Eliminar Troyano Bifrose (SOLUCIONADO)

Micarro · Mensaje por **Micarro** » 05 Oct 2006, 20:14

El caso es q un dia me aparecieron las doble comillas ``. Entre aki a preguntar y m dijeron q pasara el ELISTARA, y cuando lo paso me detecta el Bifrose y lo elimina, supuestamente, pq de vez en cuand cuando enciendo el ordenador me vuelve a aparecer las ``, le paso el ELISTARA otra vez y me lo vuelve a detectar. He probado a kitar restaurar sistema y reiniciar en modo seguro y he pasado el ELISTARA, lo detecto y lo elimino, pero luego siempre vuelve a aparecer. Como lo puedo eliminar definitivamente?? Pq mi NOD32 no lo detecta, y el Panda Active Scan tampoco. Hay alguna forma manual de eliminarlo x completo?? GRACIAS

Por cierto, el archivo de texto q genera el ELISTARA es:

Wed Oct 05 20:11:24 2005

EliStartPage v12.40 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Entrada Eliminada [HKCU\...\Run] "startkey"="C:\WINDOWS\MSNNSr.exe"

Entrada Eliminada [HKLM\...\Run] "startkey"="C:\WINDOWS\MSNNSr.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

novatillo · Mensaje por **novatillo** » 05 Oct 2006, 20:29

Lo primero que tienes que hacer es descargarte el ultimo elistara el que tienes es viejo ya.

ELISTARA

http://www.zonavirus.com/descargas/elistara.asp

Lanzalo arrancando en modo seguro y tras reiniciar posteas el contenido de C:infosat.txt

Saludos

Mensaje por **msc hotline sat** » 05 Oct 2006, 21:09

A PARTIR DE HOY LA ELIMINACION DEL BIFROSE LA HEMOS PASADO AL ELITRIIP POR SUS CARACTERISTICAS

Descarguese pues el nuevo ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 5-10-2006

Micarro · Mensaje por **Micarro** » 06 Oct 2006, 18:08

He pasado el EliTriIP, he reiniciado y en el IFOSAT.TXT tengo lo siguiente:

Fri Oct 06 18:01:45 2006

EliTriIP v2.58 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\drivers\ssipddp.sys --> Eliminado, RootKit

Ahora mismo ya no me aparecen las dobles comillas, pero stoy seguro q a la 3ª o 4ª vez q reinicie aparecerá. La proxima vez q reinicie y aparezca, como he d operar??

Mensaje por **msc hotline sat** » 06 Oct 2006, 18:22

HOMBRE DE POCA FÉ !!!

Tenía problemas de eliminacion porque los Rootkit esconden procesos., ficheros y claves, y con ello dificulta su eliminacion, pero con nosotros ha topado...

Pero si queda con ello mas satisfecho, dejamos abierto el Tema para que pueda comprobarlo este fin de semana y cuanmdo estñe convencido de que está eliminado, nos lo indica-

NO VALE VOLVER A VISITAR LA PAGINA INFECTORA Y REINFECTARSE !!! :lol:

Saludos

ms, 6-10-2006

Micarro · Mensaje por **Micarro** » 06 Oct 2006, 18:48

De acuerdo. Trankilo, no haré trampas. Si vuelve a aparecer el problema lo postearé. Gracias!

Mensaje por **msc hotline sat** » 06 Oct 2006, 18:51

:lol: :lol: :lol: :lol: ESO ESPERO :lol: :lol: :lol: :lol:

ms-

novatillo · Mensaje por **novatillo** » 06 Oct 2006, 22:07

HABEMUS PAPAM :lol: :lol:

Saludos

Micarro · Mensaje por **Micarro** » 10 Oct 2006, 21:03

Me ha vuelto a aparecer ``, y t puedo asegurar q no m he metido en ninguna p´´agina rara. Voy a kitar restaurar el sistema y a reiniciar en modo seguro, pasar´´e EliTriIP de nuevo y supongo q lo borrar´´a, aunq no s´´e si ser´´a definitivo. Si despu´´es de pasar el EliTriIP vuelve a aparecer el problema, lo comentar´´e en este post. GRACIAS

Micarro · Mensaje por **Micarro** » 10 Oct 2006, 21:20

Esto es lo q me da el INFOSAT.TXT después de pasar el EliTriIP. Si vuelve a aparecer, avisaré.

Tue Oct 10 21:10:10 2006

EliTriIP v2.60 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\PLUGIN1.DAT --> Eliminado

C:\WINDOWS\SYSPR.PRX --> Eliminado

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Entrada Eliminada [HKCU\...\Run] "startkey"="C:\WINDOWS\MSNNSr.exe"

Entrada Eliminada [HKLM\...\Run] "startkey"="C:\WINDOWS\MSNNSr.exe"

Tue Oct 10 21:17:46 2006

EliTriIP v2.60 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\drivers\ssipddp.sys --> Eliminado, RootKit

Micarro · Mensaje por **Micarro** » 12 Oct 2006, 13:14

Vale, me ha vuelto a aparecer ``. He agotado todas las vias, q hago?? Alguna soluci´´on??

novatillo · Mensaje por **novatillo** » 12 Oct 2006, 13:47

Guarda elitriip en C/windows/system32 y arranca en modo seguro con simbolo de sistema (MSDOS) escribes elitriip y das a enter para ejecutarlo desde ahi y nos comentas si te vuelve a salir.

Saludos.

Mensaje por **msc hotline sat** » 12 Oct 2006, 21:28

Desde el 6 al 10 que no lo tenias es base para creer que lo eliminaste pero que te volvio a entrar

Ya sabes como eliminarlo.

saludos

ms, 12-10-2006

Micarro · Mensaje por **Micarro** » 14 Oct 2006, 15:02

Vale, m ha vuelo a aparecer. Así q he desactivado restaurar sistema, he reiniciar en modo a prueba d fallos, luego fui al MSDOS y activé el Elitriip desde allí. Me eliminó el Bifrose y el INFOSAT.TXT es:

Sat Oct 14 14:51:07 2006

EliTriIP v2.60 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\PLUGIN1.DAT --> Eliminado

C:\WINDOWS\SYSPR.PRX --> Eliminado

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS --> Eliminado

Entrada Eliminada [HKCU\...\Run] "startkey"="C:\WINDOWS\MSNNSr.exe"

Entrada Eliminada [HKLM\...\Run] "startkey"="C:\WINDOWS\MSNNSr.exe"

Lo de q me haya vuelto a infectar lo dudo mucho, pq no me he metido en ninguna página sospechosa. Yo creo q no se llega a borrar del todo, y de vez en cuando aparece d nuevo.

Mensaje por **msc hotline sat** » 15 Oct 2006, 00:40

Hay downloaders que descargan malwares de internet ...

Sea como sea ahora estas limpio no ?

Pues que dure ! :lol:

saludos

ms, 15-10-2006

Micarro · Mensaje por **Micarro** » 16 Oct 2006, 08:24

Ya stoy infectado de nuevo... `` Me da a mi q la ´´unica soluci´´on definitiva va a ser el formateo...

Mensaje por **msc hotline sat** » 16 Oct 2006, 10:05

Me temo que si no cambias tus habitos de navegacion, tras el formateo estaremos en las mismas..., pero por lo menos ya ves que lo eliminamos, lo que te queda por sabver es donde te infectas...

Podrías desactivar los Active X, y poner como sitio seguro las webs como http://www.zonavirus.com , limitando el riesgo en general con las demas webs, aunque no sabemos realmente qué lo reinfecta...

Hoy hay otro caso de este virus, esperemos que no se resista tanto como el tuyo ...

https://foros.zonavirus.com/doble-infeccion-vt14095.html?highlight=bifrose

saludos

ms, 16-10-2006

Micarro · Mensaje por **Micarro** » 18 Oct 2006, 21:06

En mi ordenador hay varios usuarios, y creo q siempre me vuelve a aparecer el virus cada vez q mi padre usa el ordenador. Es posible q tenga q eliminar el virus desde tu escritorio tb? No creo q el se infecte x internet, ya q nunca antes nos habia pasado, y me empez´´o a pasar desde q me baj´´e akel archivo raro q m enviaron x e-mail. Es posible q sea esa la raz´´on x la cual siempre m vuelve aparecer??

halvyn · Mensaje por **halvyn** » 23 Oct 2006, 23:43

Ola, yo tengo un programiya muy bueno,elimina todo tipo de troyano conocido asta el momento, aki os pongo el link por si os interesa:

______________________________________

INTERVENCION DE ZONAVIRUS: [url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]

ES EL MISMISIMO VIRUS BIFROSE:

SE ELIMIMNA LONMK DE DESCARGA.

______________________________________

Elimina_todo_Tipo_de_Virus_ASEGURADO_100__Zambor__Flux..._.rar.html

Saludos a todos

koga · Mensaje por **koga** » 24 Oct 2006, 06:11

Para tu informacion no se permite publicitar herramientas que no sean de esta pagina ademas... de dudosa procedencia tu archivo, ojala hubiese una herrmienta tan milagrosa, porfavor, que ingenuidad...

Micarro · Mensaje por **Micarro** » 24 Oct 2006, 10:17

Mejor no m fio no??

koga · Mensaje por **koga** » 24 Oct 2006, 10:32

Le recomiendo que no... yo ya le di una miradita en virus total...

AntiVir 7.2.0.32 24.10.2006 HEUR/Crypted

Authentium 4.93.8 24.10.2006 no ha encontrado virus

Avast 4.7.892.0 23.10.2006 no ha encontrado virus

AVG 386 23.10.2006 no ha encontrado virus

BitDefender 7.2 24.10.2006 no ha encontrado virus

CAT-QuickHeal 8.00 23.10.2006 no ha encontrado virus

ClamAV devel-20060426 23.10.2006 no ha encontrado virus

DrWeb 4.33 24.10.2006 no ha encontrado virus

eTrust-InoculateIT 23.73.34 23.10.2006 no ha encontrado virus

eTrust-Vet 30.3.3154 24.10.2006 no ha encontrado virus

Ewido 4.0 23.10.2006 no ha encontrado virus

Fortinet 2.82.0.0 24.10.2006 suspicious

F-Prot 3.16f 24.10.2006 no ha encontrado virus

F-Prot4 4.2.1.29 24.10.2006 no ha encontrado virus

Ikarus 0.2.65.0 24.10.2006 no ha encontrado virus

Kaspersky 4.0.2.24 24.10.2006 no ha encontrado virus

McAfee 4879 23.10.2006 no ha encontrado virus

Microsoft 1.1609 24.10.2006 no ha encontrado virus

NOD32v2 1.1828 24.10.2006 no ha encontrado virus

Norman 5.80.02 24.10.2006 no ha encontrado virus

Panda 9.0.0.4 24.10.2006 no ha encontrado virus

Sophos 4.10.0 24.10.2006 no ha encontrado virus

TheHacker 6.0.1.104 23.10.2006 no ha encontrado virus

UNA 1.83 24.10.2006 no ha encontrado virus

VBA32 3.11.1 23.10.2006 no ha encontrado virus

VirusBuster 4.3.7:9 23.10.2006 no ha encontrado virus

Veamos si halvyn quiere dar mas detalles de su milagrosa herramienta, y que opina msc.

Por ahora le recomendaria no arriesgarse.

Saludos.

Mensaje por **msc hotline sat** » 24 Oct 2006, 12:04

Lo entraremos en proceso como un sospechoso mas... Ya informaremos

saludos

ms, 24-10-2006

Mensaje por **msc hotline sat** » 24 Oct 2006, 12:32

Analizada la "muestra", resulta ser el mismisimo virus BIFROSE !!!

Se ha eliminado el link de acceso, para evitar infecciones, y se desactiva al forero que lo ha propuesto, si ha sido con buena intencion por ingenuo y peligroso, y si ha sido para perjudicar a los foreros, sobran los comentarios ...

saludos

ms, 24-10-2006

Mensaje por **msc hotline sat** » 24 Oct 2006, 12:43

Con el ELITRIIP de hoy eliminaremos tambien esta variante

saludos

ms, 24-10-2006

241006ET

Micarro · Mensaje por **Micarro** » 24 Oct 2006, 13:04

q mamonazo!!!

Mensaje por **msc hotline sat** » 24 Oct 2006, 13:39

igual iba de buena fé, no seas mal pensado, ...

En cualquier caso ha sido desactivado del foro, para que ni de buena fé nos vuelva a hacer otra jugada, y si se registra de nuevo, si nos vuelve a hacer otra jugada, como que tenemos su IP y localizacion (está en la zona centro de España, DE UN LUGAR DE CUYO NOMBRE NO QUIERO ACORDARME) entonces lo baneariamos para que no pudiera acceder mas ni a leer nuestra web, pero demosle un voto de confianza, "QUE TOO ER MUNDO E GÜENO"...

saludos

ms, 24-10-2006

Mensaje por **msc hotline sat** » 24 Oct 2006, 19:00

ya disponible nieva version del ELISTRIIP que controla este malware "antivirus milagroso" asi como el BIFROSE correspondiente

https://foros.zonavirus.com/viewtopic.php?p=71436#71436

saludos

ms, 24-10-2006

koga · Mensaje por **koga** » 24 Oct 2006, 19:41

Prefiero imaginarme que fue de buena fe con intenciones de ayudar (no se si el es muy ingenuo, o yo muy desconfiado...), aunque debo reconocer que me dio un poco de rabia ver que se pone en riesgo a gran cantidad de gente que utiliza este foro y ayuda en el contra este tipo de amenazas...

Pero bueno... como dice msc hay que dar una segunda oportunidad, mas si fue con intenciones de ayudar solamente...

Lo que si es seguro es que si fue con buenas intenciones seguro tendra que pasar el nuevo Elitriip porque me imagino que lo habra usado :lol:

Saludos!

Mensaje por **msc hotline sat** » 24 Oct 2006, 19:51

:lol: :lol: :lol: :lol:

muy bueno tu pie de pagina, no me habia fijado hasta ahora :lol: :lol: :lol: :lol:

saludos

ms, 24-10-2006

Eliminar Troyano Bifrose (SOLUCIONADO)

Eliminar Troyano Bifrose (SOLUCIONADO)

mmm...

Pues no...

Pues eso espero...