SIREF detectado pero no se elimina

abarcajc · Mensaje por **abarcajc** » 21 Feb 2012, 09:04

Buen día, el motivo de mi solicitud de auxilio es que tengo una máquina con un virus que no permitía cargar las páginas de antivirus, y también me redireccionaba a páginas que mencionaban que había ganado algún premio.

En vista de lo ocurrido cargué en una USB varias utilidades de Satinfo, entre ellas Elistara, Elisiref, EliVBNA, Elipalevo, entre otras....

Luego de pasar el Elistara me dio alerta de haber eliminado un troyano o un malware, y también hacia mención de haber encontrado un Siref... Por ello, luego pasé Elisiref y en efecto encontró uno pero no pudo eliminarlo, y me ha bloqueado el uso del Firefox e internet explorer. Por eso no puedo enviarles el infosat... (estoy escribiendoles desde otra máquina).

La máquina con problemas posee Windows XP

Elisiref hace referencia a una carpeta llamada ~~[b]~~C:/WINDOWS/$NtuninstallKB27395$[/b] que luego vuelve a aparecer identificada como virus, y debe reiniciarse la máquina para ser eliminado. Al realizar el proceso no da resultado alguno. Siempre sigue con vida.

abarcajc · Mensaje por **abarcajc** » 21 Feb 2012, 09:07

y en algunos casos dice que el acceso fue denegado a la carpeta que se pretendía eliminar (la que escribí en negrita anteriormente"

Mensaje por **msc hotline sat** » 21 Feb 2012, 09:29

Sí, esta carpeta de nombre variable, que simula ser de desinstalacion de un parche de windows, es típica de los SIREFEF.

Con el ELISIREF pedirá reiniciar y tras ello ya podrá acceder a un punto superiro, en el que, segun la variante que sea, tendrá acceso a una DLL que protege a un "driver" .SYS (igual a uno del sistema, pero malicioso), los cuales si los conocemos los eliminaremos, y sino, se pedirá envio de muestras para su analisis y control en la siguiente version.

Conviene que lea el infosat.txt resultante, y si se le pide el envio de alguna muestra, proceder a ello, y en cualquier caso, además, enviarnos el infosat.txt :

Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos

Y mientras, copie el actual c:\infosat.txt a un pendrive y lo lleva al ordenador desde el cual nos escribe, y con un copiar y pegar, nos postea su contenido, en el proximo post de respuesta a este Tema

saludos

ms, 21-2-2012

abarcajc · Mensaje por **abarcajc** » 21 Feb 2012, 10:34

Aqui coloco el Infosat:

(21-2-2012 05:38:59 (GMT))

EliStartPage v24.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB27395$"

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIÓN LOCAL\DATOS DE PROGRAMA\A5A1315D\X --> Eliminado

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(21-2-2012 05:46:27 (GMT))

EliStartPage v24.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3578

Nº Total de Ficheros: 60078

Nº de Ficheros Analizados: 9786

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(21-2-2012 05:49:53 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "CoachVc"

C:\WINDOWS\system32\symsecureport.dll --> Sirefef(rkit) Renombrado a .VIR

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 05:54:23 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta: C:\Documents and Settings\Administrador\Configuración local\Datos de programa\a5a1315d

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\afd.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 06:01:13 (GMT))

EliStartPage v24.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB27395$"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(21-2-2012 06:04:39 (GMT))

EliStartPage v24.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3582

Nº Total de Ficheros: 59886

Nº de Ficheros Analizados: 9867

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(21-2-2012 06:06:04 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "DynDNS_Updater_Service"

C:\WINDOWS\system32\USBVCD.dll --> Sirefef(rkit) Renombrado a .VIR

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 06:07:29 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\mrxsmb.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 06:11:36 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "oracle_load_balancer_60_client-forms6i"

C:\WINDOWS\system32\SaiNtHid.dll --> Sirefef(rkit) Renombrado a .VIR

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 06:14:11 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\i8042prt.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 08:04:23 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 08:07:35 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\imapi.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 08:08:37 (GMT))

EliPalevo v2.80 (c)2012 S.G.H. / Satinfo S.L. (Modificado el 20 de Febrero del 2012)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Acción Directa):

(21-2-2012 08:10:37 (GMT))

EliPalevo v2.80 (c)2012 S.G.H. / Satinfo S.L. (Modificado el 20 de Febrero del 2012)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3585

Nº Total de Ficheros: 59896

Nº de Ficheros Analizados: 1727

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(21-2-2012 08:11:56 (GMT))

EliStartPage v24.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(21-2-2012 08:14:02 (GMT))

EliStartPage v24.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3584

Nº Total de Ficheros: 59892

Nº de Ficheros Analizados: 9871

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(21-2-2012 08:15:50 (GMT))

EliTriIP v7.76 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2012)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Acción Directa):

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(21-2-2012 08:17:52 (GMT))

EliTriIP v7.76 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Enero del 2012)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3583

Nº Total de Ficheros: 59892

Nº de Ficheros Analizados: 7636

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(21-2-2012 08:21:01 (GMT))

EliPate v1.3 (c)2012 S.G.H. / Satinfo S.L. (Modificado el 3 de Febrero del 2012)

-------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3583

Nº Total de Ficheros: 59894

Nº de Ficheros Analizados: 873

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(21-2-2012 08:21:56 (GMT))

USB445 v1.8 (c)2011 S.G.H. / Satinfo S.L. (Modificado el 12 de Mayo del 2011)

------------------------------------------

Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMXNo detectado Parche MS08-067 de Microsoft instalado. (SServidor)

(21-2-2012 09:01:36 (GMT))

EliPalevo v2.80 (c)2012 S.G.H. / Satinfo S.L. (Modificado el 20 de Febrero del 2012)

---------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Acción Directa):

(21-2-2012 09:01:58 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "tos_sps32"

C:\WINDOWS\system32\st330service.dll --> Eliminado Sirefef(rkit).

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 09:04:59 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\i8042prt.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 09:13:13 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(21-2-2012 09:19:28 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\i8042prt.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

Mensaje por **msc hotline sat** » 21 Feb 2012, 12:52

Vemos que estás eliminando el SIREFEF y volviendolo a ingresar... posiblemente tengas instalado un downloader como alguna variante del worm VBNA, que lo está regenerando.

Ante todo, desconecta este ordenador de la red (especialmente de internet) para desinfectarlo

Luego lanza el ELIVBNA, por si fuera el caso,

Y con el ELISIREF, sin conexion a internet, tras dos o tres reinicios, deberás poder acabar con él.

Cuando haya acabado, comprueba que ya no lo tengas, y conecta el ordenador a Intermt, y si te vuelve a entrar, vigila por donde navegas...

saludos

ms, 21-2-2012

abarcajc · Mensaje por **abarcajc** » 23 Feb 2012, 04:03

Hola, ya efectué las operaciones indicadas pero al lanzar el EliVBNA, me aparece "Acceso denegado a la carpeta C:/Windows/$NtuninstallKB27395$/2778804573(2064)" y no realiza ninguna otra detección ni reparación.

Al lanzar el EliSiref, sucede de nuevo lo mismo (se reinicia y no da acceso a la carpeta antes mencionada)

abarcajc · Mensaje por **abarcajc** » 23 Feb 2012, 04:06

(23-2-2012 02:38:00 (GMT))

EliVBNA v2.55 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Acción Directa):

(23-2-2012 02:40:35 (GMT))

EliVBNA v2.55 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3593

Nº Total de Ficheros: 59707

Nº de Ficheros Analizados: 5630

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(23-2-2012 02:40:58 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "se2Bunic"

C:\WINDOWS\system32\steamdvr.dll --> Sirefef(rkit) Renombrado a .VIR

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(23-2-2012 02:43:15 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\redbook.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

(23-2-2012 02:44:15 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(23-2-2012 02:45:53 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\redbook.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

(23-2-2012 02:50:56 (GMT))

EliSirefef v1.59 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(23-2-2012 02:52:38 (GMT))

EliSirefef v1.59 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\cdrom.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

(23-2-2012 02:53:38 (GMT))

EliSirefef v1.59 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.

(23-2-2012 02:56:56 (GMT))

EliSirefef v1.59 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Acceso Denegado a la Carpeta: C:\WINDOWS\$NtUninstallKB27395$

C:\WINDOWS\SYSTEM32\Drivers\imapi.sys --> Eliminado Sirefef.X(sys)

Detectado Sirefef(sys)

Reinicie el Sistema para Completar la Limpieza.

(23-2-2012 02:57:09 (GMT))

EliVBNA v2.55 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Acción Directa):

(23-2-2012 03:04:34 (GMT))

EliVBNA v2.55 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

--------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1343024091-2049760794-1606980848-500

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3594

Nº Total de Ficheros: 59748

Nº de Ficheros Analizados: 5640

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

abarcajc · Mensaje por **abarcajc** » 23 Feb 2012, 04:22

Y al comenzar el reinicio para eliminar el virus con Elisiref, envía un mensaje emergente que dice fallo en la aplicación "igxtray.exe" o algo asi... pues pasa muy rápido y se quita.

Mensaje por **msc hotline sat** » 23 Feb 2012, 07:42

Pues a la vista de un posible mal funcionamiento de windows que ocasiones lo indicado, arranque con el CD de instalacion y proceda como si fuera a instalar, y tras cargar los drivers y demás, cuando detecte la particion instalada y ofrezca reinstalar o REPARAR, escoja REPARAR.

Tras ello reinicie de nuevo y pruebe el ELISTARA, y luego el ELISIREF, tras lo cual nos postea el contenido del infosat.

saludos

ms, 23-2-2012

SIREF detectado pero no se elimina

SIREF detectado pero no se elimina

Re: SIREF detectado pero no se elimina

Re: SIREFEF detectado pero no se elimina

Re: SIREF detectado pero no se elimina

Re: SIREF detectado pero no se elimina

Re: SIREF detectado pero no se elimina

Re: SIREF detectado pero no se elimina

Re: SIREF detectado pero no se elimina

Re: SIREF detectado pero no se elimina