Posible Virus por Messenger® // foto_111.zip
Posted by adrian | Under Alertas, General, Noticias, Personales Jueves Feb 28, 2008No es comun de mi que comente estas cosas, no soy de adaptarme a cadenas de email que dicen ¡Nuevo VIRUUUUS!, ni mucho menos otras de menor importancia. Principalmente porque se que muchas de estas son generadas por personas que no tienen nada mas que hacer que inventar algo.
pero ese no es el tema
Es un aparente Virus o gusano
Y quiero comunicar de que se trata.
Es un gusano que se mete a travez de messenger, trabaja de esta manera.
Puedes o no, estar hablando con un contacto (el contacto ya se encuentra infectado) y recibes una invitacion de el diciendo que tiene lista una foto, o sus nuevas colecciones, o las fotos editadas en photoshop; una vez dicho esto envía un archivo llamado FOTO_111.ZIP; si le dan el ok permiten que ingrese a tu maquina y cada tanto hace un repaso de tus contactos enviandoles el mismo archivo.
Se daran cuenta que este reside en sus maquinas por el simple hecho de que al estar hablando con alguien las ventanas de charla desaparecen, y comienzan a titilar todas las demas correspondientes a los contactos que se encuentran conectados, y este es el momento en donde el virus esta pidiendo el ingreso a la maquina.
inteligente? IDIOTA! diría yo. Lo mas triste es que varios caemos en el juego.
Y digo “posible virus” porque aun no se que daños causa en el equipo, y no quisiera experimentarlo, lo unico que espero es que no sea un sistema para que entremos a facebook.com, porque los denuncio!
De momento me encuentro intentando eliminarlo de mi pc.
Si descubro como lo publico en el blog. Y si alguien lo descubre antes que yo, pues que lo publique.
—-
La invitación
El archivo
gracias por comentarlo pero ya encontraste un estúpido que ingreso a la trampa
lo peor es que recien me di cuenta cuando habrí el win zip y después de ejecutarlo busque el nombre del archivo para ver que era y encontré tu comentario. cualquier cosa avisa me si encuentras la manera de sacarlo
una pregunta. yo despues de ejecutar foto_111.zip la primer reaccion que tube fue recetear la pc(moco).
eso significa que ya estoy infectado verdad? o recien me infectare cuando salga un contacto invitándome una conversacion
Como primer paso, vayan a documents and settings\usuario\local settings\temp y ahí encontrarán uno o varios archivos llamados foto_xxx.zip donde las x pueden ser varios números. Eliminen todos estos archivos. Es más, yo eliminé todo el contenido de esta carpeta temp. Hagan esto para cada usuario que haya dentro del directorio documents and settings. Hasta el momento, esto me ha servido. Encontré esta ubicación gracias a que tengo el Messenger configurado para guardar todas mis conversaciones, y en el archivo xml de las bitácoras, sale la ubicación desde donde se trata de enviar el archivo.
Il tuo PC è sicuro in questo FarWeb?
E’ da qualche anno che son diventato un assiduo navigatore del Web e sempre più, mio tocca riconoscere che più che il Web, questo è un FarWeb.
Sito che vai e spyware che trovi…
Non sempre l’antivirus è sufficiente (io uso AVG della Grisoft – è gratuito e funziona bene –
) ed è dunque necessario installare un buon Antispyware (io uso l’Antispyware di MS – anche lui gratuito e funzionale 
)
Ma il dubbio c’è sempre (soprattutto quando compro qualcosa online con carta di credito pre-pagata)!
Il virus foto_111.zip ed è installare pour ladaifa delle hotmail.com
Da questa settimana però, il dubbio ce lo si può togliere gratuitamente e quando si vuole.
Almeno una volta a settimana (solitamente prima di andare in pausa pranzo), faccio girare Windows Live Safety Scanner sul mio pc.
Se ci sono Virus, spyware o altri malware, Safety scanner li rimuove ed io (almeno per qualche ora posso dire di non avere malware nel pc).
Provare per credere
!
EL_JUANMA:
Simplemente te das cuenta de que estas infectado porque durante las conversaciones este virus interrumpe bloqueando las ventanas, y este es el momento en que está enviando las invitaciones.
Ahora si, como dice JP, estos archivos residen en la carpeta de temporales, en mi caso “C:\WINDOWS\Temp”, pero pienso que debe haber algun tipo de pequeño ejecutable que da la orden a que estos se envíen, ya que no creo que se ejecuten desde dentro del zip.
Y respondiendo al Italiano… aunque no entiendo mucho…
Si, es cierto que podemos probar un antiSpyware (recomiendo SpyBot s&d, gratuito) y con un buen antivirus, aunque para este no tengo recomendaciones, pero si queremos uno gratis podemos optar por ClamWin o el que recomienda en este caso trattoria, que es el AVG…
Una más… ¿Con la limpieza del temp es suficiente? yo corri varios antivirus/spyware pero todavia no me animo a reabrir el msn…
antes de descomprimir el zip, lo analice con el NOD 32 (ANTIVIRUS) y no lo detecto, y como no lo detecto instintivamente(estupidez nata) me mande a ejecutarlo, despues me di cuenta que no era una imagen cuando lei “archivo ejecutable”, ahora estoy mandanod mails a mis contactos, espero que no crean que es una cadena.
supongo que para sacarlo tendre que formatear el disco??
JP.. ingrese a la carpeta segun tus indicaciones, y el archivo o los archivos no me aparecen :S
porfavor alguien ayudeme a quitar esta mierda de mi PC plZ
CREO QUE LOGRE SACARLO
LO ENCONTRÓ EL NOD 32 DESPUÉS DE UN RATO PERO NO ME FIGURO COMO GUSANO SI NO COMO UN TROYANO, NO C POR QUE, DE ENTRADA NO LO RECONOCIÓ COMO UN VIRUS. DESPUÉS DE ANALIZARLO UN RATO Y ACTUALIZAR EL ANTIVIRUS LO ENCONTRÓ PRIMERO NO LO ELIMINA POR QUE ES UN ARCHIVO DEL SISTEMA O ALGO ASI, TUVE QUE ELIMINAR EL ARCHIVO INFECTADO
ESTA EN
archivo C:\WINDOWS\system32\crtmon.exe.
CREO QUE YA NO TENGO EL VIRUS, NO C COMO COMPROBARLO AHORA MIS CONTACTOS NO ME RESPONDEN POR QUE LES DIJE QUE EL VIRUS SE TRANSMITIA POR EL MESSENGER JEJEJE UNA KGADA TRAS OTRA.
ESPERO QUE LES SIRVA LA INFORMACION. SI ES INCORRECTA POR FAVOR HAGANMELO SABER,
NO C COMO COMPROBAR SI SIGO O NO INFECTADO
ESTO FUE LO QUE SALIO EN EL NOD 32
Se ha detectado infección
con (Troyano) Win32/IRCBot.AAH
en la memoria operativa.
No puede ejecutarse acción cuando el archivo está
en la memoria operativa. Pulse en el botón
[Sin acciones] para continuar con la desinfección
de los discos locales.
La infección en la memoria operativa ha sido
originada en el
archivo C:\WINDOWS\system32\crtmon.exe.
Yo pase el antivirus(que ademas es el mismo que el tuyo, Nod32), y no encontro nada.. y fui a la direccion quemencionaste y no encuentro ningun archivo con ese nombre.. porfavor revisa bein si ese era el nombre del archivo.
Yo usé varios Antivirus y ninguno encontró nada. Entonces utilicé el antivirus más efectivo pero más lento que existe: Google. Con Google y con los archivos .xml de logs de mis conversaciones por Messenger (yo lo tengo configurado para guardar toda la historia de mis conversaciones) logré dar con la ubicación en mi computadora de los archivos .zip, ya que sí queda grabado el intento de enviar el archivo. Así fue como los pude eliminar todos. Por otro lado, encontré el un virus en un archivo llamado registry32.exe. El nombre del archivo me pareció muy sospechoso, y verificando sus propiedades y buscando información, resulta que sí es un virus del tipo BD.Lithium Backdoor. Eliminando el archivo y buscando sus instancias en el registro para borrarlas también, se acabó el problema para mí. Recomiendo paciencia y mucha investigación para eliminar esto. Hasta ahora no he tenido más problema con el messenger, pero sí digo que no tuve suerte con ningún antivirus, tuve que eliminar esto manualmente.
EL_JUANMA no creo que si o si debas tomar la opción de formatear tu disco duro, por lo menos deberíamos seguir intentando.
Leyendo los comentarios y haciendo tambien mis propias pruebas ademas de ir sacando conclusiones.
Primero, lo que pude ver es que el virus no siempre se ejecuta bajo el nombre foto_111, sino que además puede hacer un “random de números”, ejemplo foto_114; foto_118, etc. Y que el archivo crtmon.exe no reside en mi pc, ni aquel llamado registry32.exe. Y el troyano que menciona EL_JUANMA, con el nombre IRCBot.AAH (creo que este virus también entra en lista de los backdoor) el nombre está un poco relacionado, habría que ver; ahora si el virus es del tipo BD, responde a una de las cuestiones que tenía en mente.
Yo había eliminado el archivo correspondiente de mis “Temp”, pero varias veces vuelvo a ver y este reaparece. Lo mas probable es que este se esté conectando a un servidor y descargue los archivos en modo oculto. Lo que hace casi imposible que podamos eliminarlo totalmente de nuestra pc.
Para buscar estos archivos en su pc, para quienes no sepan como llegar a el, sigan estos pasos.
1-Abrir menú inicio
2-dar click en “Buscar” o presionar la tecla “B”
3-En el campo de búsqueda de archivos ponemos:
foto_* y damos enter.
el * (asterisco) funciona como comodin; tratará de buscar cualquier cadena alfanumerica que siga del la palabra antepuesta.
Un consejo más.
Para poder comunicarse con sus contactos sin que el virus se pueda enviar, pueden hacerlo poniendose como “NO CONECTADO”; de esta forma el archivo no se puede enviar, ya que Messenger no permite el envío de documentos en este estado.
Por ahora solo intentaré descompilar a este desgraciado…
La posible solucion en el siguiente post
Aun nadie da una solucion convincete.
Sigo con este virus de mierda en mi computador.
Help.
acá está la solución, ayer fue publicada. Solución a virus foto_xxx.JPEG-www.facebook
em… osea que el virus era el que me detecto no mas, o tengo que hacer el procedimiento que indicas para sacármelo
Si ves que este no se esta enviando, pues ni modo, no hace falta ya, pero ahora si no, te recomiendo que limpies tu pc. Y sigas las recomendaciones del otro post. Luego me cuentas.
pues parece que ya no lo tengo pero la preocupacion me hizo meter la pata
vaje el AVG, y algunos anti spyware, ahora analizando con el nod32 me aparecen varios archivos protegidos por contraseñas y con los anti spyware a cada rato me detecta un espia.
es norma?
ACABO DE PASAR EL PROGRAMA QUE SEÑALO HECTOR, Y PIDE LICENCIA.. NO SE DE DONDE SACARLA Y NOD32 NO RECONOCE AL ARCHIVO COMO VIRUS..
COMO SACO ESTO DE MI SISTEMA!
EL_JUANMA: Es normal que los archivos de estos programas antispyware posean bloqueados o protegidos sus archivos con contraseñas; mira ayer vino una persona con su maquina (yo no arreglo pc’s) y me muestra que había ingresado un Virus, y tenía instalado un antispyware de lavaSoft, el Ad-Aware, y durante el anlisis ocurrió esto que dices, los archivos de este programa se encotraban protegidos por contraseña. Y no se que tan conveniente puede ser tener instalados dos antivirus. Yo por mi parte te aconsejaría que sigas con el Nod32, que manteniendolo con sus actualizaciones vale la pena.
Y por ultimo, como programa antiSpyware te recomiendo el SpyBot S&D http://www.safer-networking.org/es/index.html
Rodrigo, no tengo idea de que programa señaló Hector, pero, con el Nod32 lo quitas, solamente nescecitas tener bien actualizada la base de virus, nada más. Y el procedimiento para una desinfección segura se encuentra en http://www.image-solutions.com.ar/blog/?p=28
sería en el siguiente post.
Espero que te sirva.
lo mejor es que antes de eliminar el virus o archivo desinslaten el messenger, y luego al limpiar la pc de cualquier archivo arriba mencionados, volver a reinstalar el messenger, a mi me funciono.
Adrian, ya que me agregaste.. contesta porfavor.. o desbloqueame siesquelo hiciste. Ademas, porfavor alguien tirese un link con lalicencia para el Prevx CIS porfavor. Gracias.
oigan el achivo foto_111.zip yo lo elimine con el panaantivirus lo encontre el achivo en mis documentos y venia como lo marca el nonbre y lo bueno era que mi compu sta protjida y t avisa si tiene algun virus XD
ojala y les sirva
Hola a todos, les comento que yo tenía el trojano en mi maquina y me llego por medio del messenger, lo elimino el ESET NOD 32, lo corri desde la pagina de ESET de manera gratuita, es muy buena esa herramienta. Lo detecto y no lo pudo limpiar pero lo elimino de la maquina, comento esto para que no pierdan su tiempo formateando la maquina, con esto se soluciona el problema.
Saludos a todos y espero que les funcione de manera correcta.
eres atrasao
Por que razon?
hey ps aqui sta otro pendejo que cayo, pero no me aprecio en forma de foto comprimida, a mi me llego una invitacion de una postal, y como el contacto era una persona conocida decidi abrirla, pero no se pudo y ahora resulto que cada cierot tiempo(no se cunato exactamente) se envia la mima invitacion a mis contactos =S. diganme como quitarlo porfa, por lo pronto desisntale el messenger =S
el NOD32 detecto el gusano pero no puedo hacer nada, esto es lo que me aparece:
Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\Users\Nemesis\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2L36HXX0\metropostal[1].exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.
y manualmente no lo puedo
quietar por que no lo encuentro =S
diganme que puedo hacer???
A mí me apareció la transferencia de la foto y le pregunté a la persona que me lo envíaba qué era ese archivo, y me respondió que eran unas fotos, yo le dí aceptar y ahora estoy padeciendo el virus.
¿qué puedo hacer para eliminarlo?
tengo en mismo problema
mi antivirus(NOD32) me lo reconoce como 1 troyano pero no lo puede eliminar porq se encuentra alojado en la memoria operativa.
no se q mas hacer!
por favor alguna solucion urgente!!!!
Hola Yo soy victima de uno de esos virus por msn pero ami fue algo diferente me decia alguien de mi msn que mira esta animacion de bush y te pasa la pagina es como si te dijeran mira este video en youtube y te pasaran la pagina no vas a creer que es un virus y asi cai es uno de los mas recientes y se propaga hacia la gente que te hable en el momento o que tu les hables te das cuenta cuando le das y se va la ventana hay lo envio
miren si esta alojado en su memoria operativa lo mas factible es formatear su pc lo mas rapido posible por que dudo mucho que un antivirus elimine un virus alojado en la meoria operativa…. de todas maneras me han dicho que el carpesky [Creo Que Se Escribe Asi] que es muy bueno es un antivirus me dijeron amigos que saben de ello que da con el virus en el acto como dije anteriormente yo lo tengo hace 2 dias voy a intentar con ese haber si se elimine lo publico hasta luego y suerte
lo mas necesario que le digan la verdad a sus padres lo mas rapido posible por que yo descargando el otro dia el gta san andreas yo lo descargue muy normal pero se paralizaba mucho y luego dio con no querer entrar en internet mi mama lo llevo a compucad y cuando la arreglaron era un gusano de internet eso puede alojarse en el disco duro y quemar la computadora tengan mucho cuidado con eso gracias a dios la mia nada mas no quieria entrr en internet
algun comentario pubiquen aqqui yo lo podria ayudar
mi pc esta infectada nop puedo abrir mi mail cuando chateo seme bloquea y ya no puedo combersar alguien ayudamen por favor como puedo desinfectarlo
ps no c ante este virus no habra nada q hacer solo denunciar
hola,a mi tambien me llego el mismo virus, puedo accesar a mi msn, pero cuando estoy platicando con alguin se cierra las ventanas y titlea todo lo que estoy haciendo , mandandose a los msn, de mis amigos,mi antivirus NOD32 no lo detecta ,en mi PC, solo aparece en mi msn, necesito ayuda, que hago, ya desistale el msn pero ni asi me detecta el virus, se infecto mi sistema operativo o no ????? no se detecta y no encuentro donde puede estar guardado, ya intente lo de JP, pero no me aparece y tambien se me manda cuando me coloco como no conectada ayuda?????
hola… no tengo ni idea de lo que pasa con esto ayuden plis… a mi no me llego ningun archivo de fotos…. creo… no se como manejar esto… se supone que mi antivirus spyware y todo eso se actualiza diario y detecta quien sabe que tantas cosa pero esto no deja de enviarse a mis amigos incluso si estoy como no conectado… ayuda por favor. gracias
Hi, yo lo acabo de recibir, uso Avast actualizado a la fecha, y automaticamente me lo detecto e impidio ke me infectara (bloqueo web), dcho archivo me mandaba a la página
http://estas-tuo.com/mamita.exe?=lusberto777@gmail.com
Por si a alguien le aparece de esta manera, ke evite abrir la dirección.
Hola les informo que hay un nuevo virus que no es de cerdito el virus es uno ke te dicen: mira estas fotos tuyas http://axiomsolution.com/fotos-01712.com
como sea no hagan click en la pagina pos les entra el virus si lo hacen
espero averles dado informacion valiosa
Atte:Lucila
Hay alguna forma de quitar ese virus¿¿ No hay nada peor que los hermanos pequeños :@
por su seguridad cancelen los virus…..
que chido son los comentarios de cada uno uuuuuuuuuuuuu—__—_-_-_-_-_-
Hola soy marissa, hace dos noches un contacto de mi mess, ESTANDO EL COMO DESCONECTADO, me mandó ey mira las fotos ke nos tomamos etc,, yo fui a pikar el link de tonta, pero automaticamente mi antivirus me blokeó cualkier opcion de ejecutar o abrir el archivo avisándome de ke era un virus; gracias a eso no llegué ni a abrir ni a ejecutar nada de nada, por cierto mi antivirus es el KASPERSKY DE ESTE AÑO 99.
Por cierto,,, todos mis contactos, o la inmensa mayoria están infectados y ni lo saben, y es dramático ver como se me abren multiples ventanas en el mess todas con la invitación esta de las fotos de las narices, me siento como acorralada entre serpientes, espero ke me podais decir si de momento estoy segura o tengo ke hacer algo para protegerme, gracias a todos.
hola, soy marissa de nuevo, me acaba de comunicar uno de mis contactos ke padecía este virus ke lo ha conseguido eliminar con con Msncleaner y livekillcleanmessenger
dice ke ya ni tiene problemas con el mess, ke le funciona con normalidad, y ke sus contactos ya no reciben el señuelo del virus, ojalá os sirva a todos de algo; yo he revisado de arriba a bajo mi pc y lo tengo limpio, BENDITO KASPERSKY LO RECOMIENDO A TODOS,ME HA SALVADO PERO BIEN SALVADA. BESOS.
hola a todos a mi me mandaron una frase que decia esta foto soy yo? y un link para pinchar yo pinche y me salio la pagina del mozilla y un recuadro diciendo si queria guardar el archivo o cerrarlo yo vi ya algo raro y le di a cerrar no se si al no darle a guardar no lo pille que clase de virus es cmo sabre si lo tengo y que daños puede hacerme?ojalaz me ayudeis
UNA HIJA DE …. MA PASAO EL VIRUS, Q AGO??
@NERE en este enlace del siguiente post, dejé las instrucciones de como remover el virus. Muchas gracias a todos por sus comentarios. Espero lo resuelvan.
http://www.image-solutions.com.ar/blog/?p=28