Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Ayer mi hermano acepto un archivo llamado "foto_celular" y como ya sabia era un virus (el no estaba al tanto de eso), ayer logre elminarlo de la PC utilizando los consejos de un amigo que le sucedio recientemente.
Pero hoy mi hermano, sin haber aprendido la leccion, volvio a aceptar el archivo foto_celular, y esta vez no puedo eliminarlo como hice antes, podrian decirme como puedo sacarlo de mi pc?

Hola y bienvenido al foro!!! Mira este link http://www.forospyware.com/t92153.html que te paso a continuación ya que se te explica cómo eliminar malwares del Msn Messenger. Una vez que estés limpio del foto celular recuerda desinstalar el Msn e instalar el Windows Live que es mucho más seguro que el anterior.



Saludos y buena suerte

Hice eso miles de veces pero el problema persiste, incluso desinstale el Windows Live para intentarlo sin tener un programa al cual el virus pueda afectar. El MSN Cleaner borra los archivos pero vuelven a aparecer al cabo de unos segundos. Al CCleaner le sucede lo mismo, reparo los registros pero a la vez que los archivos que el MSN Cleaner borro reaparecen, los errores vuelven.
Incluso ahora me aparece que el archivo "C:\WINDOWS\system32\ntoskrnl.exe:kernel" (no se si tendra algo que ver) esta infectado con el "Rootkit.Win32.Agent.dm" el cual el AVG Anti-Rootkit no logra encontrar, y mi anti-virus (Kaspersky) me sugiere eliminarlo, aunque el mismo mensaje se repite varias veces no importa cuantas veces me le de a eliminar.

Hola de nuevo!!! Vamos a probar ahora lo siguiente a ver si así lo eliminamos.

Descargate EliStarA (http://www.zonavirus.com/datos/desca.../EliSt arA.asp)

- "Apaga Restaurar Sistema" (http://www.forospyware.com/292280-post2.html)

- "Reinicia a prueba de fallos" (http://www.forospyware.com/292284-post4.html)

- Ejecuta EliStarA

- Reinicia el PC a "Modo normal".

-Pásale el CCleaner para borrar archivos temporales marcando en la opción de Limpiador y en la opción Registro para eliminar entradas de registro obsoletas ( hazlo repetidas veces hasta que no quede ninguna entrada por borrar).

Por último, nos comentas cómo te ha ido.


Saludos

El problema sigue, siguen apareciendo ambas cosas (el virus de foto_celular y el rootkit). Y restaurar sistema se reactiva solo cuando reinicio la PC en modo normal. El Elistara ya lo tenía desde antes al igual que el SUPERAnti-Spyware, y sigue siendo lo mismo, cuando paso el elistara elimina archivos y mas tarde vuelven a aparecer, mientras que el SUPERAnti-Spyware no encuentra nada. Hay algo que me esta molestando, cuando pasa el elistara me da 2 advertencias:
1- Windows Update tiene un error
2- No se puede tener acceso a la sesión de mi hermano.
¿esto tiene algo que ver con el problema del virus?

Hola nuevamente!!! Para eliminar el troyano del FOTOS_CELULAR hay que descargarse la última versión del ELISTARA y no sé si analizaste la PC de esta manera. Una vez descargada la última versión del Elistara haz, por favor, lo siguiente:

En primer lugar, debes apagar restaurar el sistema. En segundo lugar, reiniciar en modo seguro, escaneas con el Elistara y, finalmente, arrancas normalmente y haces un copia y pega con el log de infosat.txt que te haya generado en tu próximo post para que veamos el resultado.

ELISTARA:

http://www.zonavirus.com/datos/desca...8/elistara.asp

Después de hacer uso del Elistara hay que continuar haciendo lo siguiente ( cualquiera de las 2 opciones es válida). Elige la que quieras. Yo que tú probaría la segunda, sobre todo, si tu sistema operativo no es original ( entonces, la primera opción no te serviría de nada).


Una vez hecho lo anterior, debes restaurar el fichero NTOSKRNL tanto de la carpeta de sistema como de la de DLLCACHE, para lo que puede hacerse: 1) una REPARACION de windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate , o bien mas fácil y que ha funcionado hasta ahora en los casos que lo hemos probado:

2) Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema.


Si haciendo lo que te menciono aún no se soluciona sigue las instrucciones que aparecen en el siguiente enlace Eliminar Malwares de MSN (Mensajería Instantanea).




Saludos y suerte

Lo dle link ers lo primero que hice de todo (me lo paso un amigo al link) y no me funciono en nada...
El NTOSKRL no me aparece en la carpeta dllcache...
Solamente en la de system32, y ademas ya he intentado todo lo que me dijiste y aquí dejo mi log:


Tue Aug 21 00:24:27 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
Eliminada Class, "{014DA6CB-189F-421A-88CD-07CFE51CFF10}" -> C:\Archivos de programa\MySearch\bar\1.bin\S4BAR.DLL
Eliminado Servicio, "Oddysee"
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 00:26:11 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Tue Aug 21 10:54:07 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
Eliminado Servicio, "Oddysee"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 15:08:06 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminado Servicio, "Oddysee"
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE

Tue Aug 21 15:08:36 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Tue Aug 21 15:13:39 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.

Tue Aug 21 15:14:19 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 15:31:07 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.

Tue Aug 21 15:51:43 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.

Tue Aug 21 15:52:13 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 15:55:46 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 15:56:06 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Tue Aug 21 16:14:49 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular
C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).
Eliminado Servicio, "Oddysee"
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:16:15 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:16:35 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:16:53 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:21:03 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:27:36 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular
C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:28:41 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:28:56 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:30:35 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:30:44 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.

Tue Aug 21 16:33:03 2007
EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Aug 21 16:33:11 2007
EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Aug 21 16:33:12 2007
EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Exploración Detenida por el Usuario.

Tue Aug 21 16:33:37 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:35:05 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:35:41 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:38:30 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE

Tue Aug 21 16:38:38 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Tue Aug 21 16:54:28 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Wed Aug 22 10:26:12 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminado Servicio, "Oddysee"
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE

Wed Aug 22 10:26:25 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Wed Aug 22 11:02:14 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\FOTO_CELULAR.SCR.Muestra EliStartPage v14.50
a "virus@satinfo.es". Gracias.
C:\FOTO_CELULAR.SCR --> Eliminado
C:\FOTO_CELULAR.ZIP --> Eliminado
C:\WINDOWS\SYSTEM32\ODDYSEE.EXE --> Eliminado MalWare.Celular
C:\WINDOWS\SYSTEM32\Dllcache\KLOG.DAT --> Eliminado (Fichero Complementario).
Eliminado Servicio, "Oddysee"
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Wed Aug 22 11:02:22 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Wed Aug 22 12:26:11 2007
EliBagle v10.41 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Aug 22 12:26:29 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.

Wed Aug 22 12:26:59 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Hola nuevamente!!! Haz lo siguiente. Apaga restaurar el sistema, reinicia en modo seguro, activa la opción ver archivos ocultos http://www.forospyware.com/292282-post3.html ( aquí se te explica cómo se hace) y mira a ver si encuentras el archivo en la carpeta dll cache. En caso afirmativo sigues los pasos de renombrarlo como te dije en mi anterior post.

Por cierto, tu windows es original?. Lo digo porque si es así podrías probar la primera opción que te mencioné la de reparar el sistema.


P.D. Te faltan algunos actualizaciones de Microsoft por instalar así que lanza tb un Windows Update.



Saludos

descargate un antirootkit te recomineod el avg y nos cuentas tus resultados

Ya dije que pase el AVG Anti-Rootkit y no lo encontró...
El archivo ntosrknl no esta en la carpeta dllcache ni en la de driver cache / i368 (siempre tengo el modo de ver archivos ocultos activo).
Y mi windows no es original.