Detectado Sirefef(RootKit) Ayuda!!!!

[demenc]

Ops. me acabo de dar cuenta que de alguna manera hise doble post, lo siento mucho no se como paso

Hola, bueno les cuento que tengo una red de 2 computadores en casa el que funciona como servidor de interner es una laptop con windows xp y una desktop con win 7 de estacion.



La detecion del Sirefef fue en la desktop, la cual formatee hace como 15 dias pq el internet estaba muy lento asi como la velocidad en general del computador, nunca habia corrido la utilidad de deteccion EliSirefef, asi que asumo que lo tengo hace un tiempo y por la descriptiva de la utilidad la laptop tambien debe estar infectada, a continuacion les coloco la informacion del fichero satinfo.txt con los resultados de varias aplicaciones de ustedes, para luego procedeer a efectuar el arranque en modo seguro en simbolo de sistema como me indica la utilidad, he desactivado restaurar sistema, de ante mano muchas gracias por su tiempo y espero que me guien para poder matar a este bicho:



(1-2-2012 15:34:16 (GMT))

EliTriIP v7.76 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2012)

---------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Acción Directa):

Eliminado Servicio, "Monitor"



(1-2-2012 15:35:28 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (J)

Open=Star.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(1-2-2012 15:36:09 (GMT))

EliVBNA v2.48 (c)2012 S.G.H. / Satinfo S.L. Modificado el 31 de Enero del 2012)

--------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Acción Directa):



(1-2-2012 15:36:33 (GMT))

EliPalevo v2.79 (c)2012 S.G.H. / Satinfo S.L. (Modificado el 31 de Enero del 2012)

---------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Acción Directa):



(1-2-2012 15:36:52 (GMT))

EliBagle v14.19 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2011)

----------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Acción Directa):



(1-2-2012 15:45:56 (GMT))

EliSirefef v1.47 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie en Modo Seguro con solo Símbolo de Sistema

y así lanzar el EliSiref Manualmente para Completar la Limpieza.



(1-2-2012 15:55:01 (GMT))

EliVBNA v2.48 (c)2012 S.G.H. / Satinfo S.L. Modificado el 31 de Enero del 2012)

--------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13938

Nº Total de Ficheros: 66154

Nº de Ficheros Analizados: 14031

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(1-2-2012 15:55:07 (GMT))

EliBagle v14.19 (c)2011 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2011)

----------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13938

Nº Total de Ficheros: 66154

Nº de Ficheros Analizados: 15430

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(1-2-2012 15:58:37 (GMT))

EliPalevo v2.79 (c)2012 S.G.H. / Satinfo S.L. (Modificado el 31 de Enero del 2012)

---------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13938

Nº Total de Ficheros: 66155

Nº de Ficheros Analizados: 3840

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(1-2-2012 16:00:16 (GMT))

EliTriIP v7.76 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2012)

---------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13938

Nº Total de Ficheros: 66155

Nº de Ficheros Analizados: 18350

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(1-2-2012 16:00:17 (GMT))

EliStartPage v24.77 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 31 de Enero del 2012)

--------------------------------------------------

Usuario: Familia Nacimiento

ID de Usuario: S-1-5-21-113570318-3711902682-2541155407-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13938

Nº Total de Ficheros: 66154

Nº de Ficheros Analizados: 20915

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



--------------------------------------

Retomando el tema, reinicie mi desltop con windows 7 en modo seguro con solo simbolo de sistema y el elisiref se mantiene dandome el mensaje de que reinicie en modo seguro:



(1-2-2012 16:56:47 (GMT))

EliSirefef v1.47 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie en Modo Seguro con solo Símbolo de Sistema

y así lanzar el EliSiref Manualmente para Completar la Limpieza.



No importa cuantas veses reinicie o descarge de nuevo la aplicacion el mensaje es el mismo, otra cosa extraña es que lanza el mensaje sin efectuar ningun scaneo de la computadora a diferencia de la laptop que si efectua el escaneo en la cual por el contrario con Windows XP no me detecta ningun virus todo esta perfecto en la laptop (que es el servidor de internet de mi red).



Que suguieren??

[msc hotline sat]

Hay muchas variantes del SIREFEF, pero hasta ahora todas las hemos logrado eliminar, siguiendo el método que igual no sigues en todos los puntos:



Copia el ELISIREF en un pendrive



Arranca el ordenador pulsando repetidamente F8 y en el menu de inicio escoje ARRANCAR EN MODO SEGURO CON SOLO SIMBOLO DE SISTEMA



Inserta el pendrive en un port USB



Accede a dicha unidad escribiendo D: <enter> o E: <enter> o F: <enter> segun la que sea



Luego escribe ELISIREF <enter>



y cuando pida reiniciar, arranca normalmente (no en modo seguro) sin quitar el pendrive de su sitio.



Asi debe eliminarse o pedir muestra para analizar.



Posteanos el nuevo infosat.txt que te genere dicho proceso, gracias



saludos



ms, 1-2-2012

[demenc]

Amigo e seguido sus instrucciones al pie de la letra, en mi caso la unidad pendrive resulto ser la k: XD, bueno eso no es lo relevante, aqui esta lo que reporto el elisaref:



(1-2-2012 18:37:38 (GMT))

EliSirefef v1.47 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie en Modo Seguro con solo Símbolo de Sistema

y así lanzar el EliSiref Manualmente para Completar la Limpieza.



(1-2-2012 18:52:26 (GMT))

EliSirefef v1.47 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie en Modo Seguro con solo Símbolo de Sistema

y así lanzar el EliSiref Manualmente para Completar la Limpieza.



(1-2-2012 19:02:31 (GMT))

EliSirefef v1.47 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie en Modo Seguro con solo Símbolo de Sistema

y así lanzar el EliSiref Manualmente para Completar la Limpieza.



(1-2-2012 19:05:24 (GMT))

EliSirefef v1.47 (c)2012 S.G.H. / Satinfo S.L.

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie en Modo Seguro con solo Símbolo de Sistema

y así lanzar el EliSiref Manualmente para Completar la Limpieza.





Como puede ver hay varios reportes debido a que realize varios intentos, inclusive ejecute msconfig.



La verdad es que estudiando a simple vista [b]el arranque en modo seguro [/b][u]comparado[/u] con [b]el modo seguro con solo simbolo del sistema[/b], me da la impresion de que carga exactamente los mismos drivers, a diferencia de que luego que escribo la clave de usuario que me solicita el windows en ambos casos; en el modo a prueba de errores con solo simbolo de sistema solo me muestra una ventana con el cmd, para trabajar en el simbolo de sistema.



Intente arrancar con el cd instalador de windows 7, reparar y luego sin reparar passe a simbolo de sistema, y resulta que con este arranque la unidad pasa a ser unidad e: y el elisiref no me permitio cambiar la carpeta a escanear de la C: que trae por defecto a la E: que es la de la instalacion de windows en el disco duro.



Si tubiera unidad de 3 1/4 hubiera intentado un arranque en limpio y no se como hacer un arranque desde pendrive (no encuentro un software free que haga eso)



¿Que podemos hacer, que pienza al respecto?

[msc hotline sat]

No solo son los drivers, algunos de los cuales se cargan igual en modo Normal que en modo seguro, pero justamente la diferencia está en modo seguro con solo simbolo de sistema, que no lanza el EXPLORER, y asi hemos logrado siempre llegado a eliminar la carpeta dichosa, y logrado ello, lo demás ya es pecata minuta.



Si asi no lo logras, habrás de colocar el disco duro como esclavo de otro Master limpio, o arrancar con un BART PE o pilitos, y en cualquiera de dichos casos, lanzar el ELISIREF



Y no estaría de mas, por si se tratara de una variante no controlada, de las que cada día aparecen, en la forma indicada lanzar el antivirus que tengas instalado en el Master, sobre el esclavo, que al no tener el Sirefef activo, posiblemente lo podrá eliminar.



Y cuentanos tus progresos al respecto, gracias



saludos





ms, 1-2-2012

[GRN]

[quote="msc hotline sat"]No solo son los drivers, algunos de los cuales se cargan igual en modo Normal que en modo seguro, pero justamente la diferencia está en modo seguro con solo simbolo de sistema, que no lanza el EXPLORER, y asi hemos logrado siempre llegado a eliminar la carpeta dichosa, y logrado ello, lo demás ya es pecata minuta.



Si asi no lo logras, habrás de colocar el disco duro como esclavo de otro Master limpio, o arrancar con un BART PE o pilitos, y en cualquiera de dichos casos, lanzar el ELISIREF



Y no estaría de mas, por si se tratara de una variante no controlada, de las que cada día aparecen, en la forma indicada lanzar el antivirus que tengas instalado en el Master, sobre el esclavo, que al no tener el Sirefef activo, posiblemente lo podrá eliminar.



Y cuentanos tus progresos al respecto, gracias



saludos





ms, 1-2-2012[/quote]



¿Se puede ejecutar ELISTARA, ELIBAGLE y ELIPEN en modo seguro solo símbolo del sistema? (sesión DOS)..... :oops: :oops: :oops:



No estoy seguro, tengo mala memoria, pero creo que los suelo usar en modo seguro (sesion windows).... :shock: :shock: :shock:



De hecho, en [i][b]Nota de ayuda sobre el uso de utilidades.....[/b][/i] se indica [i][b]..ARRANCAR EN MODO SEGURO..[/b][/i] :|



¡estoy hecho un lío!

[msc hotline sat]

Si, se pueden y es siempre mejor, arrancar en modo seguro para lanzar las utilidades, asi ni el bicho ni el AV estará residente (bueno a veces algun bicho si, los de MBR y otrsos que se cargan incluso en modo seguro, pero son los que menos.



y el ELIBAGLA Y ELIPEN no vienen al caso ...



saludos



ms, 9-2-2012

[GRN]

[quote="msc hotline sat"]Si, se pueden y es siempre mejor, arrancar en modo seguro para lanzar las utilidades, asi ni el bicho ni el AV estará residente (bueno a veces algun bicho si, los de MBR y otrsos que se cargan incluso en modo seguro, pero son los que menos.



y el ELIBAGLA Y ELIPEN no vienen al caso ...



saludos



ms, 9-2-2012[/quote]

Pero la pregunta es, y perdona mis escasos conocimientos de windows, si arranco en modo seguro con funciones de red, arranca también el explorador de windows, y si arranco solo en modo seguro símbolo del sistemas solo veo una sesión dos y, por tanto con menos sw por debajo corriendo ¿no?

[msc hotline sat]

Parece que estas posteando en dos Temas al mismo tiempo, GRN, y esto no está permitido en este foro.



https://foros.zonavirus.com/viewtopic.php?f=1&t=529



https://foros.zonavirus.com/viewtopic.php?f=1&t=17624



https://foros.zonavirus.com/viewtopic.php?f=1&t=530



Centrate en tu Tema y no postees en paralelo o en Temas de otros usuarios !



´ms.

[GRN]

[quote="msc hotline sat"]Parece que estas posteando en dos Temas al mismo tiempo, GRN, y esto no está permitido en este foro.



https://foros.zonavirus.com/viewtopic.php?f=1&t=529



https://foros.zonavirus.com/viewtopic.php?f=1&t=17624



https://foros.zonavirus.com/viewtopic.php?f=1&t=530



Centrate en tu Tema y no postees en paralelo o en Temas de otros usuarios !



´ms.[/quote]

OK. Lo siento.

[msc hotline sat]

Bueno "Demenc", que habias quedado tapado por la intervencion de otro usuario, si tienes algun problema comentanoslo, y sino dinos si podemos dar por solucionado el Tema, gracias



ms, 9-2-2012