SINOWAL.EZV (SOLUCIONADO)

[bestebat]

Hola,



mi antivirus Kaspersky detecta en cada chequeo un virus llamado SINOWAL.EZV y no lo borra sino que lo desinfecta.



Mis dudas son:



Por qué no lo borra defi[b][i]n[/i][/b]itivamente y cómo se puede borrar para siempre, porque cada vez que enciendo el ordenador lo vuelve a detectar y desinfectar y esto no acaba nunca.

Una vez que lo ha desinfectado, puedo funcionar sin miedo a introducir contraseñas? O todavía tiene capacidad para captarlas y enviarlas? (He leído que su función es captar contraseñas bancarias etc...)



Gracias por la ayuda.



SAludos,



Carlos

[msc hotline sat]

Díganos donde se lo detecta, si está en ficheros, es un PWS que conviene nos envie para controlar y eliminar, pero si está en memoria puede tratarse de una variante que nos consta se instala en MBR:..



Si nos tiene que enviar ficheros para analizar, recuerde:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



nsm 20-10-2009

[bestebat]

Hola de nuevo,



os envío un pantallazo de lo que me aparece en el antivirus.



Saludos,



Carlos

[msc hotline sat]

Sí, tal como hemos tenido en otros casos, se trataba del MBR sobreescrito por el PWS en cuestion, lo cual por si el kaspersky no lo hubiera corregido totalmente (este bicho usa tecnicas stealth que toman el pelo) prueba de arrancar con el CD de instalacion, pulsa R para acceder a la consola de recuperacion y una vez alli ejecuta FIXMBR <emter>



Ello sobreescribirá el MBR, sin posibilidad de que las tecnicas stealth lo impidan, ya que no habrás arrancado con él sino con el CD de windows.



Y no es que dude de kaspersky, pero las pruebas que hemos hecho con el ELISTARA al respecto, aun no hemos podido burlar el engaño y si está en memoria, sobreescribimos la zona donde guarda el MBR real, que es el que nos enseña cuando queremos acceder a él. Por ello hemos de arrancar con un BART PE o con un RDCOMANDER y entonces sí que el ELISTARA ya lo detecta y corrige... nos falta saltar esta tontería :roll: :?



Tras probar lo indicado del FIXMBR, reinicia normalmente y cuentanos el resultado, gracias



saludos



ms, 20-10-2009

[bestebat]

Hola de nuevo,



he arrancado el sistema desde el CD y he pulsado R para repararlo, pero en el siguiente paso me pregunta sobre qué sistema de desea actuar y sólo me deja pulsar una letra. Aquí me atasco y no sé seguir. Qué debo pulsar en esta pregunta? Todavía no he ejecutado FIXMBR . Me quedo con la duda de si todo esto hace que se pierda alguna configuración previa del sistema.



Gracias por la ayuda.



Atte.

[msc hotline sat]

Me imagino que te pide la unidad física, dile la 1



Y no te preocupes, a donde sobreescribieras el MBR con FIXMBR no le harías ningun daño si es sistema operativo windows.



saludos



ms, 25-10-2009

[bestebat]

Hola,



he dado los pasos redactados en el punto anterior y reiniciado. Tras 2 min. el antivirus me ha vuelto a detectar el mismo virus. Me faltaría algo por hacer?



Gracias

[msc hotline sat]

Algo te lo regenera.



Voy a ver cuando controlamos este en MBR, de donde salió, creo que fgue el Bredolab.



Sí, ahi tienes: https://foros.zonavirus.com/viewtopic.php?f=12&t=29863&p=165615&hilit=sinowal+MBR#p165615



Como que habia ZBOTS al mismo tiempo, descarga estas dos utilidades en la misma carpeta:




[quote="msc"]


ELISTARA

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Y prueba el ELISTARA, y tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Si con ello no es suficiente, posteanos el informe generado por el SPROCES:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 25-10-2009





NOTA: Pero cuando hayas descargado los ficheros, arranca en consola y lanza el FIXMBR, luego acto seguido arrancas en MODO SEGURO para lanzar el ELISTARA, pues arrancando en modo normal volvería a ejecutar el malware. A ver si asi conseguimos eliminar el fichero que lo cause, antes que vuelva a infectarnos el MB. ms.

[bestebat]

Hola de nuevo,



he pasado el elistara junto al dll en la misma carpeta y parece que ya no sale el virus.



Os adjunto el informe txt que ha generado.



No he pasado el elistara en modo consola porque no se a qué os referís con eso, lo he pasado en modo normal y parece que ya no sale nada.



Saludos

[msc hotline sat]

Era el FIXMBR lo que te decia que lanzases desde la CONSOLA DE RECUPERACION, arrancando conel CD de instalacion, para luego arrancando en MODO SEGURO lanzar el ELISTARA, pero la nueva tecnica del ELISTARA que estamos ensayando, ha detectado el RootKit en el MBR y lo ha eliminado:





(27-10-2009 14:08:28 (GMT))

EliStartPage v19.56 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"

Eliminados Ficheros Temporales del IE

[b]Detectado Trojan.Mebroot(mbr) en MBR del HD1

Restaurado MBR del HD1[/b]





Pues muy bien ! Nos ha servido para comprobacion de lo indicado en



http://www.zonavirus.com/noticias/2009/rootkits-cazapasswords-en-el-mbr-generados-por-ficheros-descargados-por-el-bredolab.asp



Ahora diganos si tras reiniciar persiste algun p`roblema o ya podemos dar por solucionado el Tema, gracias



saludos



ms, 27-10-2009

[bestebat]

Pues parece que el tema está resuelto, no ha vuelto a saltar el cotidiano chillido del antivirus al encender el ordenador.



Muchas gracias por la ayuda.



Saludos

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 28-10-2009