Ayer, mientras navegaba con FF, en un windows XP y protegido
08/02/2012 18:41:54 Nombres de definiciones de detección en EXTRA.DAT = Ninguno
08/02/2012 18:41:54 No analizados (se agotó el tiempo de espera del análisis) NT AUTHORITY\SYSTEM C:\Archivos de programa\Network Associates\Common Framework\McScript_InUse.exe C:\WINDOWS\Temp\Cbmgr22749
08/02/2012 18:42:05 No analizados (se agotó el tiempo de espera del análisis) NT AUTHORITY\SYSTEM C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe C:\Documents and Settings\All Users\Datos de programa\Network Associates\Common Framework\Db\Agent_P4.xml
08/02/2012 18:42:05 No analizados (se agotó el tiempo de espera del análisis) P4\IGNACIO C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\Documents and Settings\IGNACIO\Datos de programa\Mozilla\Firefox\Profiles\q95a9g6l.default\sessionstore-1.js
08/02/2012 18:42:06 No analizados (se agotó el tiempo de espera del análisis) P4\IGNACIO C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\WINDOWS\Fonts\trebuc.ttf
08/02/2012 18:54:07 No analizados (se agotó el tiempo de espera del análisis) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\abiosdsk.dll
08/02/2012 18:54:07 Eliminado(s) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\abiosdsk.dll ZeroAccess.dr.gen.d (Troyano)
08/02/2012 18:54:34 No analizados (se agotó el tiempo de espera del análisis) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\nmwcdcj.dll
08/02/2012 18:54:34 Eliminado(s) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\nmwcdcj.dll ZeroAccess.dr.gen.d (Troyano)
08/02/2012 18:55:33 No analizados (se agotó el tiempo de espera del análisis) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\antivirscheduler.dll
08/02/2012 18:55:34 Eliminado(s) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\antivirscheduler.dll ZeroAccess.dr.gen.d (Troyano)
08/02/2012 18:56:36 No analizados (se agotó el tiempo de espera del análisis) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\https-admserv61.dll
08/02/2012 18:56:36 Eliminado(s) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\https-admserv61.dll ZeroAccess.dr.gen.d (Troyano)
08/02/2012 18:57:33 No analizados (se agotó el tiempo de espera del análisis) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\gpc.dll
08/02/2012 18:57:34 Eliminado(s) NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\gpc.dll ZeroAccess.dr.gen.d (Troyano)
Inmediatamente comprobé que, al abrir la consola de McAfee me aparecía el siguiente mensaje de error:
y, además, al tratar de acudir a la web de PANDA para hacer un scan online me redireccionaba a páginas no deseadas.
Acudí a vosotros y descargué y ejecuté sucesivamente ELIBAGLA, ELISTARA y, alertado por los mensajes de este último, ELISIREF. Adjunto el resultado:
(8-2-2012 19:10:51 (GMT))
EliBagle v14.19 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2011)
----------------------------------------------
Usuario: IGNACIO
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1004
Lista de Acciones (por Acción Directa):
(8-2-2012 19:10:52 (GMT))
EliBagle v14.19 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2011)
----------------------------------------------
Usuario: Laura
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1006
Lista de Acciones (por Acción Directa):
(8-2-2012 19:10:52 (GMT))
EliBagle v14.19 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2011)
----------------------------------------------
Usuario: Lander
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1007
Lista de Acciones (por Acción Directa):
(8-2-2012 19:10:52 (GMT))
EliBagle v14.19 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2011)
----------------------------------------------
Usuario: Invitado
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-501
Lista de Acciones (por Acción Directa):
(8-2-2012 19:32:14 (GMT))
EliBagle v14.19 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2011)
----------------------------------------------
Usuario: Invitado
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-501
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 35646
Nº Total de Ficheros: 239420
Nº de Ficheros Analizados: 26711
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(8-2-2012 19:40:26 (GMT))
EliStartPage v24.83 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 8 de Febrero del 2012)
--------------------------------------------------
Usuario: IGNACIO
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1004
Lista de Acciones (por Acción Directa):
Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB5660$"
C:\DOCUMENTS AND SETTINGS\IGNACIO\CONFIGURACIÓN LOCAL\DATOS DE PROGRAMA\6D6B8488\X --> Eliminado
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(8-2-2012 19:41:04 (GMT))
EliStartPage v24.83 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 8 de Febrero del 2012)
--------------------------------------------------
Usuario: Laura
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1006
Lista de Acciones (por Acción Directa):
Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB5660$"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(8-2-2012 19:41:20 (GMT))
EliStartPage v24.83 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 8 de Febrero del 2012)
--------------------------------------------------
Usuario: Lander
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-1007
Lista de Acciones (por Acción Directa):
Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB5660$"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(8-2-2012 19:41:31 (GMT))
EliStartPage v24.83 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 8 de Febrero del 2012)
--------------------------------------------------
Usuario: Invitado
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-501
Lista de Acciones (por Acción Directa):
Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB5660$"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(8-2-2012 20:32:19 (GMT))
EliStartPage v24.83 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 8 de Febrero del 2012)
--------------------------------------------------
Usuario: Invitado
ID de Usuario: S-1-5-21-602162358-1336601894-1417001333-501
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 35593
Nº Total de Ficheros: 238103
Nº de Ficheros Analizados: 71922
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(8-2-2012 20:34:58 (GMT))
EliSirefef v1.51 (c)2012 S.G.H. / Satinfo S.L.
----------------------------------------
Lista de Acciones (por Acción Directa):
Detectado Sirefef(RootKit)
Reinicie el Sistema para Completar la Limpieza.
(8-2-2012 20:47:37 (GMT))
EliSirefef v1.51 (c)2012 S.G.H. / Satinfo S.L.
----------------------------------------
Lista de Acciones (por Acción Directa):
Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB5660$
Por favor, envienos una muestra del fichero
C:\Muestras\atksgt.sys.Muestra EliSirefef v1.51
a "
(8-2-2012 20:49:18 (GMT))
EliSirefef v1.51 (c)2012 S.G.H. / Satinfo S.L.
----------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 361
Nº Total de Ficheros: 1697
Nº de Ficheros Analizados: 271
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
(8-2-2012 20:56:14 (GMT))
EliSirefef v1.51 (c)2012 S.G.H. / Satinfo S.L.
----------------------------------------
Lista de Acciones (por Acción Directa):
Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB5660$
Por favor, envienos una muestra del fichero
C:\Muestras\atksgt.sys.Muestra EliSirefef v1.51
a "
(8-2-2012 21:21:27 (GMT))
EliSirefef v1.51 (c)2012 S.G.H. / Satinfo S.L.
----------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\WINDOWS\system32\addfiltr.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\aic116x.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\aksfridge.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\artdhcp.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\atinrvxx.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\Atmuni.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\avgcoresvc.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\BlueSoleilCS.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\carboniteservice.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\cbidf.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\CBN.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\cdfs.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\cebdaldr.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\cfgwzsvc.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\cpuidlep.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\CVPND.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\DcLps.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\defragfs.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\dmprimer.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\dot4.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\dpfusmgr.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\EAWDMFD.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\elosystemservice.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\epfw.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\epsonbidirectionalagent.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\FVNETusb.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\generichidservice.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\gv3.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\HWIONT.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\iPassPeriodicUpdateService.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\ipsec.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\JRAID.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\Ld51ocnucsnp.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\LUsbKbd.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\mr2kserv.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\mrxsmb.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\MSFWHLPR.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\MXOFX.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\mysqlinventime.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\ndisuio.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\NetTcpPortSharing.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\npfmntor.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\orbpvr.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\pav_security.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\perc2hib.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\PGPdisk.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\pnarp.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\prfldsvc.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\proxyserverservice.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\PTDCVsp.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\pvservice.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\qfcoresvc.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\rassstp.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\rupsd.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\s116mdfl.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\s616mdm.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\se58mgmt.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\sfhlp01.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\sony_ssm.sys.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\sqlagent$pinnaclesys.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\SrvcEKIOMngr.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\streamloadservice.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\SWMX00.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\SWUMX20.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\symsnap.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\sysaidagent.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\tangoservice.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\tb2launch.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\tnbrlds.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\tpkd.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\tversitymediaserver.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\tvtnetwk.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\U81xmdm.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\USBCamera.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\usbio.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\USBVCD.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\vsmon.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\VX3000.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\wanminiportservice.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\wmiapsrv.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\wmpnetworksvc.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\wpsscannersvc.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\xpadminserver.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\ZSMC301b.dll --> Eliminado Sirefef(rkit)
C:\WINDOWS\system32\{95808DC4-FA4A-4c74-92FE-5B863F82066B}.dll --> Eliminado Sirefef(rkit)
Nº Total de Directorios: 35599
Nº Total de Ficheros: 238420
Nº de Ficheros Analizados: 22225
Nº de Ficheros Infectados: 85
Nº de Ficheros Limpiados: 85
(8-2-2012 21:21:43 (GMT))
EliSirefef v1.51 (c)2012 S.G.H. / Satinfo S.L.
----------------------------------------
Lista de Acciones (por Acción Directa):
Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB5660$
Por favor, envienos una muestra del fichero
C:\Muestras\atksgt.sys.Muestra EliSirefef v1.51
a "
Tras esto, y tras restaurar a un punto de recuperación de hace una semana, de momento
2. ¿Son estas dll`s eliminada autenticas dll´s y no réplicas del troyano?. Lo pregunto porque estoy veríficándolas de una en una y, de momento, ninguna parece formar parte del SO WXP, ni tampoco de algún software que tenga instalado (aunqu esto último es más difícil de verificar).
3. ¿Debería de correr de nuevo los tres programas?. Lo digo porque, como lu último que hice fue restaurar, ahora tengo la duda de si el punto de restauración puede no ser limpio.
Comentario final: como ya indiqué en otra ocasión, en el zip se debería de incluir instrucciones de uso; ayer, por ejemplo, pensé que al correr ELISIREF en modo seguro había terminado y al arrancar en modo normal paré el escaneo iniciado por ELISIRE (aunque luego lo relancé como podréis observar en el LOG).
Os subo la muestra y quedo a la espera de vuestros comentarios agradeciendo, como siempre, el inestimable soporte que ofreceis por un precio testimonial.
Saludos.
msc hotline sat Virus Research Engineer