Detectado Spy.Zbot.VZA ó VZB (Rootkit) (TERMINADO)

[mana]

Pues sí he encontrado el LMHOST.SAM, el resto no parecen sospechosos, está el HOST, NETWORKS, PROTOCOL Y SERVICES.



Os envío el LMHOST.SAM.



Espero mejor a saber lo que os he enviado y luego pasar el correspondiente antivirus, no vaya a ser que haga prueba con el .VIR, no funcione y se me meta alguno más...



Estaré fuera hasta el sábado, pero a mi vuelta probaré lo que me digais. Espero que lo que he mandado sea lo que motiva todas las irregularidades que tengo en el PC (MBR, páginas desde Google, etc.)



Gracias y saludos

[msc hotline sat]

Pues nos miraremos el .SAM, aunque este supongo que será el de ejemplo (SAM=SAMPLE, muestra)



y solo por encima he visto que muchos de los que has enviado son ONLINE GAMES; pero el ultimo es un ZBOT (rootkit) que pudiera ser el que está dando guerra, ya veremos



Y hasta el sabado, buen viaje si te vas lejos !



saludos



ms, 29-2-2012

[mana]

Hola de nuevo, ya estoy de vuelta.



Lo primero que he hecho ha sido lanzar último Elistara, Elisiref y ya que lo tenía descargado el Elivbna, los resultados:



(29-2-2012 17:12:30 (GMT))

EliMover v1.4 (c)2011 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "c:\lc.exe" -> Copiado a "C:\Muestras"



(29-2-2012 17:14:41 (GMT))

EliMover v1.4 (c)2011 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "c:\l61yyp.exe" -> Copiado a "C:\Muestras"



(29-2-2012 17:14:58 (GMT))

EliMover v1.4 (c)2011 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "c:\n0qls.exe" -> Copiado a "C:\Muestras"



(29-2-2012 17:17:17 (GMT))

EliMover v1.4 (c)2011 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "c:\imghyva6.exe" -> Copiado a "C:\Muestras"



(29-2-2012 17:18:49 (GMT))

EliMover v1.4 (c)2011 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones ():

Fichero: "c:\9rfpp.exe" -> Copiado a "C:\Muestras"



(3-3-2012 17:09:41 (GMT))

EliStartPage v25.01 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2012)

--------------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(3-3-2012 17:09:50 (GMT))

EliStartPage v25.01 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Error de Escritura en el MBR.



(3-3-2012 17:19:16 (GMT))

EliStartPage v25.01 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\9RFPP.EXE --> Eliminado, PWS-OnLineGames.Nodqq

C:\IMGHYVA6.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\L61YYP.EXE --> Eliminado, PWS-OnLineGames.Herss

C:\N0QLS.EXE --> Eliminado, PWS-OnLineGames.Dsoqq

C:\WINDOWS\system32\NVSVC32.EXE -> (RootKit Dropper Sirefef)

Detectada Aplicación Legitima Parcheada.

Utilizar AntiVirus para Limpiarla



Nº Total de Directorios: 13295

Nº Total de Ficheros: 285762

Nº de Ficheros Analizados: 23069

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(3-3-2012 17:19:29 (GMT))

EliStartPage v25.01 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2012)

--------------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 167

Nº Total de Ficheros: 793

Nº de Ficheros Analizados: 358

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(3-3-2012 17:24:29 (GMT))

EliSirefef v1.65 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 1 de Marzo del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13296

Nº Total de Ficheros: 285760

Nº de Ficheros Analizados: 10384

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-3-2012 17:24:42 (GMT))

EliVBNA v2.56 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 29 de Febrero del 2012)

--------------------------------------------

Usuario: Batxi

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-1004



Lista de Acciones (por Acción Directa):



(3-3-2012 17:24:43 (GMT))

EliVBNA v2.56 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 29 de Febrero del 2012)

--------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Acción Directa):



(3-3-2012 17:29:16 (GMT))

EliVBNA v2.56 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 29 de Febrero del 2012)

--------------------------------------------

Usuario: Administrador

ID de Usuario: S-1-5-21-1202660629-1844237615-839522115-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 13297

Nº Total de Ficheros: 285763

Nº de Ficheros Analizados: 12613

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







Tal y como figura en el Info del Elistara, casi al final me ha detectado en el fichero nvsvc32.exe un Rootkit Dropper Sirefef con el mensaje: "Detectada Aplicación Legítima Parcheada. Utiliza Antivirus para Limpiarla".



A la espera de instrucciones o de antivirus a utilizar...



Gracias y saludos.

[msc hotline sat]

Pues hemos comprobado que con el McAfee Viruscan detecta y elimina la parte dropada de este fichero, que de otra forma puede crear infeccion del SIREFEF en el ordenador



Parece que es relativo a la tarjeta de video NVIDIA:



http://www.alegsa.com.ar/Proceso/nvsvc32.exe.php



Si no tienes instalado el VirusScan de McAfee, mira de sustituir dicho fichero por el original en cuestion.



Y tras ello mira a ver si logras corregir el MBR con el FIXMBR y queda limpio ...



saludos



ms, 3-3-2012

[mana]

Ayer por la noche, desde Goggle me volvio a redireccionar a otra página (no recuerdo el nombre, pero estilo a las últimas que me mandaba) y tras pasar el Elistara me detectó nuevamente el Spy-Zbot.VZA o VZB.



Tras reiniciar, ya no pude de ninguna manera, ni a modo seguro, ni normal...



Con el Cd de instalación tampoco logre nada, pantallazo azul a midad de carga y continuos reinicios.



Como tenia pensado cambiar de ordenador, vamos a olvidar este tema y esperemos que no se repita en otro pc, porque vaya tela el incordio que ha provocado.



Gracias MS por tu paciencia, aunque me temo que pronto estaré por aqui con un portatil que voy a rescatar del armario, hasta que compre el pc nuevo.



Gracias y saludos.

[mana]

Se me olvidaba MS, creo que se puede cerrar el tema.



Gracias

[msc hotline sat]

Pues siguiendo tus indicaciones damos por terminado el Tema y procedemos a cerrarlo.



Vuelve cuando quieras, esperamos que otro problema no sea tan diabolico ...



saludos



ms, 4-3-2012