Problema con sirefef.f yzeroaccess

[csolfeo]

Hola , hoy estaba navegando por facebook y me llegó un enlace de una web que prometía tener enlaces de todo... pues bien entro en la web y al pinchar en un link (que si queréis os lo paso en privado o lo posteo , es un link de enlaces aparentemente inofensivo). Pues al entrar me salta el java pidiendo acceso a internet y tontamente le permití acceso una vez. El problema vino después cuando el control de cuentas de windows vista me pidió permiso para instalar "installflashplayer.exe" y le di a cancelar pero la dichosa ventanita salia y salia continuamente. Para que no siguiera saliendo terminé un proceso que no recuerdo su nombre pero era algo así como n4b.tmp o algo asi. Esa ventanita ya no volvió a salir y pasé el antivirus y me encontró muchos troyanos , todos de la fecha y hora del problema y me los eliminó. Uno de ellos se llamaba sirefef.f y el resto tenían el típico nombre generico.



Pensé que estaba resuelto pq los eliminé pero al volver a encender el pc vuelve el antivirus a encontrarmelos de nuevo, en este caso se llama zeroaccess...ya no se q hacer, me podéis ayudar??



gracias.

[msc hotline sat]

Sí, no hace falta el link, se trata de servidores infectados con VBNA que descargan cantidad de troyanos, entre ellos el SIREFEF (variante de ZEROACCESS)



Prueba el ELISTARA para ver los troyanos que haya y si dice que detecta la carpeta del SIREFEF, descarga el ELISIREF y tras varios reinicios que te pedirá, espero que se solucione el problema.



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/descargar-elistara.asp



[b] ELISIREF[/b]

http://www.zonavirus.com/descargas/descargar-elisiref.asp







Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso



saludos



ms, 20-2-2012

[csolfeo]

Vale, comentaros que ayer pasé el Malwarebytes en modo seguro ( en modo seguro el antivirus no me dejaba escanear) y encontró un archivo infectado, concretamente msimg32.dll en la carpeta de users temp, concretamente \AppData\Local\Temp\msimg32.dll



Lo borró bien , me pidio reiniciar y todo ok

Tengo un elistara de una vez anterior que tuviera otro virus, puedo usar ese que es de hace algo más de un año o tengo que bajarme los dos??



Con este virus corren peligro mis contraseñas?? gracias.



Decir que el antivirus ya no me detectó nada en los escaneos que hice, creo que al no ejecutar el installflashplayer.exe no se llegó a instalar el virus, estoy en lo correcto??



Todo lo q me habeis dicho lo ejecuto en modo normal o seguro?

[msc hotline sat]

El ELISTARA se renueva a diario, de poco sirve el de hace un año...



bajate los dos, o al menos el ELISIREF, que es el que necesitas contra el SIREFEF



Si tras ello persistiera alguna anomalia, dado que puedes tener otroa malwares descargados al mismo tiempo, entonces baja el ELISTARA a ver si detecta algo mas...



saludos



ms, 20-2-2012

[csolfeo]

Vale , mañana mando en sms y lo paso. Como se pasa el elisiref? en modo normal o a prueba de fallos?? comentar que malwarebytes me sigue encontrando el 0.access a pesar de haberlo eliminado esta mañana, esto se regenera solo como como va?



Gracias.

[msc hotline sat]

No sé lo que habrá hecho el "Malware Bytes", pero es que el SIREFEF es un ROOTKIT de narices...



Puedes arrancar como quieras, ya que el SIREFEF se instala en un driver que se lanzará tambien en modo seguro.



Es normal que te indique reiniciar varias veces, ya que tiene varias trabas que impiden acceder al los tres puntos clave, la dichosa carpeta del "desinstalador de un parche", la DLL que impide acceder al driver y finalmente el .SYS que se instala con el nombre de un fichero del sistema, por ello se lanza siempre al arrancar.



Tras probarlo nos indicas el resultado y nos posteas con un copiar y pegar el contenido de c:\infosat.txt



Y si pide que envies alguna muestra, hazlo para poder analizarla y controlarla en la siguiente version.



saludos



ms, 21-2-2012

[csolfeo]

[quote="msc hotline sat"]No sé lo que habrá hecho el "Malware Bytes", pero es que el SIREFEF es un ROOTKIT de narices...



Puedes arrancar como quieras, ya que el SIREFEF se instala en un driver que se lanzará tambien en modo seguro.



Es normal que te indique reiniciar varias veces, ya que tiene varias trabas que impiden acceder al los tres puntos clave, la dichosa carpeta del "desinstalador de un parche", la DLL que impide acceder al driver y finalmente el .SYS que se instala con el nombre de un fichero del sistema, por ello se lanza siempre al arrancar.



Tras probarlo nos indicas el resultado y nos posteas con un copiar y pegar el contenido de c:\infosat.txt



Y si pide que envies alguna muestra, hazlo para poder analizarla y controlarla en la siguiente version.



saludos



ms, 21-2-2012[/quote]



En estos momentos estaba para enviar el sms. Disculpad si voy despacio, es que no tengo mucho tiemop :|



Comentar que ayer de noche volví a pasar el Malwarebytes en modo seguro y ya no me encontró nada. Y el Mcafee en modo normal me encontró varios troyanos pero en aplicaciones que ya tenía de antes (y que creo que son falsos avisos) pero ni rastro de zeroaccess o sirefef, podría ser que los haya eliminado el mcafee la vez que los eliminó no?



De todos modos , pasaré el elisirefef para estar tranquila porque no podria usar el pc normalmente si pienso que hay algo ahí metido que me puede robar cosas.



PD.Acabo de enviar el sms, pero de momento no he recibido respuesta. En cuanto me llegue ya lo escaneo.



PD2: ya tengo elisiref, cuando lo pueda escanear ya os envío el reporte.

[msc hotline sat]

Al ser el SIREFEF un Rootkit no es facil que lo eliminen los antivirus, mas bien puede que no lo detecten...



Pero veamos que dice el ELISIREF. En cuanro lo hayas pasado y reiniciado, si te lo pide, posteanos el contenido del C:\infosat.txt



saludos



ms, 21-2-2012

[csolfeo]

Hola, tengo una duda, estoy haciendo el escaneo, de momento por suerte no encontró nada, pero cada cierto tiempo me sale un aviso en el elisiref que dice "acceso denegado a la carpeta" , tengo que estar dandole a aceptar cada vez o el escaneo sigue anque no le dé??



Es que lo pensaba dejar escaneando pq tengo q salir y no se cuanto va a tardar...



Edito: creo que ya ha terminado. Ponía tiempo transcurrido y 0 archivos infectados, no me ha pedido reiniciar ni me ha salido ningún txt, como puedo asegurarme que no tengo ningún bicho ??



Tb indicar que me salia el cartelito este de acceso denegado, he copiado así por arriba el mensaje:

acceso denegado adobe reader 8.0 cmap (16)

windows registration crm log (16)

c windows system 32 dmp





El elisiref sirve para el zeroaccess?



Parece que mi antivirus mcafee y el malwarebytes han hecho bien su trabajo :D

De todos modos estoy a la espera que me déis indicaciones, quiero tener total seguridad pq tengo datos importantes y hago operaciones por internet y me asusta pensar que puedan robarme contraseñas o algo.



Muchas gracias por todo.



PD2: os voy a pegar el informe mejor para que lo reviséis porque estoy mirando que el antivirus mcafee lo detectó varias veces y algunas pone que no se pudo eliminar.

[csolfeo]

Hola, ya he escaneado os pego el txt, no encontró nada. Os pego tb el de malwarebytes

(22-2-2012 11:06:22 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 41252

Nº Total de Ficheros: 293808

Nº de Ficheros Analizados: 27574

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-2-2012 11:49:21 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 48913

Nº Total de Ficheros: 354564

Nº de Ficheros Analizados: 29416

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-2-2012 12:04:52 (GMT))

EliSirefef v1.57 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 40

Nº Total de Ficheros: 740

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



MALWAREBYTES:



Malwarebytes Anti-Malware (PRO) 1.60.1.1000

www.malwarebytes.org



Versión de la Base de Datos: v2012.02.19.03



Windows Vista Service Pack 2 x86 NTFS (modo seguro)

Internet Explorer 9.0.8112.16421

fc barcelona :: FCBARCELONA1 [administrador]



Protección: Personas de movilidad reducida



20/02/2012 13:12:52

mbam-log-2012-02-20 (13-12-52).txt



Tipos de Análisis: Análisis Completo

Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM

Opciones de análisis desactivados: P2P

Objetos examinados: 458011

Tiempo transcurrido: 1 hora(s), 18 minuto(s), 37 segundo(s)



Procesos en Memoria Detectados: 0

(No se han detectado elementos maliciosos)



Módulos de Memoria Detectados: 0

(No se han detectado elementos maliciosos)



Claves del Registro Detectados: 0

(No se han detectado elementos maliciosos)



Valores del Registro Detectados: 0

(No se han detectado elementos maliciosos)



Elementos de Datos del Registro Detectados: 0

(No se han detectado elementos maliciosos)



Carpetas Detectadas: 0

(No se han detectado elementos maliciosos)



Archivos Detectados: 8

C:\LG KS20\PACK POCKET PC\JUEGOS PPC FOTOS PDA VAGOS\Realore.Studios.Aqua.Pearls.v1.0.ARM.PPC.Cracked-COREPDA\CORE10k.EXE (Dont.Steal.Our.Software) -> En cuarentena y eliminado con éxito.

C:\LG KS20\PACK POCKET PC\JUEGOS PPC FOTOS PDA VAGOS\Realore.Studios.Aqua.Words.v1.15.ARM.PPC.Cracked-COREPDA\CORE10k.EXE (Dont.Steal.Our.Software) -> En cuarentena y eliminado con éxito.

C:\LG KS20\PACK POCKET PC\JUEGOS PPC FOTOS PDA VAGOS\Realore.Studios.Aquatic.of.Sherwood.v1.0.ARM.PPC.Cracked-COREPDA\CORE10k.EXE (Dont.Steal.Our.Software) -> En cuarentena y eliminado con éxito.

C:\LG KS20\PACK POCKET PC\JUEGOS PPC FOTOS PDA VAGOS\Realore.Studios.Bubble.XMas.v1.05.ARM.PPC.Cracked-COREPDA\CORE10k.EXE (Dont.Steal.Our.Software) -> En cuarentena y eliminado con éxito.

C:\LG KS20\PACK POCKET PC\JUEGOS PPC FOTOS PDA VAGOS\Realore.Studios.Swap.and.Fall.2.v1.0.ARM.PPC.Cracked-COREPDA\CORE10k.EXE (Dont.Steal.Our.Software) -> En cuarentena y eliminado con éxito.

C:\Users\fc barcelona\AppData\Local\1cf6efbe\X (Rootkit.0Access) -> En cuarentena y eliminado con éxito.

C:\Users\fc barcelona\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\IJ1CFADD\10[1].exe (Trojan.VUPX.PL1) -> En cuarentena y eliminado con éxito.

C:\Users\fc barcelona\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PZQZJ23P\3[1].exe (Trojan.Dropper.PE4) -> En cuarentena y eliminado con éxito.



fin)

[csolfeo]

Hola, ahora mcafee vuelve a encontrarlo en system32 searchprotocolhost.exe



Que hago?? elisiref no encuentra nada :?





Ahora se llama artemis

PD siempre uso firefox , pues bien se me dió por abrir el explorer y me salta una pantalla nada mas abrir el explorer " un sitio web desea abrir contenido web a través de este programa" java se runtime sunmicrosistems ; le doy a no permitir y que no lo vuelva a preguntar y sigue preguntando lo mismo ...



Al final se cierra internet explorer porque encontró un problema y al abrirlo vuelve a saltar la dichosa pantallita..

[msc hotline sat]

Usando simultaneamente varios antivirus, se pierde el control de lo que hace cada uno ...



Pero si el ELISIREF ya no detecta el SIREFEF es que, si lo tenía, quizas entre el anvtivirus y esto otro del "malware bytes", lo han eliminado.



Y a lo que pregunta del mensaje [i][b]"salta una pantalla nada mas abrir el explorer que indica un sitio web desea abrir contenido web a través de este programa "java se runtime sunmicrosistems"[/b][/i], quiere decir que la pagina en cuestion necesita JAVA para poder visualizarla, lo cual es habitual, y si no lo tiene instalado, le está avisando de ello.



Pero de ello a que esta pagina pueda ser maliciosa, no tiene nada que ver, pero siempre es posible.



Y logicamente, si encuentra a faltar lo que quiere cargar, es posible que el IE se cierre por encontrar un problema.



Moraleja, [url=http://www.google.es/url?sa=t&rct=j&q=instalacion+de+java&source=web&cd=8&ved=0CFEQFjAH&url=http%3A%2F%2Fwww.it.uc3m.es%2Ftlp%2Fguia%2FguiaWinXP.html&ei=MgJFT8n2FIej0QXsrOH4Aw&usg=AFQjCNEHMqJVAbhPvMiFsVyhWOUhs7apCw]instale JAVA[/url] o evite visitar la pagina en cuestion.





saludos



ms, 22-2-2012

[csolfeo]

Hola , gracias. Bueno pues debe ser eso. De todos modos iexplorer nunca lo uso la verdad. Sirefef no me ha encontradonada, mcafee encuentra siempre en una carpeta dentro de users app data local una carpeta que se llama siempre igual y que adentro tiene un archivo que termina en @ y lo detecta como virus, en este último caso artemis.



No se que hacer la verdad.



Lo de antes de java os lo preguntba pq así empezaron los problemas , en una página (que no es la misma pq esta tarde quería entrar en una pagina de un periodico) que me pedía darle permiso al java y le dí y así me entro el sirefef. Por eso le estuve denegando acceso.

[msc hotline sat]

El ARTEMIS no es un virus sino un sistema de analisis heuristico. Si le detecta algo en algun fichero, envienoslo para analizar, aunque puede ser un falso positivo.



saludos



ms, 23-2-2012

[csolfeo]

[quote="msc hotline sat"]El ARTEMIS no es un virus sino un sistema de analisis heuristico. Si le detecta algo en algun fichero, envienoslo para analizar, aunque puede ser un falso positivo.



saludos



ms, 23-2-2012[/quote]



Hola, gracias. Como os lo envío??

Otra cosa , veo que pocas horas de yo descargarme elisirefef habéis sacado una versión nueva, podríais enviarme la nueva versión para ver si esa encuentra algo nuevo??



Gracias.

[msc hotline sat]

para el envio de muestras, recordar:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 23-2-2012

[csolfeo]

Hola , lo tiene la cuarentena de mcafee y no se como poder enviarlo...



De todos modos elisiref no me ha encontrado nada, pero veo que sacásteis una versión nueva pocas horas después de bajarme la mia, puedo actualizar a la última versión de alguna manera para tener seguridad de que el virus no sigue estando?



Gracias.

[msc hotline sat]

Mejor que lo deje donde está, pues recuperar un fichero de la cuarentena implica restaurar las claves maliciosas...



Solo cabría hacerlo si no lo ha eliminado del todo. Recuerdese que recomendamos que el escaneo de nuestras utilidades se haga desactivando el antivirus residente.



Y claro que puede probar con la ultima version existente, y diganos el resultado, gracias



saludos



ms, 28-2-2012

[csolfeo]

Hola, acabo de encender el pc y no me sale el icono de wifi ni el de sonido... he mirado por google la forma de restaurarlos y salen como sombreados... además el pc me carga muy lento , hay alguna forma de actualizar el elisiref para volverlo a pasar??



Gracias.



PD: es normal que el elisiref no tenga acceso a algunas carpetas y salga una advertencia de acceso denegado?

[msc hotline sat]

EL ELISIREF no te va a restaurar esos ficheros, solo te eliminará el SIREFEF si lo encuentra, y su falsa carpeta de desisntalacion de un parche y la DLL de proteccion del SYS y el SYS propieamnete dicho.



Pero los .SYS afectados por el SIREFEF, si no los repone windows, deberás reponerlos reinstalandolos o reparando sistema si son de windows.



Pero por si aun tienes algun resto del dichoso RootKit, prueba la última version disponible en la web, es la que controla todo lo conocido hasta ahora al respecto.



saludos



ms, 4-3-2012

[csolfeo]

Lo de los iconos de sonido y red pude solucionarlo, lo que no se es pq desaparecieron. Pues mira, no se si tengo aún el rootkit o no, lo que pasa es que mientras no me asegure no quiero usar el pc para información importante, quiero asegurarme de que el virus ya no está.



En cuanto al elisiref, entiendo que tengo que volver a mandar el sms para poder descargarlo no?

[msc hotline sat]

Si ya no tienes problemas, como parece, ahorrate el SMS, y si tienes una nueva anomalía, ya sabes donde estamos



Ten presente que estos rootkits se actualizan a diario, y que puedes tener otra variante aun no conocida, y cuando sospeches de ello por alguna anomalía que detectes, descarga las ultimas versiones de ELISTARA y segun lo que alli diga, la del ELISIREF, ELIPALEVO, ELIVBNA, etc...



saludos



ms, 8-3-2012