TROYANO BLOQUEA SISTEMA DE SEGURIDAD (SOLUCIONADO)

[mariofm]

Hola,



Hace unos días me entró en el PC un archivo ejecutable (k0kcwz1xjp.exe) bajo el nombre de "Childish Antennas" que me ha inutilizado por completo el sistema de seguridad (el antivirus y el firewall en mi caso de McAfee y el Windows Update) y no me permite volverlos a activar ni tampoco eliminar el archivo.



Leí por ahí que se trata de un troyano tipo Sirefef (tampoco sé lo que significa) y me bajé de vuestra web EliStarA 25.75 ya que constaba podía controlarlo. Me lo ha identificado al pasarlo con el PC en "modo seguro" y he enviado el txt y la muestra a SATinfo para que lo analizen pero no se me ha eliminado con la utilidad.



Sigo con el troyano en el PC sin poderlo eliminar ni activar los sistemas de seguridad así que lo mantengo desconectado de la red...pero eso no me sirve, necesito el PC y tampoco me atrevo a hacer backup por miedo a propagación a otro disco duro.



Estoy en "standby" ya que no me dicen nada de SATinfo y para mí es urgente solucionarlo así que os ruego me ayudéis a eliminar el problema y devolver el PC a la normalidad.



Gracias y espero respuesta lo antes posible.

[msc hotline sat]

Posteanos con un copiar y pegar el contenido de c:\infosat.txt , y veremos de que se trata.



Si detectara rastros de Sirefef, lo adecuado sería probar el ELISIREF, pero eso lo veremos en el infosat, que dices haber enviado a SATINFO, cuando indicamos que las muestras a SATINFO, pero los informes postearlos aqui, para poder comentarlos. El SATINFO solo se contesta a los asociados a sus servicios, para los demás, está este foro.



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 26-6-2012

RSPCATONO

[mariofm]

A ver, el tema es que en el txt no menciona nada del archivo en cuestión. La primera vez que pasé el EliStarA me advirtió que había un "worm" k0kcwz1xjp.exe y que mandara muestra y txt a Satinfo y posteriormente no pude acabar el proceso porque se me colgó la utilidad y el PC. Luego lo pasé un par de veces más y me eliminó otras cosas pero ya no mencionaba el problema inicial, sin embargo el archivo de virus seguía en "mis documentos" y los problemas también.



Adjunto el log de todas formas después de haber pasado 3 veces EliStarA...no sé si es posible quizás que al volver a crear txt se reemplazara el primero y desapareciera la info de la detección del troyano...











(24-6-2012 19:20:15 (GMT))

EliStartPage v25.75 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Acción Directa):



(24-6-2012 19:42:48 (GMT))

EliStartPage v25.75 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Program Files (x86)\WinEva6\WINEVA6.EXE --> Eliminado, HackTool.Hoic

C:\Users\MARIO\Documents\ETSAB\OPTATIVAS\La Habana\CD Info Cuba Taller\3- PRUMCH\AUTORUN.INF --> Eliminado, Buzus.VOA(inf)



Nº Total de Directorios: 45933

Nº Total de Ficheros: 404129

Nº de Ficheros Analizados: 114970

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(24-6-2012 20:17:06 (GMT))

EliStartPage v25.75 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Acción Directa):



(25-6-2012 17:29:42 (GMT))

EliStartPage v25.75 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(25-6-2012 17:34:01 (GMT))

EliStartPage v25.75 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 22 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Exploración):

Explorando "C:\Users\MARIO"



Nº Total de Directorios: 7347

Nº Total de Ficheros: 122733

Nº de Ficheros Analizados: 7005

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Os adjunto también el nombre de la muestra en viada a Satinfo.



K0KCWZ1XJP.EXE.Muestra EliStartPage v25.75

[msc hotline sat]

Ahora analizaremos la muestra enviada, pero antes cabe decirle que se ha eliminado un virus de pendrive:



C:\Users\MARIO\Documents\ETSAB\OPTATIVAS\La Habana\CD Info Cuba Taller\3- PRUMCH\AUTORUN.INF --> Eliminado, Buzus.VOA(inf)



Por tanto, como que puede tener pendrives infectados, pase en ellos el ELISTARA, y ademas vacune ordenador y pendrives con el ELIPEN:











[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



Y analizado el fichero enviado ha resultado ser un CUTWAIL:



http://www.zonavirus.com/noticias/2012/nueva-variante-de-cutwail-cazado-por-la-heuristica-del-elistara.asp



Descargue el actual ELISTARA que ya lo controla



y otra vez, para el envio de muestras, siga lo indicado en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Y asi se le dará prioridad y se le contestará en el foro, sino, entra en el montón que nos llegan diariamente, y que se procesan posteriormente.



saludos



ms, 27-6-2012

[mariofm]

He pasado EliStarA 27.78 varias veces en el PC y me identifica el Cutwail pero me dice que no ha sido capaz de eliminarlo y que la "limpieza" se completará con el próximo reinicio del ordenador. Sin embargo cuando reinicio (ya sea en modo normal o seguro) no me desaparece el virus ni lo puedo eliminar manualmente.



Se me inicia automáticamente ElistarA de nuevo y vuelve a darme opción de explorar o salir...pero de ninguna manera me elimina el archivo infectado.



Adjunto log y a ver si me podéis ayudar porque he vuelto a descargarme la utilidad pagando pero sin que me solucione el problema que se supone ya controlaba.

...



(27-6-2012 18:19:52 (GMT))

EliStartPage v25.78 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-6-2012 18:44:18 (GMT))

EliStartPage v25.78 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\K0KCWZ1XJP.EXE.MUESTRA ELISTARTPAGE V25.75 --> Eliminado, Cutwail.BE

C:\Users\MARIO\K0KCWZ1XJP.EXE --> Acceso Denegado, Cutwail.BE (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 45051

Nº Total de Ficheros: 381839

Nº de Ficheros Analizados: 101132

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1



(27-6-2012 18:50:21 (GMT))

EliStartPage v25.78 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-6-2012 19:18:20 (GMT))

EliStartPage v25.78 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\MARIO\K0KCWZ1XJP.EXE --> Acceso Denegado, Cutwail.BE (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 42920

Nº Total de Ficheros: 377743

Nº de Ficheros Analizados: 98680

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(27-6-2012 19:20:51 (GMT))

EliStartPage v25.78 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Acción Directa):



(27-6-2012 19:47:45 (GMT))

EliStartPage v25.78 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Acción Directa):



(27-6-2012 20:13:53 (GMT))

EliStartPage v25.78 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\MARIO\K0KCWZ1XJP.EXE --> Acceso Denegado, Cutwail.BE (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 45055

Nº Total de Ficheros: 381971

Nº de Ficheros Analizados: 101199

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0



(27-6-2012 20:36:42 (GMT))

EliStartPage v25.78 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2012)

--------------------------------------------------

Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Pues deben haber cambiado el driver .SYS de proteccion de dicho CUTWAIL



Sin eliminarlo previamente, no hay manera de eliminar el CUTWAIL, y antes lo haciamos manualmente, pero al ver que siempre era el mismo, lo incluimos automaticamente en el proceso que realiza el ELISTARA para el CUTWAIL.



Pero si nos lo han cambiado... volveremos al pasado:



______



Pues antes decíamos:



"Se recuerda que se requiere borrar con un DEL desde DOS el driver .SYS con nombre de 16 digitos aleatorios, unicado en c:\WINDOWS\SYSTEM32\DRIVERS\para poder eliminarlo"



Arranque en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA y vea en dicha ruta los ficheros .SYS de nombre largo, en busca de uno de 16 caracteres, y le añade .VIR a su extension (con un REN) y tras reiniciar nos lo envia para analizar.



Luego vuelve a pasar el ELISTARA, a ver si, con el fichero renombrado, ya no protege al CUTWAIL y lo podemos eliminar, y con la muestra que nos envie, la analizaremos y, si procede, la controlaremos en las siguientes versiones del ELISTARA.



Es lógico que el hacker haya "mejorado" su engendro para evitar ser eliminado...



A la espera de sus noticias, reciba saludos



ms, 28-6-2012

[mariofm]

A ver...varios temas antes de proceder a hacer lo indicado,



Primero, cómo me pueden haber cambiado el archivo .sys de protección del cutwail si mi PC está desconectado de la red y por mucho que el "hacker quiera mejorar su virus" no puede acceder a mi PC...está desconectado desde antes que supuestamente EliStarA 27.77 controla dicho cutwail con lo cual el archivo .sys de protección tiene que ser el mismo, al menos yo lo entiendo así...?¿



Yo hasta ahora siempre he pasado EliStarA desde "modo seguro", no "modo seguro con símbolo de sistema"... Cómo puedo pasarlo como decís cuando arrancando de la segunda manera no me aparecen iconos en el escritorio y tampoco el de EliStarA???



Ayer en algunas ocasiones se me inició EliStarA automáticamente al reiniciar pero ahora no...de qué depende y cómo puedo hacer que se inicie solo? (de esa manera no tendría problemas con el modo seguro con símbolo de sistema)



Cómo puedo iniciar de "modo seguro con símbolo de sistema" y visualizar iconos? (me aparece pantalla fondo negra y sólo se me abre el DOS, si tengo que ir a eliminar el archivo manualmente o enviaroslo debo poder ver los iconos de windows)



Espero respuesta...

[mariofm]

Ah y... yendo al tema... no me deja renombrar el archivo que entiendo es el .sys en cuestión. Por el momento en "modo seguro", me dice que "se requieren permisos de administrador para realizar cambios en el archivo".



No sé si el problema de todo puede ser que lo suyo es hacerlo como decís en "modo seguro con símbolo de sistema" (aunque también me parece motivo insuficiente) pero hasta el momento soy incapaz...



Una observación, sí parecen dígitos aleatorios pero son 15 y no 16.



Saludos y espero respuesta lo antes posible por favor.

Gracias.

[mariofm]

A todo eso ya he conseguido ejecutar EliStarA desde DOS con "modo seguro con simbolo de sistema" y el resultado es el mismo... detecta el infectado y dice no poderlo eliminar pero completará la limpieza en el próximo reinicio. En el próximo reinicio se inicia ElistarA solo pero no se borra el virus. Seguimos igual...



Mañana quiero probar de renombrar el .sys desde DOS aunque no sé hacerlo, si me lo explicárais te lo agradecería (algunos somos meros usuarios y desconocemos el lenguaje y funcionamiento de comandos en DOS)



Gracias...en espera de respuesta a los últimos posts.

[msc hotline sat]

Respondemos a tus varias preguntas:



1.- El driver protector *.SYS lo genera el virus cuando infecta el ordenador, lo que pasa es que aun conociendo por su código el CUTWAIL especifico, pùede que el driver sea una variante no conocida. Piensa que es Rootkit y que su detección es compleja, ya que no deja examinar su código cuando está en uso. Y si es una variante no conocida, hasta que no se conozca y elimine, no será posible eliminar el dichoso CUTWAIL.



2.- Evidentemente en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA no va a ver iconos, pues no se carga el EXPLORER, y se trabaja desde DOS, a diferencia de arrancar solo en MODO SEGURO, que sí se carga dicho EXPLORER y se dispone del entorno gráfico de Windows.



3.- Si al pasar el ELISTARA al final indica que no se ha podido completar la eliminacion y que se reinicie para ello, se instala una clave en el RUNONCE lanzandolo en el siguiente reinicio, pues muchas veces se ha primero de aparcar el bicho, o en este caso el protector, y en el siguiente reinicio ya no se cargará y el ELISTARA podrá hacer su trabajo, pero en este caso, si han cambiado el dirver, no lo puede renombrer y sigue estando activo despues de reiniciar.



4.- A lo que dicves de "no me deja renombrar el archivo que entiendo es el .sys en cuestión. Por el momento en "modo seguro", me dice que "se requieren permisos de administrador para realizar cambios en el archivo"



Pues envianos dicho fichero y ya haremos que el ELISTARA lo controle, renombre y asi pueda acabar con esta nueva variante.



Y procura ser mas explicito, dices que :



" Una observación, sí parecen dígitos aleatorios pero son 15 y no 16. "



Mejor precisa de cuantos digitos es ...



5.- Y para renombrar el fichero bajo DOS, simplemente es con un REN:



REN FICHERO.SYS FICHERO.SYS.VIR <ENTER>





Esperamos la muestra del driver .SYS en cuestión, para proceder en consecuencia







[b]¿Como enviar las muestras a zonavirus?



- Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en



nuestras utilidades, de lo cual informaremos



saludos



ms, 29-6-2012

[mariofm]

Hola, un par de cosas...



Entiendo que la variante del driver puede ser desconocida, y evidentemente también que la detección es compleja. Yo lo único que digo es que la versión de EliStarA que actualizásteis para controlar este CUTWAIL la hicisteis a partir de una muestra que os envié yo anteriormente y que desde entonces, mi PC ha estado desconectado de la red. Por ello se me hace difícil entender que me hayan podido cambiar el archivo .sys de protección o que éste sea diferente del que ya os sirvió a vosotros para que EliStarA 25.77 y posteriores lo controlaran.



El tema del reinicio para que EliStarA acabe de completar la limpieza, es posible que yo no esté reiniciando de la manera correcta (modos seguros, simbolos y demás...) o no haga algún paso necesario con EliStarA una vez reiniciado para que la utilidad acabe de eliminar el archivo?

Ya os digo, yo no entiendo del tema (de ahí que tampoco supiera lo que comporta arrancar con o sin simbolo y de en qué caso carga windows i en cuál no) así que si creéis que hay alguna manera muy específica de actuar al reiniciar después de pasar EliStarA...decid me lo por favor porque quizás hago algún paso de más o de menos.



En cuanto al fichero .sys... soy explícito y preciso, son 15 dígitos que parecen aleatorios (no 16, si estoy mirando el driver correcto). Nombre concreto: aa8c5c084ed32b5.sys



Voy a intentar renombrarlo y enviaros muestra. En cuanto lo tenga os envío.

[msc hotline sat]

Hoy hemos estado centrados en problemas de clientes con un [url=http://www.zonavirus.com/noticias/2012/nueva-variante-de-zeroaccess-que-es-una-derivacion-del-sirefef-sirefef-d.asp]nuevo SIREFEF, de la familia ZEROACCESS[/url], otro RootKit de pelicula para no dormir, y aparte de atender las urgencias diarias, no ha habido tiempo para mirar tu Cutwail y ver si infectandonos de nuevo con él, el ELISTARA lograba detectar el driver de proteccion, por heuristica, ya que no deja mirar su código, y asi poder proceder contra el Cutwail de marras.



Si tienes dicho fichero de 15 digitos como dices, de nombre aa8c5c084ed32b5.sys envianoslo para analizar para que el lunes lo comparemos con el que nos cree al ejecutar tu muestra del

K0KCWZ1XJP.EXE.



Despues de enviarnos el aa8c5c084ed32b5.sys , añade .VIR a su extension en la forma que te hemos dicho, desde una ventana al DOS, ve a la carpeta donde esta el driver y con un REN lo renombras:



REN aa8c5c084ed32b5.SYS aa8c5c084ed32b5.SYS.VIR <ENTER>





(Te recuerdo que para llegar a la carpeta C:\windows\system32\drivers\ donde está el .SYS indicado, basta lanzar CD\windows\system32\drivers\ <ENTER>)





Y el lunes, a la vuelta al trabajo en SATINFO,. seguiremos...



saludos



ms, 29-6-2012

[mariofm]

Dicho lo de antes y leído lo de ahora, estoy definitivamente desesperado...



1- Desde DOS y en el directorio de "drivers" de "system32", no me deja renombrar el archivo! ACCESO DENEGADO!!!



2- Y lo peor y ya para acabarlo de rematar, desde WINDOWS y con WinZip o WinRaR, no me deja crear el archivo comprimido!

Mensaje: imposible crear fichero, ACCESO DENEGADO!!!



Bajo estas circunstancias, yo cómo os envio muestra para analizar? No me deja hacer absolutamente nada relacionado con este archivo, es una locura! ...



p.d.: Necesito deshacerme de este bicho, pero si de ninguna manera lo pudiéramos conseguir... Valdrá hacer un backup de los documentos personales y formatear el PC o el CUTWAIL podría sobrevivir al formateo en algún rincón?

Y si es así... Puedo fiarme de que haciendo backups no se me van a infectar los discos duros de seguridad con el mismo engendro y fastidiarlo todo definitivamente?



Espero respuesta en cuanto podáis por favor, gracias.

[msc hotline sat]

Evidentemente con un backup de todo el disco duro, el virus pasaría al nuevo ordenador,. asi que lo que ha de hacer es eliminar el virus, que no es tan fiero el leon como lo pintan ! :)



Prueba simplemente de arrancar EN MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, ello arrancará en DOS sin el entorno windows, y asi ve la la carpeta indicada y mira de renombrar el driver añadiendole .VIR, y luego reinicia y envianoslo.



Si ni asi pudieras, sin miedo a equivocarme lo podrías hacer arrancando con el CD de instalacion y pulsando R para acceder a la Consola de recuperacion, y desde alli, acceder a dicha carpeta y renombrar el fichero .SYS y demás indicado. Ello es mas laborioso, pero al no arrancar con el disco duro, seguro que ya no se cargará el driver, y se dejará tocar !



Por último aun cabría otra solucion si no encontraras el CD de instalacion, y es colocar el disco duro como esclavo en otro ordenador limpio, y arrancando con el MASTER, luegon acceder al esclavo, e incluso desde windows podrías renombrar el driver y demás.



Total, una vez renombrado el fichero, el CUTWAIL está indefenso y el ELISTARA podrá con él, aunque se trate de una variante no conocida, que pasaremos a controlar tan pronto recibamos dicho nuevo driver.



Cada día hay miles de nuevas variantes de malwares, que gracias a métodos heuristicos o manuales como en este caso, encontramos el causante y pedimos el envio de la muestra y tras analizarla y monitorizarla la pasamos a controlar, lo cual a veces es fácil y a veces mas dificil cuando se trata de rootkits, pero todos acaban cayendo, y hasta ahora ya son 80 millones las variantes de malwares conocidos, y 60.000 nuevas cada día (datos de McAfee)



Espero que con lo indicado lo puedas solucionar, y sino, en cuanto dispongamos de la muestra pedida, incluiremos su control y eliminacion en el ELISTARA 25.81 del lunes, y listos !



saludos



ms, 30-9-2012

[mariofm]

Con lo del "backup" no me refería a todo el disco duro a otro ordenador sino, carpetas determinadas de mis documentos a un disco duro externo y formatear mi PC teniendo de donde recuperar la info. Pensaba que igual al ser sólo un disco duro externo sin sistema no se contagiaría de un virus que necesita cargarse...no lo sé, sólo pienso aunque la verdad no me fío.



Y por lo que respecta a la eliminación del CUTWAIL...el problema es que no sé como enviaros la muestra porque, como ya te escribí en el post anterior, he arrancado el PC EN MODO SEGURO CON SIMBOLO DE SISTEMA y desde DOS y sin entorno Windows cargado he intentado rebombrar el archivo con el REN...pero no me deja!, ACCESO DENEGADO me dice.



También he probado de comprimirlo en una zip o rar con contraseña como indicáis sin renombrarlo para enviaroslo tal cual, pero tampoco me deja crear el fichero comprimido...IMPOSIBLE CREAR FICHERO... ACCESO DENEGADO. Lo dicho, que no me deja hacer nada con el maldito driver, ni renombrarlo ni eliminarlo ni comprimirlo para enviaros lo...nada...



Por lo que respecta a las otras opciones que me propones... no tengo disco de instalación aunque imagino que puedo probar de crearlo y arrancar desde él (aunque no lo he hecho nunca y no sé hasta que punto sabré)

La última opción, de colocar el disco como esclavo en otro PC y arrancar, no sé hacerlo, ni me atrería a probarlo.



...

Voy a intentar si puedo crear disco de recuperación de sistema y arrancar desde él...a ver si me las apaño, si no, ya no sé más.

[msc hotline sat]

Trataremos de crearlo nosotros desde la muestra del fichero que nos enviaste, a ver si nos produce el mismo efecto y lo pasariamos a controlar



Lo malo es que ello ya se hizo cuando nos la enviaste, y la eliminacion fue satisfactoria, asi que puede ser que en tu equipo el fichero sea diferente, como hacen muchos virus que crean diferente fichero segun sistema, hardware, etc, por esto te pediamos el que hubiere en tu máquina.



El lunes trataremos de dedicar tiempo a tu caso, si podemos, pues en fin de semana siempre hay aglomeracion de consultas de clientes, y ellos son antes que todo !



Tambien podrías arrancar con un LIVE CD, pilitos , Bart PE, Hirens, etc, y acceder a dicho fichero para renombrarlo y enviarnoslo, si puedes, mucho mejor, pues posiblemente asi podrias eliminar luego el Cutwail con el ELISTARA que tuvieras, al no estar cargado el dichoso driver (por estar renombrado), aparte de poder nosotros controlarlo en la proxima version del ELISTARA, claro.



Si no lo recibimos, obraremos en consecuencia segun indicado.



saludos



ms, 30.6.2012

[mariofm]

Yo intentaré acceder, renombrarlo y enviaros lo, lo que pasa que algunas acciones me están costando de realizar dado midesconocimiento del tema...por ejemplo y concretamente importnte para el caso... mi sistema es Windows 7 y hoy he creado el disco de reparación del sistema pero...cómo arranco el PC desde el disco sin que me cargue el sistema instalado en el ordenador?

Presiono R al reiniciar y me da dos opciones, arrancar windows 7 (en cual caso me arranca normal y no hemos conseguido nada) y windows memory diagnostic (lo cual no he probado porque desconozco lo que es y no quiero cometer algun error grave teniendo en cuenta que no tengo backup de documentos actualizado)...

Cómo arranco desde el disco de manera que no me cargue el Windows del PC pero sí pueda navegar por las carpetas y renombrar el dichoso archivo???



Gracias.

[msc hotline sat]

Debes configurar el SETUP del ordenador para que arranque prioritariamente desde CD.



Para ello, pulsa DEL o SUPR cuando arranques y podrás acceder al SETUP



Busca el BOOT SEQUENCE e indica que en lugar de arrancar primero de HDD, lo haga de CD si lo hay, y luego lo salvas.



Con el CD insertado, teinicia y entonces lo hará de CD.



saludos



ms, 1-7-2012

[mariofm]

LO CONSEGUÍ!!!



No sé cómo pero desde reparación de sistema fuí a cargar controladores y renombré el .sys. Inmediatamente pasé EliStarA desde MODO SEGURO CON SIMBOLO DE SISTEMA y... me lo ha eliminado! Ya ha vuelto a la normalidad el McAfee que vuelve a estar activo así que entiendo que el bicho ya no está...!



Os envío a continuación un RAR con el archivo renombrado para que lo useis mañana en nuevo EliStarA!



Sólamente una duda más, no sé por qué, después de modificar varias veces en las últimas horas el modo de arranque y desde dónde y aunque haya vuelto a arrancar normal, me aparece en el escritorio abajo a la derecha un texto que dice:



Modo de Prueba

Windows 7

Compilación 7600



Qué significa y cómo vuelvo al modo normal? (en Setup ya he devuelto arranque desde HDD en prioridad 1 y además por si me dejaba algo he hecho F9, load defaults)



Saludos, Gracias y espero respuesta a la última duda...

[mariofm]

ah y... el escritorio, cuando se me metió el Cutwail se me desordenaron los iconos del escritorio reagupándolse todos juntos a la izquierda de la panalla...no los puedo reordenar, al actualizar o reiniciar se vuelven a agrupar todos allí.



Tiene algo que ver? Cómo deshago el bloqueo? (Ya he probado en opciones y personalizaciones y no...)

[msc hotline sat]

Lo de alinear los iconos a la izquierda nos lo hace tambien el ZEROACCESS (Sirefef.D), y si bien eliminamos el virus y las claves que lanzan los malwares, no desaparece dicha alineacion, por lo que suponemos que es alguna modificacion de las policticas de windows, aun sin determinar.



No nos ha ocurrido dicho efecto con el CUTWAIL, por lo que ves que no tenga además dicho SIREFEF...



Descargue el ELISTARA 25.81 que estará disponible en nuestra web a partir de las 12 h CEST, y posteenos el informe resultante. Alli veremos si hay que hacer algo mas.



saludos



ms, 2-7-2012

[mariofm]

Y lo de "modo de pueba Windows 7 Compilación 7600? Cómo lo devuelvo a modo normal?



Y lo de descargarme EliStarA de hoy...cada vez que actualizéis la utilidad y yo me la baje tengo que hacer la operacíón del código vía SMS y pagar el servicio...lo digo porque ya lo he hecho unas cuantas veces, si no hay más remedio OK, pero...



Espero respuesta, Gracias.

[msc hotline sat]

Hay tres maneras de disponer de nuestras utilidades, contratar los servicios de Satinfo que ofrecemos a traves de los distribuidores cuando nos contratan la licencia de uso de antivirus de McAfee, con lo que se dispone de acceso a las utilidades duarnte un año (y solo es un 15 % del precio de la licencia), o contratar las actualizaciones para las utilidades mas usadas, entre ellas el ELISTARA, lo cual va en funcion de los ordenadores en los que se quieran usar (solo sirven para ellos y no para otros), o a traves de este foro, que se cobra solo el mantenimiento del servidor de descargas, y por un SMS la descarga se baja las que necesita, y hasta 25 al año es lo mas barato para el forero, si bien no se adquiere licencia de uso sino solo de prueba, que es para lo que se ofrecen en este foro.

Vd mismo, pongase en contacto con cualquier distribuidor al respecto, o si quiere la segunda opcion, pùede hacerlo incluso mediante compra ONLINE

DISTRIBUIDOR ONLINE DE SATUPDATER

Pero le adelanto que la version de hoy solo se diferencia de la anterior en lo que a Vd le afecta, en el control del driver .SYS -CUTWAIL.BE(dr) y en la eliminacion de su variante de dicho CUTWAIL, ademas de otras historias para otras variantes

pero no se ha modificado lo de la alineacion izquierda de iconos, ello debe ser un efecto que aun no hemos investigado.

Si decide probar la nueva version 25.81 del ELISTARA, posteenos el contenido del infosat.txt para poder ver lo que ha detectado en su ordenador, e indiquenos el resultado con el Cutwail.

saludos

ms, 2-7-2012

[mariofm]

En lo que se refiere al log del EliStarA con la eliminación del Cutwail, ya no os puedo postear el del 25.81 porque como ya sabéis ya he eliminado el virus renombrando el .sys y pasando EliStarA 25.78...con lo cual ya no lo tengo en el PC el Cutwail...



Lo del nuevo lo decía, por lo que comentabas que la alineación de escritorio podía ser resultado de tener el Sirefef que mencionabas.



Así qué... Si tuviera en mi PC el mencionado Sirefef, me serviría igual el 25.78 que el 25.81 o hay alguna actualización al respecto? (si no la hay, EliStarA 25.78 no me encuentra nada ya...)



Y perdona que insista pero es que no me habéis contestado a esta duda, después de los múltiples cambios de arranque me sigue apareciendo abajo a la derecha de la pantalla el mensaje; "Modo de Prueba, Windows 7, Compilación 7600".

Me podéis decir a qué se puede deber esto y cómo puedo solucionarlo?



Te adjunto de todas formas el último log al eliminar el Cutwail:



Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Users\MARIO\K0KCWZ1XJP.EXE --> Eliminado, Cutwail.BE



Nº Total de Directorios: 45059

Nº Total de Ficheros: 381963

Nº de Ficheros Analizados: 101145

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(1-7-2012 14:48:33 (GMT))

EliStartPage v25.78 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Junio del 2012)



Dicho esto ya sólo os ruego que me ayudéis con este par de temas, la alineación de los iconos y el dichoso mensaje de Windows modo de prueba.



Espero respuesta, gracias.

[msc hotline sat]

Bien, pues damos por solucionado el Tema del Cutwail, y al respecto del problema de la alineacion de iconos a la izquierda de la pantalla, mira lo que decimos hoy en:

http://www.zonavirus.com/noticias/2012/ ... ntalla.asp

Y sobre lo de "Modo de Prueba, Windows 7, Compilación 7600", mira si tras probar el nuevo ELISIREF 1.99 y reiniciar, aun persiste o ya se ha solucionado tambien, y nos lo cuentas.

De todas formas mira lo que dice Microsoft al respecto : https://support.microsoft.com/es-es/hel ... in-windows

saludos
ms, 3-7-2012

[mariofm]

He pasado el EliSiref 1.99 de hoy y, ha resultado que también tenía un Sirefef! Me ha propuesto reiniciar el sistema para completar la eliminación pero después del reinicio sigo con el problema de la alineación de iconos a la izquierda.



Así que aunque al explorar el PC con EliSiref ahora no me dé fallos, no me ha confirmado la eliminación del Sirefef detectado y además no cesa el fenómeno iconos a la izquierda...con lo cual no sé si debo entender que dicho virus se ha eliminado completamente o no... ?¿



(3-7-2012 15:03:05 (GMT))

EliSirefef v1.99 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.



(3-7-2012 15:19:44 (GMT))

EliSirefef v1.99 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 45110

Nº Total de Ficheros: 388238

Nº de Ficheros Analizados: 29432

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

A ver, lo que intentamos con el actual ELISIREF 1.99 es que si desplaza un icono y reinicia o pulsa F5, se mantenga donde lo ha dejado, y no vuelva a la izquierda.



No sabemos donde estaban antes, pero la cuestion es que si ahora los coloca donde quiera, se mantengan ahí.



Pruebelo y nos comenta el resultado, gracias



saludos



ms, 3-7-2012

[mariofm]

A ver, es lo que os he comentado en el post justo arriba del último vuestro... He pasado el EliSiref 1.99, me ha detectado Sirefef y sacado mensaje de "reiniciar para completar limpieza" como puedes ver en el log adjunto.



Pero los iconos al moverlos (independientemente de cómo estuvieran antes) vuelven a alinearse al actualizar con F5 o reinicio.



Entonces, visto esto... ya que siguen alineándose solos y ya que EliSiref no me ha confirmado eliminación... Puedo fiarme de que el virus se haya eliminado?

[msc hotline sat]

Tras la deteccion se pedia reiniciar, y en el infosat no hay posterior lanmiento del ELISIREF.



Quizas no se apagó el ordenador o no se arrancó en modo normal (en MODO SEGURO no se lanzan los RUNONCE).



Ahora que habrás reiniciado normalmente, dinos si se lanzao de nuevo el ELISIREF automaticamente, y sino, hazlo manualmente.



Tras todo ello, vuelve a postearnos el infosat.txt, al que se habrá añadido el último lanzamiento.



Y tras ello debería haber quedado solucionado lo de la alineacion de iconos, pues se han restablecido las claves que lo afectaban, dinos a ver si ahora ya va bien, gracias



saludos



ms, 3-7-2012

[mariofm]

A ver, os explico exactamente cómo he obrado después de bajarme EliSiref 1.99 y a ver si detectáis algún fallo...



0-He descargado y descomprimido EliSiref 1.99 en escritorio.



1-He reiniciado ordenador en MODO SEGURO CON SIMBOLO DE SISTEMA y he buscado escritorio y he ejecutado EliSiref 1.99.



2-Nada más abrirse me ha saltado mensaje "Se ha detectado Sirefef, se necesita reiniciar para completar la eliminación" - "reiniciar ahora?" - He aceptado y se ha reiniciado sin que se haya llegado a hacer exploración.



3-Al iniciarse el ordenador (en MODO NORMAL) se ha iniciado automáticamente EliSiref dándome la opción de "Explorar" pero sin mencionarme nada de la eliminación o no del Sirefef anteriormente detectado.



4-He salido de la utilidad ya que quería "EXPLORAR" desde MODO SEGURO CON SIMBOLO DE SISTEMA.



5-He reiniciado en M. S. CON SIMBOLO DE S. y he buscado y ejecutado EliSiref. Esta vez no me ha detectado nada a priori.



6-He explorado la unidad C/ y el resultado ha sido de 0 infectados y 0 eliminados.



*TODO ESTO QUE OS EXPLICO ES ANTERIOR A LA INFO QUE OS HE PEGADO DEL INFOSAT*



p.d.: además después he pasado la utilidad por un disco duro externo y para asegurarme después he vuelto a pasarla por C/ y me sigue dando 0 infectados y 0 eliminados. Qué hago? Lo vuelvo a pasar? No lo entiendo...