VIRUS PTCH64_SIREFEF.A

[raffersil]

Hola amigos,



Soy nuevo en el foro y también en esto de sanar virus problemáticos. Desde hace una semana que detecté este virus SIREFEF, he leído en varios foros sobre él pero no he sido capaz de utilizar con éxito ninguna de las soluciones que encontré. La última que intenté fue en este mismo foro, os dejo el enlace http://www.zonavirus.com/noticias/2011/solucion-al-rootkit-sirefef-zero-access-rootkit-de-compleja-ingenieria-aplicada.asp pero, sinceramente, me pierdo a la hora de aplicar la receta. En principio el archivo infectado es un ejecutable dentro de la carpeta Windows>System32>... Os cuelgo una foto de los resultados que devuelve Trend Office Scan tras la exploración del Equipo. No he podido limpiar ninguno de los 3 virus, pero según he podido intuir el más peligroso es el SIREFEF.





SO Windows 7 professional 64bits



Acepto cualquier tipo de ayuda/orientación

Muchas Gracias

[raffersil]

Os dejo los resultados de un segundo análisis con el antivirus con la ruta de los archivos infectados:



El que está sombreado en azul es el SIREFEF que parece que afecta al archivo[b] services.exe[/b] dentro de Windows>System32>

[msc hotline sat]

De entrada prueba simplemente con el ELISIREF .



Para ello arranca en MODO SEGURO, especialmente para que no incordie el AV de TREND que tienes instalado. En dicho modo ejecutas nuestra utilidad y nos cuentas el resultado:









DESCARGAR ELISIREF



http://www.zonavirus.com/descargas/descargar-elisiref.asp









Y recuerda los efectos colaterales del SIREFEF... :



http://www.zonavirus.com/noticias/2012/drivers-usados-por-el-sirefef-y-sus-consecuencias.asp





saludos



ms, 2-4-2013

[raffersil]

Después de una semana de pruebas, resumo:

Descargué el Elisiref en primer lugar y resultó que la versión linkeada por ms quedó obsoleta recientemente, por lo que me puse en contacto con SATINFO donde me atendieron rápido y bien facilitándome una nueva versión. Descargué el programa sin problemas esta vez, lo ejecuté y tras seguir las indicaciones, el virus se eliminó, pero tras reiniciar el PC un par de veces, el antivirus volvió a detectarlo afectando a los mismos archivos, así que la alegría duró poco y el virus sigue más vivo que nunca. Les pasé los resultados a SATINFO el jueves pasado y estoy esperando respuesta...



¿Conocéis algún remedio a parte de Elisiref?



Saludos,



Gracias

[msc hotline sat]

No hay nada nuevo (ni hemos recibido los ficheros que dices haber enviado el jueves), por lo que lo primero es postearnos el contenido del infosat.txt que generara el último ELISIREF que pasaste, con un copiar y pegar, como respuesta a este Tema, y sobre las muestras indicadas, repite el envio como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



Ya que es posible que fueran interceptadas si se hizo sin password, por ejemplo.



A la vista del informe y de las muestras indicadas, obraremos en consecuencia.



saludos



ms, 8-4-2013

[raffersil]

Ok. Pido disculpas porque no tenía ni idea de cómo realizar el envío de ficheros. Efectivamente no lo envié como procede como puede verse en la imagen del correo enviado el jueves pasado.



Copio el resultado de infosat.txt:

(1-8-2012 10:19:59 (GMT))

EliSirefef v2.13 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2013)

----------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.7601)

Lista de Acciones (por Acción Directa):

C:\WINDOWS\Assembly\GAC_32\Desktop.ini --> Renombrado a .VIR.

C:\WINDOWS\Assembly\GAC_64\Desktop.ini --> Renombrado a .VIR.

Detectado Sirefef(RootKit)

Reinicie el Sistema para Completar la Limpieza.



(1-8-2012 10:22:34 (GMT))

EliSirefef v2.13 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2013)

----------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.7601)

Lista de Acciones (por Acción Directa):

C:\WINDOWS\Assembly\GAC_32\Desktop.ini.vir --> Eliminado Sirefef(rkit).

C:\WINDOWS\Assembly\GAC_64\Desktop.ini.vir --> Eliminado Sirefef(rkit).



(1-8-2012 11:18:29 (GMT))

EliSirefef v2.13 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 20 de Febrero del 2013)

----------------------------------------

Sistema Operativo: Windows 7 Professional (6.1.7601)

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 24451

Nº Total de Ficheros: 135838

Nº de Ficheros Analizados: 19488

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Gracias,

[msc hotline sat]

Entendido.



Pues cuando recibamos las muestras de autos, las analizaremos e implementaremos su control y eliminacion en la siguiente version del ELISIREF, de lo cual informaremos



saludos



ms, 8.4.2013

[raffersil]

Intento mandar las muestras como indica el foro, pero siempre recibo este mensaje de WinZip:



[i]Acción: Añadir (y reemplazar) archivos

Incluir subcarpetas: sí

Guardar ruta completa: no

Está tratando de crear un nuevo archivo Zip en un disco de sólo lectura: "C:\Windows\System32\services.zip".

Error irrecuperable: El archivo del archivo comprimido no pudo abrirse para la salida de datos.

[/i]



Con Winrar o 7zip el acceso también es denegado. ¿Qué estoy haciendo mal?

Disculpa por las molestias



Saludos,

[msc hotline sat]

Posiblemente sea debido al antivirus residente.



Mira de desactivarlo para empaquetarlo, luego con password ya no incordiará para enviarlo.



O hazlo arrancando en MODO SEGURO, de forma que el antivirus no se cargue.



saludos



ms, 8-3-2013

[raffersil]

Muchas Gracias ms,

Era eso, arranqué en modo seguro y puede empaquetar sin problemas. Ya he mandado la muestra a través del foro.

Saludos,

[msc hotline sat]

Efectivamente, la muestra recibida corresponde a un SIREFEF:



http://www.zonavirus.com/noticias/2013/nueva-variante-de-sirefef-zero-access.asp



A partir del ELISIREF 2.14 de hoy controlaremos esta nueva variante



saludos



ms, 9-4-2013





NOTA: Lo malo es que si es el SERVICES.EXE de la carpeta C:\windows\system32\, al eliminarlo te vas a quedar sin dicho fichero del sistema...



Convendrá reponerlo del original de otro ordenador con igual sistema operativo, o lanzando una REPARACION DE SISTEMA.



ms.