TROYANO

[nacamar]

Hola amigos de Zonavirus!!



Hacia mucho tiempo que no pasaba por aqui (por suerte para mi); peeeeero todo lo bueno se acaba! :( He encendido mi pc y me encuentro que NOD32, que es mi antivirus, me detecta e informa que tengo un troyano; exactamente, lo que me sale en la pantallita de advertencia del antivirus es lo siguiente:



Alert details:



File: https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



Threat: a variant of Win32/Kryptik.AETT trojan



Le he dado a poner en cuarentena y para que se cierre la pantalla clicko en Bloquea el codigo malicioso, pero sigue saliendo una y otra vez.... y no se que hacer?? Que hago??. Me podeis ayudar?????



Gracias anticipadas!!

[nacamar]

Se me olvidaba!! he tecleado Win32/Kryptik.AETT trojan para ver si habia algo al respecto tratado con anterioridad y no me ha salido nada.... queria evitar dar mucho la lata, pero no he encontrado respuesta a un caso igual con anterioridad :roll:

[nacamar]

Perdon por ir a;adiendo cosas pero he detectado que el teclado no va como deberia y no se si tiene que ver con esto. Como veis, no puedo acentuar ya que sale lo siguiente, pongo un ejemplo



Colecci'on .......... sale apostrofe en lugar de acentuar, ademas de que todas las teclas de puntuacion escriben otra cosa distinta, el parentesis escribe asterisco, la e;e no sale sino punto y coma .... Espa;a





A ver que es esto ahora.........ufff

[msc hotline sat]

Pues pruebe el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/descargar-elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado

del proceso [/quote]



Y si en el informe no se detectara nada ni pidiera muestra para analizar, proceder

con el SPROCES :




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 27-4-2012





nota: Y si puede, envienos muestra del fichero que le detecte NOD32 y que se le regenera, lo analizaremos e informaremos:




[quote]


ENVIO DE MUESTRAS:



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos


[/quote] ms.

[nacamar]

He empezado por el primer paso; descargar y pasar Elistara; he aquí el resultado del Infosat.txt (de momento, el teclado va bien; puntúa y acentúa jeje)



(27-4-2012 11:31:01 (GMT))

EliStartPage v25.37 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB37614$"

Key Eliminada [WinLogon\Notify\LBTWLGN] -> C:\WINDOWS\SYSTEM32\C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGITECH\BLUETOOTH\LBTWLGN.DLL

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





Comentaros que mientras se ejecutaba el solito, salió ése error que aparece en el txt de la carpeta sirefef (no sé ni que es), despues salió ésto "Runner error: Runner file name (LogictechDesktopMessenger.exe) lacks a '-' (the app id separator)" ... que tampoco sé que es pero es la marca del ratón y el teclado inalámbricos; por último me dijo que se había eliminado el troyano Spyrealtek.



Al reiniciar ha vuelto a darme el error "Runner error: Runner file name (LogictechDesktopMessenger.exe) lacks a '-' (the app id separator)"



No hago nada más; quedo a la espera de que lo mireis para, si me lo aconsejais, pasar al siguiente paso.



Mil gracias ;)

[msc hotline sat]

Pues el SIREFEF es un maldito RootKit que te ha infectado:



Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB37614$"



Descarga el ELISIREF para eliminarlo:





[b] ELISIREF[/b]

http://www.zonavirus.com/descargas/descargar-elisiref.asp







Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso



saludos



ms, 27-4-2012

[nacamar]

Hola de nuevo!. He descargado y ejecutado Elisiref y aquí dejo colgado el archivo txt que ha generado. Quedo a la espera de nuevas noticias :) Gracias!!



(27-4-2012 15:20:06 (GMT))

EliSirefef v1.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta: C:\WINDOWS\$NtUninstallKB37614$



(27-4-2012 15:28:16 (GMT))

EliSirefef v1.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14217

Nº Total de Ficheros: 173276

Nº de Ficheros Analizados: 11003

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues indicanos si tras reiniciar ya no persiste ninguna anomalía, de lo contrario posteanos log del SPROCES y envianos el fichero que te pediamos para analizar.



Esperamos tus noticias al respecto



saludos



ms, 28-4-2012

[nacamar]

Pues parece que todo vuelve a la normalidad!!! En principio, el problema no persiste!!! Muchísimas gracias por vuestra ayuda, una vez más!!. Es increible la labor que haceis y lo que nos solucionais la vida!!!



Gracias de nuevo ;)

[flacoroo]

pues celebramos que todo se haya resuelto cerramos este post en consecuencia, sabes donde estamos cuando nos necesites.