TR/ATRAPS.Gen2 (SOLUCIONADO)

[mocador]

[color=#004080][b]1)[/b] Hola, no estoy muy seguro de si estoy en el lugar correcto, mis disculpas si no lo es.

Esta mañana me ha saltado el antivirus y he hecho limpieza, me ha detectado lo siguiente: [/color]



Avira Free Antivirus

Fecha de creación del fichero de informe: lunes, 06 de agosto de 2012 10:22

Analizando cepas de virus de 4061297.

El programa está funcionando como versión completa sin limitaciones.

Los servicios online están a disposición.

Titular de la licencia : Avira AntiVir Personal - Free Antivirus

Plataforma : Windows 7 x64

Versión de Windows : (Service Pack 1) [6.1.7601]

Modo de arranque : Modo seguro con red





C:\Windows\Installer\{51d6d7df-bcca-654f-3bca-ba1ca0b6df9c}\U\80000000.@

[DETECCIÓN] Se trata del troyano TR/ATRAPS.Gen

C:\Windows\Installer\{51d6d7df-bcca-654f-3bca-ba1ca0b6df9c}\U\800000cb.@

[DETECCIÓN] Se trata del troyano TR/ATRAPS.Gen2



Iniciando la desinfección:

C:\Windows\Installer\{51d6d7df-bcca-654f-3bca-ba1ca0b6df9c}\U\800000cb.@

[DETECCIÓN] Se trata del troyano TR/ATRAPS.Gen2

[NOTA] El fichero se movió al directorio de cuarentena usando el nombre '54dd2ff3.qua'!

C:\Windows\Installer\{51d6d7df-bcca-654f-3bca-ba1ca0b6df9c}\U\80000000.@

[DETECCIÓN] Se trata del troyano TR/ATRAPS.Gen

[NOTA] El fichero se movió al directorio de cuarentena usando el nombre '4c4a0054.qua'!





[color=#004080][b]2)[/b] Lo que también me ha preocupado también es que he mirado el menú de inicio a través de CCleaner y nunca había visto [i]HKLM:Run Regedit32 C:\Windows\system32\regedit.exe[/i]. Lo he encontrado activo y puede que antes no me haya fijado si estaba, pero activo seguro que no. Lo he desactivado pero borrar ya no me he atrevido puesto que es un comando real y en principio necesario, pero ¿para iniciar con el sistema?. Gracias de antemano.[/color]

[flacoroo]

Entra a tu computadora en modo seguro ó poniendo como esclavo tu DD infectado y ejecuta la siguiente

herramienta, despues le das examinar para que siga su proceso, al terminar copias el resultado que se crea en este

archivo c:infosat.txt y lo pegas en un nuevo post.



[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[mocador]

¿Solo hay una versión de pago? pensé que era de descarga gratuita :roll:

[flacoroo]

en europa es version de pago para mantenimiento de los servidores...pero es solo un mensaje sms

[mocador]

[color=#0040BF]Gracias, había oído que algunos virus bloquean el acceso a herramientas de limpieza y pensé que sería eso. Parece que ya no hay nada y que todo lo limpió el antivirus (avira) + malwarebytes. No he encontrado EliSiref para descargar.

Aquí está el log:[/color]



(8-8-2012 14:10:43 (GMT))

EliStartPage v26.00 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate

Usuario:

ID de Usuario: S-1-5-21-94661089-1696813429-1698935205-1001



Lista de Acciones (por Acción Directa):

Detectado Posible Sirefef.D Lanzar EliSiref

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-8-2012 14:23:11 (GMT))

EliStartPage v26.00 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 27 de Julio del 2012)

--------------------------------------------------

Sistema Operativo: Windows 7 Ultimate

Usuario:

ID de Usuario: S-1-5-21-94661089-1696813429-1698935205-1001



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 26107

Nº Total de Ficheros: 130661

Nº de Ficheros Analizados: 42438

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues visto lo que le detecta el ELISTARA, "Detectado Posible Sirefef.D Lanzar EliSiref", proceda en consecuencia:



[b] ELISIREF.EXE [/b]

http://www.zonavirus.com/descargas/descargar-elisiref.asp



Trss probarlo, posteanos el informe resultante, y procedermos en consecuencia.



saludos



ms, 9-8-2012

[mocador]

Me salta una pantalla emergente con el mensaje de que el programa está desactualizado. En propiedades del archivo zip leo:

Creado: domingo, ‎04‎ de ‎septiembre‎ de ‎2011, ‏‎11:06:06 y en propiedades del exe: modificado miércoles, ‎18‎ de ‎julio‎ de ‎2012, ‏‎14:58:14



:(

[msc hotline sat]

Sí, con las vacaciones finalizó la fecha de validez.



Ya he subido ahora la version con validez actual



Descargalo y pruebalo



saludos



ms, 10-8-2012

[mocador]

(10-8-2012 15:24:52 (GMT))

EliSirefef v2.05 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2012)

----------------------------------------

Sistema Operativo: WINDOWS 7 ULTIMATE

Lista de Acciones (por Acción Directa):

Eliminada Carpeta: C:\Users\mocador\AppData\Local\{51d6d7df-bcca-654f-3bca-ba1ca0b6df9c}



(10-8-2012 15:33:50 (GMT))

EliSirefef v2.05 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2012)

----------------------------------------

Sistema Operativo: WINDOWS 7 ULTIMATE

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 25917

Nº Total de Ficheros: 134778

Nº de Ficheros Analizados: 23641

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Estos días no he notado nada raro y parece que tras la eliminación de esa carpeta ya no hay rastros del bicho. Para otra vez cuando el antivirus me elimine algo buscaré la misma denominación en otras carpetas (veo que coincide con lo que se limpió en windowss\installer\...). Si no veis nada que se me escape creo que podemos dar el tema por solucionado. Solo mencionar que en otro ordenador no está el comando regedit en el inicio, y en este (el que tuvo el problema) lo tengo desactivado pero no lo he borrado. Supongo que lo puso ahí el bicho para actuar al arrancar el ordenador.



Thanks for all :wink:

[msc hotline sat]

Sobre lo del REGEDIT, lanza ahora el ELISTARA que posiblemente te restaurará su acceso.



Y ya eliminada la carpeta del SIREFEF y demás, espero que ya no tengas problemas al respecto



Por ello damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesitaras de nuevo, ya sabes donde estamos



saludos



ms, 11-8-2012