Hola a todos, miren tengo un problema, un virus que se llama SRDSHD anda con otras variantes suyas en mi carpeta de Documents and Settings/Mi Nombre...igual en la carpeta de Wndows/Prefetch hay varias cosas con el mismo nombre y algunos ROOT(muchos numeros).exe . Ahora, le pase el killbox para eliminar estos archivos sospechosos, le pase el elistara y no se fue. Lo que hace es que me muestra a cada momento errores de proceso de windows, con el nombre de estos .exe's, y que se cerraran ("se ha detectado un problema y debe cerrarse")...igualmente me paso que satura de procesos la maquina
Ayuda muy agradecida!
Virus con rootkit? Elistara no lo elimina
-
CourageWolf
- Mensajes: 3
- Registrado: 08 Feb 2009, 22:41
Re: Virus con rootkit? Elistara no lo elimina
Puedes postear el log del Elistara?
Está en c:\infosat.txt Lo abres, copias todo y lo pegas en el siguiente post.
Está en c:\infosat.txt Lo abres, copias todo y lo pegas en el siguiente post.
Saludos.
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)
-
CourageWolf
- Mensajes: 3
- Registrado: 08 Feb 2009, 22:41
Re: Virus con rootkit? Elistara no lo elimina
Sun Feb 08 14:44:02 2009
EliStartPage v17.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 603
Nº Total de Ficheros: 2415
Nº de Ficheros Analizados: 1196
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
Sun Feb 08 14:50:10 2009
EliStartPage v17.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (F)
open=RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe
Por favor envienos el Ejecutable (copiado en C:\Muestras)
acompañado del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Sun Feb 08 14:51:00 2009
EliStartPage v17.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\Documents and Settings\Philip Piaget"
Nº Total de Directorios: 949
Nº Total de Ficheros: 5717
Nº de Ficheros Analizados: 832
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
el fichero que encontro es el que se ejecuta cuando inicio el windows
EliStartPage v17.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 603
Nº Total de Ficheros: 2415
Nº de Ficheros Analizados: 1196
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
Sun Feb 08 14:50:10 2009
EliStartPage v17.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (F)
open=RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe
Por favor envienos el Ejecutable (copiado en C:\Muestras)
acompañado del AUTORUN.INF a "
Sun Feb 08 14:51:00 2009
EliStartPage v17.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 6 de Febrero del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\Documents and Settings\Philip Piaget"
Nº Total de Directorios: 949
Nº Total de Ficheros: 5717
Nº de Ficheros Analizados: 832
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
el fichero que encontro es el que se ejecuta cuando inicio el windows
Re: Virus con rootkit? Elistara no lo elimina
Envianos esto y lo analizaremos
Detectado AUTORUN.INF en la Unidad (F)
open=RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe
Por favor envienos el Ejecutable (copiado en C:\Muestras)
acompañado del AUTORUN.INF a "virus@satinfo.es ". Gracias.
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
Detectado AUTORUN.INF en la Unidad (F)
open=RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe
Por favor envienos el Ejecutable (copiado en C:\Muestras)
acompañado del AUTORUN.INF a "
saludos
-
CourageWolf
- Mensajes: 3
- Registrado: 08 Feb 2009, 22:41
Re: Virus con rootkit? Elistara no lo elimina
ya envie esa muestra y tambien los .exe's que les habia mencionado
Gracias
Gracias
Re: Virus con rootkit? Elistara no lo elimina
Bien pues añadeles a todos extension .VIR para que no incordien y mañana se analizaran y te diran algo saludos
Re: Virus con rootkit? Elistara no lo elimina
A parte de hacer lo que te comenta lucl, busca SRDSHD.exe y renómbralo añadiéndole la extensión VIR
De manera que quedaría SRDSHD.exe.vir y lo envías de la misma manera.
Nota: Editado por haberlo posteado en paralelo con lucl
De manera que quedaría SRDSHD.exe.vir y lo envías de la misma manera.
Nota: Editado por haberlo posteado en paralelo con lucl
Saludos.
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)
________________________
If it ain't broke, don't fix it. (Si no está roto, no lo arregles)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Virus con rootkit? Elistara no lo elimina
Y unas cosas mas, prueba el SPROCES y posteanos el informe resultante
y si quieres, con el ELIMD5 puede detectar y eliminar las copias, si las hubiera de este troyano aun desconocido para nosotros, aplicando la cadena del MD5 o del SHA1 :
File Name : srdshd.exe
File Size : 33836 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : a282d8a4868edb238f083fba182afc03
SHA1 : 797e07d7d2b75c955fa719bb49f70611e787607f
ELIMD5.EXE
http://www.zonavirus.com/descargas/elimd5.asp
Tras ello postearnos el contenido de c:\infosat.txt para ver el resultado del proceso.
saludos
ms, 9-2-2009
ref
MX/DF+19.43-99.13
NOTA:
Evidentemente, aparte del AUTORUN.INF y del que este lanza, envianos el del motivo inicial de este Tema, el SRDSHD.EXE , (no el de la carpeta prefecth, de esta mejor borres su contenido)
Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:
[b]ELIPEN.EXE[/b]
http://www.zonavirus.com/descargas/elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
ms.
[quote][b]SPROCES(herramienta de investigación) [/b] http://www.zonavirus.com/descargas/sproces.asp
Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar[/quote]
y si quieres, con el ELIMD5 puede detectar y eliminar las copias, si las hubiera de este troyano aun desconocido para nosotros, aplicando la cadena del MD5 o del SHA1 :
File Name : srdshd.exe
File Size : 33836 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : a282d8a4868edb238f083fba182afc03
SHA1 : 797e07d7d2b75c955fa719bb49f70611e787607f
ELIMD5.EXE
Tras ello postearnos el contenido de c:\infosat.txt para ver el resultado del proceso.
saludos
ms, 9-2-2009
ref
MX/DF+19.43-99.13
NOTA:
Evidentemente, aparte del AUTORUN.INF y del que este lanza, envianos el del motivo inicial de este Tema, el SRDSHD.EXE , (no el de la carpeta prefecth, de esta mejor borres su contenido)
Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online