Virus TR/Rootkit.gen y sin conexión a internet (SOLUCIONADO)

[rutino]

Hola, necesito ayuda. El ordenador ha perdido la conexión a internet y no hay manera de que vuelva a conectar, Lo que quiere decir que estoy escribiendo esto desde otro ordenador. Le he pasado el Avira Antivir y detecta el virus TR/Rootkit.gen pero no lo elimina y tampoco sirve de nada ponerlo en cuarentena. También le he pasado el spybot y nada y el ccleaner tampoco parece resolver nada. Luego me he dedicado a descargar cosas como el malware antivir en este ordenador para pasarlo al otro y parecia que habia detectado algo pero nada ahi sigue ese virus y no consigo conectarlo a internet de ninguna manera con lo que es complicado las actualizaciones del antivirus y antispyware o pasarle cualquier cosa online.

He buscado soluciones por internet y lo que mas confianza me ha dado ha sido este foro de zonavirus. he probado mas cosas pero no consigo nada y me he decidido que será mejor que profesionales me guien paso a paso pues parece ser que cada ordenador es mundo.

En fin....en espera de respuesta y de por donde empezar.

Un saludo y gracias

[msc hotline sat]

Pues puede probar el ELISTARA y nos postea el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms,

[rutino]

Esto es lo que me ha generado el elistara, si es necesario pasar el sproces decidmelo y lo haré. Suprimí del listado "usuario" y el ID por miedo a publicarlo pero no se si no importaría aunque supongo no es necesario.


[quote] (21-2-2012 20:25:00 (GMT))

EliStartPage v24.93 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB13368$"

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-2-2012 20:25:11 (GMT))

EliStartPage v24.93 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB13368$"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-2-2012 20:37:03 (GMT))

EliStartPage v24.93 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{5387F6A5-4133-4E6B-A5F7-B571AEF8B614}\RP1\A0000100.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{5387F6A5-4133-4E6B-A5F7-B571AEF8B614}\RP1\A0000101.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 10492

Nº Total de Ficheros: 81236

Nº de Ficheros Analizados: 27077

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4


[/quote]

gracias nuevamente

[msc hotline sat]

Pues ya está claro !, lo que tiene Vd es el SIREFEF, como detecta el ELISTARA:



[i][b]Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB13368$" [/b][/i]



Contra ello descargue y pruebe el ELISIREF:



[b] ELISIREF.EXE [/b]

http://www.zonavirus.com/descargas/descargar-elisiref.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso





NOTA: Seguramente le pedirá reiniciar varias veces, hagalo conforme se lo vaya indicando dicha utilidad, para ir progresando en la eliminacion de este complejo ROOTKIT



saludos



ms, 22-2-2012

[rutino]

Hola, le he pasado el elisiref y me ha puesto al darle explorar


[quote]Acceso denegado a la carpeta:

C:\a27093944b8fbca1a3cd21\9e032017c8468089d1e397b39e548b (16)[/quote]

luego hizo la exploración pero no me pidió ningun tipo de reinicios, aún así lo reinicié y aquí mando el infosat resultante


[quote] (21-2-2012 20:25:00 (GMT))

EliStartPage v24.93 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB13368$"

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-2-2012 20:25:11 (GMT))

EliStartPage v24.93 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB13368$"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-2-2012 20:37:03 (GMT))

EliStartPage v24.93 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{5387F6A5-4133-4E6B-A5F7-B571AEF8B614}\RP1\A0000100.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{5387F6A5-4133-4E6B-A5F7-B571AEF8B614}\RP1\A0000101.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 10492

Nº Total de Ficheros: 81236

Nº de Ficheros Analizados: 27077

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(22-2-2012 15:57:48 (GMT))

EliSirefef v1.58 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta: C:\WINDOWS\$NtUninstallKB13368$



(22-2-2012 16:03:37 (GMT))

EliSirefef v1.58 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10497

Nº Total de Ficheros: 81330

Nº de Ficheros Analizados: 14354

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0
[/quote]

[msc hotline sat]

Lo mas importante es llegar a borrar la cerpeta de marras, en tu caso:



[i][b]Eliminada Carpeta: C:\WINDOWS\$NtUninstallKB13368$[/b][/i]



Ello lo podemos hacer una vez eliminado el SIREFEF, asi que se supone que entre el AV que tiene instalado y el ELISIREF ya se ha cargado dicho RootKit



Vea si ahora pasando el ELISIREF de nuevo, ya no detecta nada al respecto, y podemos dar por solucionado el Tema



saludos



ms, 22-2-2012

[rutino]

El problema es que aun sigo sin poderlo conectar a internet por alguna extraña razón, uso red de area local, y el cable lo uso con otros ordenadores y sin problemas pero este no parece responder. Sinembargo efectivamente al pasarle el avira ya no detecta el virus y el elisefer tampoco detecta nada, aquí les dejo el informe


[quote] (21-2-2012 20:25:00 (GMT))

EliStartPage v24.93 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB13368$"

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-2-2012 20:25:11 (GMT))

EliStartPage v24.93 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB13368$"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(21-2-2012 20:37:03 (GMT))

EliStartPage v24.93 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

--------------------------------------------------



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{5387F6A5-4133-4E6B-A5F7-B571AEF8B614}\RP1\A0000100.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{5387F6A5-4133-4E6B-A5F7-B571AEF8B614}\RP1\A0000101.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd



Nº Total de Directorios: 10492

Nº Total de Ficheros: 81236

Nº de Ficheros Analizados: 27077

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(22-2-2012 15:57:48 (GMT))

EliSirefef v1.58 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta: C:\WINDOWS\$NtUninstallKB13368$



(22-2-2012 16:03:37 (GMT))

EliSirefef v1.58 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10497

Nº Total de Ficheros: 81330

Nº de Ficheros Analizados: 14354

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-2-2012 16:23:40 (GMT))

EliSirefef v1.58 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10498

Nº Total de Ficheros: 81342

Nº de Ficheros Analizados: 14354

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-2-2012 18:12:40 (GMT))

EliSirefef v1.58 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10499

Nº Total de Ficheros: 81291

Nº de Ficheros Analizados: 14354

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0
[/quote]

Si tienen idea de que podría hacer por favor decídmelo o quizás haya algún tipo de virus o algo que no haya detectado, en fin.

muchas gracias y saludos

[msc hotline sat]

Posiblemente sea por el driver que uso en su caso el SIREFEF, que puede ser cualquiera de los de windows:



http://www.zonavirus.com/noticias/2012/drivers-usados-por-el-sirefef-y-sus-consecuencias.asp



Mire si tiene el IPSEC.SYS en la carpeta de DRIVERS, y compruebe el tamaño de dicho fichero, que no esté a cero bytes !



Si no lo encuentra, o está a cero bytes, copielo de otro PC que tenga el mismo sistema operativo, o lance una REPARACION DE SISTEMA, arrancando con el CD de instalacion (ojo, no reinstalacion !!!)



Y tras reiniciar nos cuenta el resultado, gracias



saludos



ms, 23-2-2012

[rutino]

Hola efectivamente no encuentro el IPSEC.SYS y como no tengo un ordenador con otro XP pues iba a poner el CD para la reparación pero con ello he descubierto que tampoco lee ningún Cd porque no reconoce tener CDrom el ordenador así mirando en el enlace que me habeis puesto debe de faltarme también el CDROM.SYS que no se como podría restaurar.

En principio acabo de llamar a un amigo a ver si me pude enviar cuando pueda el archivo IPSEC.SYS de su ordenador.



¿para restaurar el cdrom es copiando el CDROM.SYS también a la carpeta DRIVERS?



un saludo y de verdad que muchas gracias

[msc hotline sat]

Sí, los drivers están todos juntos en dicha carpeta, pero mire antes si no tiene tampoco este CDROM.SYS, claro.



Pero como que debes haber instalado parches alguna vez, mira si tienes una copia de estos drivers en:



C:\WINDOWS\ServicePackFiles\i386\



y si es asi, copia los que te inteseran de alli a c:\windows\system32\drivers\



Acabo de mirar si tengo alli el CDROM.SYS y el IPSEC.SYS y si que están.



saludos



ms, 23-2-2012

[rutino]

Hola



Ha resultado que mirando bien si que se encontraba el cdrom.sys y también el ipsec.sys pero no lo había visto por la terminación .sys que no se muestra, perdón por mi ignorancia. el ipsec pesa 74 KB y el cdrom pesa 62 KB.



igual debería sustituirlos por estos que se encuentan en la capeta i386 ¿lo sustituyo?



No se como continuar sin poder conectar internet ni poder poner cd de reparación, vaya con las secuelas de este virus, en fin.



saludos.

[msc hotline sat]

Pruebe de cambiarlos por los del i386, y si aun asi tiene problemas, lance una REPARACION DE SISTEMA, por si algun otro fichero del sistema está dañado o ausente.



Para REPARAR SISTEMA, arranque con el CD de instalacion, pulse enter como si fuera a instalar, y tras cargar los drivers, le preguntará si quiere reinstalar o REPARAR, escoja REPARAR (muy importante).



Tras ello reinicie normalmente y lance un windowsupdate, para inbstalar los parches en los nuevos ficheros (www.update.microsoft.com)



Y nos cuenta sus progresos al respecto, gracias



saludos



ms, 24-2-2012

[rutino]

Perdonen que tarde un poquito en responder.



No consigo hacer la reparación mediante el cd porque no consigo que arranque desde el cd, estoy pidiendo ayuda a un amigo y ver si puedo repararlo. Le sustitui los archivos pero nada ha cambiado...así pues en poquito les comentaré si he conseguido algo.



Gracias.

[msc hotline sat]

Pulsando SUPR al arrancar, accederás al SETUP, en el que podrás configurar que arranque prioritariamente de CD (en el BOOT SEQUENCE)



Una vez hecho, coloca el CD en la lectora y reinicia el equipo



saludos



ms, 26-2-2012

[rutino]

A ver, les cuento... Este ordenador estaba instalado de una manera un tanto particular parece ser, el windows que tiene es original pero no contenía un modo de reparación curiosamente o posiblemente el supesto modo de reparación no funcionaba bien. Sinembargo si tengo cds para que quede como nuevo, así pues como gracias a vosotros eliminé el virus, lo que he hecho es guardar todos los datos importantes en un disco duro y he formateado y reinstalado el windows. Ahora está como nuevo y ya por fin vuelve a funcionar internet, ya no dispongo de programas que me habían instalado en el pasado pero bueno, no pasa nada.



Decirles que muchísimas gracias, recomendaré esta web a todo el que conozca que tenga algún problema y por supuesto si yo mismo vuelvo a tener algún otro problema volveré a contactar con vosotros.



Por cierto ahora que ya está solucionado ¿le doy a la pestaña que pone "no seguir tema" no?

[msc hotline sat]

Pues creeme que es toda una experiencia el haber tenido el SIREFEF, despues de esto ya casi todos los malwares son pan comido :)



Y como que ya te va todo bien, damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 28-2-2012