Virus foto_celular ***** (SOLUCIONADO)

[simus]

que tal pues desgraciadamente estoy infectado con este virus he hecho todo lo que se ha posteado en anteriores temas pero nada ha funcionado les mando las muestra que encontro Elistara V 14.51 espero me puedan ayudar gracias

[msc hotline sat]

Pues si ya usas el ELISTARA 14.52 y te ha pedido muestras es que se trata de una nueva variante.



Se analizaran e implementará su eliminacion en nuevas versiones, pero recuerda siempre que uses nuestras utilidades, postear el infosat.txt ...



Por otro lado te recordamos lo basico para este virus:





[quote="Para el "fotos_celular, msc"]

Así que para eliminar el troyano del FOTOS_CELULAR puede probarse el ELISTARA





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y luego hay que restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:



Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.



Con lo indicado es suficiente para la primera variante, pero:



______________



En alguna nueva variante vemos paralelamente el BIFROSE, posiblemente descargado por dicho virus, para lo que disponemos del ELITRIIP que se puede probar si persiste el problema:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



______________





Si con lo indicado no ha sido suficiente, conocemos otras variantes que utilizan, además, otros ficheros , de los que hemos pedido muestra para controlarlos e implementar su control y eliminacion en el ELISTARA, pero mientras, procederemos manualmente a buscar y renombrar a extension .VIR los siguientes ficheros (y enviarnos muestras de ellos !!!) :





SVSCHOST.EXE (no SVCHOST.EXE, cuidado)



STARTING.EXE (que al estar en DLLCACHE, puede estar en mas sitios)





buscarlos con Inicio -> Buscar -> en todas las carpetas y ficheros, y proceder con ello, ademas de lo indicado en la primera parte, básico para todos.



Conste que este SVSCHOST.EXE ya controlamos el de la primera variante, pero por lo visto los hay diferentes en las nuevas, y, junto con el STARTING.EXE, es lo que nos queda por controlar automaticamente, y que si nos enviais las muestras solicitadas, lo implementaremos en las siguientes versiones del ELISTARA:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[/quote]





saludos



ms, 29-08-2007

[simus]

Pues nada solo para agradecerles baje la ultima version de ELISTARA y afortunadamente todo lo soluciono gracias les posteo el ultimo reporte de ELISTARA



Wed Aug 29 14:37:45 2007

EliStartPage v14.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\FOTO_CELULAR.SCR --> Eliminado MalWare.Celular

C:\FOTO_CELULAR.ZIP --> Eliminado

C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular

C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).

Eliminado Servicio, "Oddysee"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (H)

open=setup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Wed Aug 29 14:38:11 2007

EliStartPage v14.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\FOTO_CELULAR.SCR.MUESTRA ELISTARTPAGE V14.51 --> Eliminado, MalWare.Celular

C:\Muestras\ODDYSEE.EXE.MUESTRA ELISTARTPAGE V14.51 --> Eliminado, MalWare.Celular

C:\WINDOWS\system32\POISON.SYS --> Eliminado, MalWare.Celular

C:\WINDOWS\system32\dllcache\KAV.EXE --> Eliminado, MalWare.Celular



Wed Aug 29 14:43:24 2007

EliStartPage v14.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\FOTO_CELULAR.SCR --> Eliminado, MalWare.Celular



Wed Aug 29 14:57:26 2007

EliStartPage v14.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 29 14:57:31 2007

EliStartPage v14.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[msc hotline sat]

Perfecto, asi da gusto !



y solucionado el problema, procedemos a cerrar el Tema.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 30-08-2007