problemas con el messenger. (SOLUCIONADO)

bollero · Mensaje por **bollero** » 05 Dic 2007, 13:29

no se lo ke pasa pero mi messenger envia un archivo a todos mis contactos ke es un virus y si lo aceptan se infectan.Ademas se keda piyao nada mas abrirlo y no se xq.Lo he desinstalao ya 3 veces y me he bajado 3 versiones distintas pero nada,tambien se abren ventanas de dialogo solas,en fin una locura.Necesito ayuda please.

Mensaje por **flacoroo** » 05 Dic 2007, 18:26

aparte de tener actualizado tu antivirus, elimina tus archivos temporales y de internet y bajate estos programitas

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

[url=http://www.zonavirus.com/descargas/elinotif.asp][u]~~[b]~~Descargar Elinotiff [/b][/u][/url]

[url=http://www.zonavirus.com/descargas/elibagla.asp][u]~~[b]~~Descargar Elibagla [/b][/u][/url]

en modo normal descativa la opcion restaurar sistema y despues reinicia tu compu en modo seguro y ejecuta los programas excepto Elinotif(es complemento del Elistara por si se necesita) y despues nos pegas el resultado del archivo que se crea en C:infosat.txt y nos dices como te fue....

Mensaje por **msc hotline sat** » 05 Dic 2007, 18:46

Es lo que hacen los virus de MSN, propagarse enviando ficheros a los contactos del usuario infectado, y los que lo reciben piensan que se lo envia voluntariamente el amigo que está al otro lado, cuando éste ni se entera de ello...

Con lo que te indica flacoroo se supone que lo solucionarás, lo cual veremos en el infosat.txt que nos postees, y si te pide enviar muestras hazlo siguiendo las indicaciones:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 5-12-2007

bollero · Mensaje por **bollero** » 11 Dic 2007, 22:44

Tue Dec 11 15:31:53 2007

EliStartPage v15.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Dec 11 15:33:01 2007

EliStartPage v15.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 2698

Nº Total de Ficheros: 27053

Nº de Ficheros Analizados: 13045

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Dec 11 15:42:25 2007

EliTriIP v4.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Tue Dec 11 15:42:40 2007

EliTriIP v4.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\party_jpg.zip --> Eliminado, SdBot(msn)

Nº Total de Directorios: 2697

Nº Total de Ficheros: 27055

Nº de Ficheros Analizados: 12037

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Tue Dec 11 15:44:27 2007

EliBagle v10.77 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Dec 11 15:44:29 2007

EliBagle v10.77 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 2697

Nº Total de Ficheros: 27054

Nº de Ficheros Analizados: 9628

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 12 Dic 2007, 03:33

Pues ya hemos detectado y eliminado uno de ellos...:

[quote]Tue Dec 11 15:42:40 2007

EliTriIP v4.17 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\party_jpg.zip --> Eliminado, SdBot(msn) [/quote]

Tras reiniciar mira si se ha solucionado el problema y nos lo comentas, gracias

saludos

ms, 12-12-2007

Gore · Mensaje por **Gore** » 12 Dic 2007, 23:22

Hola,

A mi tb me ha entrado el virus a traves del messenger, como era un contacto mio lo descarge y...... desde entonces me sale continuamente un mensaje de mi antivirus de "mensaje sospechoso". No me da la opcion de eliminar solo puedo darle a "continuar"o "no enviar". He escaneado todo el ordenador con el antivirus pero no detecta nada. Os agradeceria muchisimo si me pudieseis ayudar. No sé si la solucion q le habeis dado al otro usuario me vale a mi.....

Muchas gracias.

Mensaje por **msc hotline sat** » 13 Dic 2007, 05:47

Si, prueba las dos utilidades indicadas y tras ello posteanos el contenido de c:\infosat.txt

saludos

ms, 13-12-2007

Gore · Mensaje por **Gore** » 13 Dic 2007, 13:53

Hola, este el resultado.

Thu Dec 13 13:27:14 2007

EliStartPage v15.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 13 13:29:36 2007

EliStartPage v15.24 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Steam\steamapps\nagore76\day of defeat source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\recover\WINDOWS\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 7621

Nº Total de Ficheros: 99627

Nº de Ficheros Analizados: 25795

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Thu Dec 13 13:43:39 2007

EliTriIP v4.18 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Dec 13 13:43:42 2007

EliTriIP v4.18 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\PowerDVD\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Program Files\Logitech\QuickCamAppWebInstall\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\recover\PowerDVD\Autorun.inf --> Eliminado, BackDoor.CMQ(inf)

Nº Total de Directorios: 7621

Nº Total de Ficheros: 99637

Nº de Ficheros Analizados: 24335

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

Thu Dec 13 13:48:59 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Dec 13 13:49:02 2007

EliBagle v10.78 (c)2007 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 7621

Nº Total de Ficheros: 99641

Nº de Ficheros Analizados: 18211

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 13 Dic 2007, 17:34

Pues tenias unos cuantos bichos ...

Tras reiniciar cuentanos si persiste alguna anomalia o ya está todo solucionado.

saludos

ms, 13-12-2007

Gore · Mensaje por **Gore** » 13 Dic 2007, 22:24

Bueno, las ventanas de "mensaje sospechoso" han dejado de aparecer pero mi messenger sigue enviando el virus a mis contactos. No sé si con esto hay algo q pueda hacer.

Muchas gracias por todo.

Mensaje por **msc hotline sat** » 14 Dic 2007, 07:25

Pues consigue uno de estos ficheros que envias y nos lo envias para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Una vez lo tengamos, tendrá las horas contadas :wink:

saludos

ms, 14-12-2007

Mensaje por **msc hotline sat** » 14 Dic 2007, 12:41

Recibida la muestra, se trata de una supuesta foto que se desempaqueta un fichero aparentando ser una direccion URL.

Trataremos de monitorizarlo y, si nos da tiempo, añadirlo a nuestras utilidades, de lo cual informaremos

ms.

Mensaje por **msc hotline sat** » 14 Dic 2007, 13:05

Pues es un Backdoor de IRC (IRCBOT) cuyo control y eliminacion implementamos en el ELITRIIP 4.19 de hoy

Como curiosidad, envia un ZIP con el nombre de foto_406-zip, y cuya extraccion ofrece una supuesta direccion de correo

picture-503.JPEG_josubilbao2@hotmail.com

que realmente es un fichero .com aunque no lo parezca, y el hecho de pulsar sobre dicha supuesta direccion, ejecuta el fichero e ingresa el virus en memoria, procediendo con lo que tiene programado, propagarse a traves de messenger enviando dicho fichero a los contactos

Un analisis con el VirusTotal ofrece pocas detecciones, ni NOD32, ni McAfee ni Avast ni AVG ... solo lo controlan 8 de 32, pero con el ELITRIIP que subiremos a las 16 h lo controlará y eliminará

Entonces descarguela y pruebela:

[quote]http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 14-12-2007

Gore · Mensaje por **Gore** » 14 Dic 2007, 18:24

Bueno, el caso es que un amigo me ha pasado el karspersky online y ha detectado 3 bichos y como nos daba la ruta donde estaban los hemos eliminado, o eso creemos. Tambien he pasado lo vuestro y el resultado es el siguiente:

Nº Total de Directorios: 7739

Nº Total de Ficheros: 101122

Nº de Ficheros Analizados: 24506

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Biennnnnnnnn, parece q por fin ya está totalmente eliminado.

Muchas gracias una vez más.

Mensaje por **lucl** » 14 Dic 2007, 19:42

El log de infosat debes pegarlo completo , saludos

Mensaje por **msc hotline sat** » 14 Dic 2007, 20:10

Mal hecho !

Con el Kaspersky ONLINE solo se detectan, no se eliminan los virus...

Y lo que has hecho de borrar los ficheros, sin eliminar las claves, deja el registro con los restos del virus.

Espero que gracias al ELITRIIP de hoy haya eliminado las claves, pero si no llega a ser por esto, no estaría correctamente eliminado, de todas formas no lo hagas mas asi, pues no siempre tendrás la suerte de tener a mano una utilidad que restaure el registro, ademas de que ni siquiera sabemos si lo ha hecho, al no encontrar ya los ficheros, por haberlos borrado previamente.

No costaba nada hacer lo que te indicabamos, y dejar de hacer otros inventos. Y si no vas a hacernos caso, no nos pidas ayuda !

Y ahora, como indica lucl, postea entero el contenido del infosat.txt, a ver si vemos algo mas, que nos interese mas que el resumen.

ms.

Gore · Mensaje por **Gore** » 14 Dic 2007, 23:39

He vuelto a pasar la utilidad y este es el resultado:

Fri Dec 14 23:11:23 2007

EliTriIP v4.20 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Fri Dec 14 23:11:26 2007

EliTriIP v4.20 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 7718

Nº Total de Ficheros: 100926

Nº de Ficheros Analizados: 24522

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

No es muy diferente q el anterior, no me aparece nada más, lo siento. En el anterior post tb puse todo lo q me aparecia.

No tengo casi ni idea de estas cosas y si hice caso de mi amigo es xq se ofreció y queria ayudarme al igual q vosotros. Quizas hice mal pero......... no era mi inteción.

Valoro mucho vuestro esfuerzo.

Un saludo.

Mensaje por **msc hotline sat** » 15 Dic 2007, 12:11

Bueno, si tras ello ya no aparecen anomalias, lo damos por solucionado, aunque hubieramos preferido eliminarlo con la utilidad que hicimos para ello, pues asi nos habría indicado lo realizado y estaríamos seguros...

En fin, lo damos por solucionado y procedemos a cerrar el tema

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 15-12-2007

problemas con el messenger. (SOLUCIONADO)

problemas con el messenger. (SOLUCIONADO)

AKI OS DEJO EL RESULTADO