TROYANO BLOQUEA SISTEMA DE SEGURIDAD (SOLUCIONADO)

[msc hotline sat]

Pues podría ser que entre el Cutwail y el Sirefef hubieran hecho algo mas de lo que habitualmente conocemos, o que algunas herramientas (no las nuestras) hubieran borrado la DLL de la class que restauramos, o que esta esté corrupta... ???



Igualmente tenías la anomalía de lo que te aparecía respecto "modo de pueba Windows 7 Compilación 7600", dinos si aun persiste o se ha solucionado.



Parece que todo lo que indicas haber hecho, ha sido correcto, pero en tu caso no ha sido suficiente, trataremos de encontrar la causa e indicarte la solucion.



saludos



ms, 4-7-2012

[mariofm]

Lo de Window7 modo de prueba Compilación 7600 lo he podido solucionar según lo que me linkásteis que proponía Microsoft. He apagado el modo de prueba manualmente desde DOS como se indicaba en el link. Gracias.



Por lo que se refiere a la alineación...ayer noche pasé EliSiref con el PC en MODO NORMAL (por lo que me comentásteis de que se cargaba o no nosequé) y después de más de hora i media de exploración el resultado es el siguiente:



(4-7-2012 00:35:44 (GMT))

EliSirefef v1.99 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 45123

Nº Total de Ficheros: 388306

Nº de Ficheros Analizados: 29432

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



*y una vez finalizada la exploración y reiniciado el PC, el problema de los iconos persiste*



p.d.: Aún sin haber solucionado dicho problema, dado el resultado del EliSiref, debo entender que el Sirefef detectado hace un par de días está eliminado o hay alguna duda puesto que EliSiref no me ha confirmado "fin de eliminación" ???¿¿¿

[msc hotline sat]

Pues el SIrefef es un RootKit que se oculta de mala manera, ya inicialmente a traves de una carpeta con atributo junction, (el unico entre los 80 millones de virus conocidos) y ahora este nuevo que usa cambios en el lanzamiento de SHDOCVW.DLL, existente tanto en XP como en W7, y que intentamos detectar y restaurar, pero en cada ordenador usa una carpeta diferente y su detección es compleja, solo posible de momento por la class que lanzan determinados ficheros, pero si estos son borrados por los AV, nos quedamos a oscuras...



Cada día mejoramos las utilidades con los últimos descubrimientos, y este de la alineación ya lo tenemos generalmente superado, salvo casos atipicos, como puede ser el tuyo, bien por no tener en la carpeta de sistema la DLL indicada (compruebalo) o por que se ha eliminado la clave de carga de dicha DLL, por alguna causa desconocida.



Cuando tengamos novedades, editaremos nueva version que subiremos a las webs, de lo cual informamos cada vez, vea si con la 2.00 se controla algo mas en su caso... ???



saludos



ms, 4-7-2012

[mariofm]

Pero en mi caso, EliSiref me lo detectó...lo único que desconozco si lo ha eliminado. (ya no lo detecta lo cual hace pensar que lo ha eliminado, pero el problema de la alineación persiste lo cual hace pensar que aún hay algo) El único que no sabe si pensar que está eliminado o no soy yo...



De todas formas, si el Sirefef este siguiera escondido por ahí, en qué me puede afectar a mí en cuanto a funcionamiento y seguridad de los documentos? Cual es exactamente su función y qué es lo que me hace a mí a efectos prácticos? Y por último, formateando el PC lo eliminaría?

[msc hotline sat]

Con las tropecientas variantes que existen del ZEROACCESS, y entre ellas la familia del SIREFEF que es un RootKit de cuidado, y del que nos consta que existen variantes desconocidas como la que parece tienes, solo podemos decirte que de lo que haga, nada será bueno para tí ... !



A medida que vayamos recibiendo nuevas muestras, implementaremos su control y eliminacion en las proximas versiones del ELISIREF, como siempre hacemos con nuestras utilidades.



Y lo que preguntas de si formateando se eliminaría, afirmativo, pero si restauras las aplicacioens a través de backup o copia de seguridad, es posible que vuelvas a instalarlo.



Pero si solo es la alineacion izquierda de los iconos, es posible que ya no tengas SIREFEF, sino que tu variante haya modificado alguna historia que todavía no conozcamos, pero que el virus ya esté eliminado, y una vez sepamos lo que requiere restauracion, procederemos a ello.



Sabemos que le afectan las llamadas a la DLL que ya indicamos en posta anteriores, pero son muchas las llamadas a la misma, y es cuestion de restaurar solo la modificada, y en ello estamos...



Cuando lo descubramos, implementaremos dicha restauracion en la siguiente version del, ELISIREF, de lo cual informaremos en el foro.



saludos



ms, 5-7-2012

[msc hotline sat]

Bueno, parece que hemos encontrado la manera de restaurar la alineacion en todos los sitemas, tras sufrir el ataque de este dichoso SIREFEF.D



Lo implementaremos a partir del ELISIREF 2.00



Descargala a partir de laa 15 h de hoy y nos comnetas el resultado, gracias



saludos



ms, 5-7-2012

[mariofm]

Descargado.



Desde dónde tiene más sentido lanzar EliSiref en mi caso, desde MODO SEGURO CON SIMBOLO DE SISTEMA o MODO NORMAL?



(para detectar y eliminar por lo que decíais de los Rennounce o no sé cómo se llamaban)

[mariofm]

Pasado EliSiref 2.00 desde MODO SEGURO CON SIMBOLO DE SISTEMA y también desde MODO NORMAL. No detecta nada ni borra nada pero sin embargo el problema de la alineación de iconos persiste...





(5-7-2012 16:41:16 (GMT))

EliSirefef v2.00 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 5 de Julio del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 44922

Nº Total de Ficheros: 388924

Nº de Ficheros Analizados: 29414

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(5-7-2012 17:02:43 (GMT))

EliSirefef v2.00 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 5 de Julio del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 44924

Nº Total de Ficheros: 388969

Nº de Ficheros Analizados: 29414

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



p.d.1.: Cuando decís que lo que me puede estar haciendo el Sirefef (si es que lo tengo) no es "nada bueno para mí", a qué os referís? Podéis ser un poco más concretos? Corre peligro la información almacenada en el HD?



p.d.2.: Cuando hablo de formatear evidentemente no hablo de restaurar los programas desde un Backup, el Backup sólo sería de la información, de los documentos que almaceno. Cuando hago backup de archivos en un disco duro externo corro peligro de infectarlo también?

[msc hotline sat]

1.- Simplemente, que el ZEROACCESS es un rootkit tan complejo y con tantas variantes, que cualquiera sabe lo que te puede hacer, aparte de lo que ves...



Lo de los iconos, creemos que es simple cuestion de la DLL SHDOCVW, que no la carga adecuadamente, pero ya estamos restaurando varias claves que lanza segun cada sistema operativo, y si ni asi lo logras en tu equipo... pues igual es por cualquier otro de los que descarga el VBNA, ya que tambien tuviste el CUTWAIL, y como que no hay dos sin tres... igual tienes algo aun no conocido ni controlado. De hecho las descargas de los servidores infectados, especialmente del VBNA, acostumbran a dejar el ordenador cosido de virus !



Seguiremos investigando e informaremos





2.-Y hay virus que infectan los datos, y que se propagan a traves de ellos, como el reciente FAKEDOC, que convierte los DOC en SCR infecciosos, por ejemplo. Por ello lo de formatear no es siempre suficiente, si se vuelven a poner los datos guardados.



Pero es una opción, tu mismo.



saludos



ms, 6-7-2012

[mariofm]

1- El mencionado DLL SHDOCVW, dónde se ubica? En qué ruta/ubicación/carpeta debo buscar si está para comprobar su existencia en mi PC?



2- Si mis únicos dos virus actuales (ya eliminados o aún escondidos por ahí) son el Cutwail y el Sirefef, puedo fiarme de que al hacer Backup sólo de archivos/documentos a un Disco Duro Externo no lo estoy propagando y que al formatear PC y recuperar documentos de los Backups no volveré a instalar los virus en el ordenador recién limpiado?

[msc hotline sat]

1.- Sí, seguro que la tienes, es una DLL que se ubica en la carpeta de sistema



Lo malo es que la usan muchos servicios, y este SIREFEF tambien :?



Y parece que en XP se deja eliminar, pero con Windows 7 se protege demasiado... lástima que no lo haga para evitar la infección, no la limpieza !





2.- Y, que sepamos, los dos virus indicados, SIREFEF.D y CUTWAIL no afectan datos, pero vete a saber ...



De todas formas, como que no vas a perder nada, puedes probar lo indicado, por lo menos no empeorarías las cosas... mas bien tiendes a mejorarlas.



Ya nos contarás tus progresos al respecto



saludos



ms, 6-7-2012

[mariofm]

"Lo indicado" te refieres a formatear? Es decir, limpiar lo que pueda con EliStarA y EliSiref tanto el disco duro del PC como los externos, hacer backup/s de los datos y formatear el Ordenador?



O te referías a probar algún otro paso antes de formatear?



*actualmente el único problema aparente es que no consigo solucionar el tema de la alineación y ordenación automática del escritorio (claro está que éste es el único aparente, desconozco si hay alguno más que no lo sea...)*

[msc hotline sat]

Como sea que usas windows7, mira lo que decimos al respecto a otro usuario, al que se le ha enviado un .REG y si con ello lo solucionara, te lo podriamos enviar en privado tambien a ti:

viewtopic.php?f=5&t=41123

saludos

ms, 9-7-2012

[mariofm]

Bien, si supiérais que le funciona os agradecería si me lo enviárais y explicárais lo que es y como se usa.



Gracias.

[msc hotline sat]

Es la clave que lanza la carga de la DLL, pero solo corrige la alineacion de iconos, el resto con windows 7, por el momento desistimos.



Es un sistema protegido de foma que no evita que le entren los virus, pero sí eliminarlos !



Te lo enviaré a través de privado, pues resulta peligroso al ser incompatible con XP.



saludos



ms, 10-7-2012

[mariofm]

Perdón, a qué te refieres con; "Es un sistema protegido de foma que no evita que le entren los virus, pero sí eliminarlos!" ?¿



Y en respecto a lo que me envias... sólo sirve para corregir la alineación o también para tratar algun "posible" sirefef?



Y, con windows 7 no hay ningún problema con probar de usarlo? No me peligra algun fallo en sistema/datos/lo que sea...?

[msc hotline sat]

1.- Pues que los virus siguen entrando en el W 7, pero los cambios realizados por ellos son mas dificiles de eliminar.



2.- El .reg restaura la clave de lanzamiento de la DLL en cuestion, dejandola como estaba antes del SIREFEF, y la posicion de los iconos puede modificarse sin volver a la izquierda, pero no hace nada mas de lo que modifica el SIREFEF. Mira con el bloc de notas el contenido de dicho .REG



3.- Hoy estamos haciendo nueva version ELISIREF 2.02 que rompe otras barreras de dicho Rootkit... Pruebalo a partir de las 15 horas que estará disponible en la web-



saludos



ms, 11-7-2012

[mariofm]

Después de haber pasado N veces EliStarA y EliSiref y analizar con McAfee el ordenador y los discos externos donde hago backups, y haber eliminado un Cutwail, un Sirefef y un virus de pendrive, me pongo a hacer nuevos backups por si me decido formatear y al abrir EliStarA para comprobar que estoy limpio...me sale esto:



Usuario: MARIO

ID de Usuario: S-1-5-21-2696477340-1140140106-4071653979-1000



Lista de Acciones (por Acción Directa):

Detectado AUTORUN.INF en la Unidad (Y)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



De verdad yo ya no entiendo ni de donde sale esto ni por donde se cuela ni por qué no lo han detectado antes ninguno de los programas ni QUÉ DEMONIOS tengo que hacer parqa limpiarme de una vez por todas para al menos poder formatear y gravarme los datos sabiendo que no me volveré a infectar...



Si sabéis lo que es y podéis indicarme como debo actuar al respecto os lo agradezco...

[mariofm]

La unidad Y es la de RECOVER... hace unos días creé el disco de reparación de Windows, puede estar también infectado?



(Anteriormente ya había pasado EliStarA a todos los discos duros externos así que si esto es un virus de Pen Drive, no entieno de dónde sale)

[mariofm]

EliStarA me dice que os envíe la aplicación si no la conozco, pero no sé como acceder a dicha unidad Y para extraer el archivo.



Cuando analizo la unidad Y: por exploración EliStarA resuelve con 0 infectados, 0 eliminados aunque al iniciarse me haya saltado el aviso de "detectado AUTORUN.INF...." Y al salir y volver a iniciar la utilidad me vuelve a detectar (sólo desde MODO NORMAL como administrador, no desde SEGURO CON SIMBOLO DE SISTEMA)



Lo que he hecho es buscar en "búsqueda" de "inicio" "AUTORUN" y he encontrado varios .INF y un .BAT aunque en ubicaciones de C:. Desconozco si tienen nada que ver con el archivo potencialmente infectado de Y: pero es lo que he podido sacar y os envío muestras a continuación. (posteriormente he borrado dichos "AUTORUN" del PC.



A ver si me podeis decir si hay algo preocupante en lo que os envío y si hay algo preocupante en el aviso de EliStarA sobre la unidad Y:



Espero noticias, gracias...

[msc hotline sat]

En el AUTORUN.INF que nos has enviado vemos que lanza el fichero grease.exe:



[autorun]

open = grease.exe



envianos dicho fichero para analizar, y recuerda que para evitar la prpagaicon de los virus de pendrive, disponemos del ELIPEN:







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 13-7-2012

[mariofm]

Vale, imagino que os he enviado un archivo que no tiene nada que ver...



Asustado por la detección de AUTORUN.INF con EliStarA he borrado todos los archivos con ese nombre de la unidad C:. Imagino que no hacia falta porque no son aquellos de los que me había advertido la utilidad y imagino que lanzan cosas que no tienen nada que ver (desconocía la funcion de los archivos "autorun")...



Para enviaros el detectado en cuestión (que por cierto no simpre me lo detecta...), cómo accedo a la unidad Y... Es la de Recovery? Es una unidad oculta? Cómo extraigo yo el archivo de ahí?

[mariofm]

Sigo sin saber cómo sacar el archivo de la unidad Y para enviaros lo. Como veis en el log el EliPen también lo detecta.



(14-7-2012 12:51:51 (GMT))

EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad L:\ Protegida



(14-7-2012 12:52:06 (GMT))

EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad M:\ Protegida



(14-7-2012 12:52:23 (GMT))

EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



(14-7-2012 12:52:54 (GMT))

EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado Y:\Autorun.inf

SHELLEXECUTE=INFO.EXE PROTECT.ED 480 480



Y:\Autorun.inf -> Renombrado a .OLD

Unidad Y:\ Protegida



Espero respuesta...

[msc hotline sat]

Siendo la línea



SHELLEXECUTE=INFO.EXE PROTECT.ED 480 480



no te preocupes, en este caso el INFO.EXE es una especie de READ.EXE que visualiza el contenido del fichero que se le indique.



Ello es propio de algunos fabricantes, no malicioso. Dejalo estar. Máximo, cuando insertes este pendrive en ordenadores no protegidos, te leería dicho fichero, pero con el ELIPEN instalado en el ordenador, ya no se autoejecutará, si bien en otros casos, aunque no se autoejecute, conviene eliminarlo si es virus, claro, para no dejar ficheros viricos que pudieran ejecutarse manualmente, pero dicho fichero no hay riesgo ni que lo ejecutes.



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 17-7-2012