25-06-2007
[quote="Para el "fotos_celular, msc"]
Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:
Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.
Con lo indicado es suficiente para la primera variante, pero:
______________
En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:
ELITRIIP:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
______________
Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :
SVSCHOST.EXE (no SVCHOST.EXE, cuidado)
STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)
buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.
Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:
->
[/quote]
saludos
ms, 25-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online