Detectado win32/sirefef.dv troyano en memoria. (Solucionado)

**AntonioSevilla** · 15/12/11, 02:46:50

Hola, buenos dias.

Estoy siEndo atacado por algún virus tipo troyano.

El NOD 32 residenteme lo ha detectado como virus en memoria y no es capaz de desinfectarlo. Me detecta WIN32/SIREFEF.DV y también amenazas del PATCHED.HN

He pasado el cc cleaner, y en modo seguro el nod 32, malwarebytes
y Dr Web, pero sin resultado.

Por favor si puede alguien ayudarme que me indique por donde seguir, porque ya no se si arrancar siquiera el pc para no agravar el problema. El nod 32 me dice que esta infectada la memoria.

Saludos.

**soinja** · 15/12/11, 03:34:11

Saludos...

Hay algunos antivirus gratuitos que no ayudan lo suficiente o tu antivirus actual ya está obsoleto y en esos casos la firma de virus y el motor de búsquedas no te ayudan ni combaten a las nuevas amenazas, así que:

a)Desinstala tu antivirus actual,reinicia tu PC,ve a la página oficial de Kaspersky descargate e instala la versión de prueba (30 días) actual del Kaspershy Internet Security,es la versión 2012. Actualizalo y analiza todo tu PC eliminando las posibles amenazas.

Este es el link:

http://latam.kaspersky.com/descargas/versiones-de-prueba/internet-security

b)Descarga "Malwarebytes Antimalwares"(versión gratuita).Una vez instalado en tu sistema actualizalo y ve a la opción "Escáner" y elige un "Análisis completo",después del escaneo elimina las amenazas encontradas.

Este es el link:

http://es.malwarebytes.org/products/malwarebytes_free

Y listo,fin de virus...eso tomando en cuenta que tu sistema no haya recibido mucho daño por los virus,es decir,en algunos casos eliminas la amenaza pero el daño ya quedo hecho y en ocasiones es irreparable y la opción más viable es un formateo del PC.

Espero te ayude mi respuesta,no dejes de decirme como te fue.

**AntonioSevilla** · 15/12/11, 03:38:44

Ok, gracias.

Me pongo a trabajar en ello y comento el resultado.

Saludos.

**Dany3j** · 15/12/11, 05:11:16

Hola AntonioSevilla con permiso de mi compañero realiza lo siguiente.

Descarga

TDSSKiller.zip a tu escritorio.

Desconecta tu ordenador de Internet (Desconecta el cable).

Descomprime el archivo tdsskiller.zip
Ejecuta el archivo TDSSKiller.exe Si usas Vista o 7 presiona clic derecho ejecutar como administrador.
Presiona clic sobre el botón .
TDSSKiller comenzara a analizar el equipo.

Si el equipo no está infectado:
Mostrara
No threats found.
Presiona clic sobre el botón "Close"

Si el equipo está infectado:
Mostrara:
Threats detected.
Select action for found objects:

Malware object, high risk. La acción predeterminada es "Cure" o "Delete".
El programa selecciona de forma automática la acción a tomar.

Suspicious object, medium risk. Usa siempre la opción "Skip"

Presiona clic sobre el botón "Continue"
Para desinfectar correctamente el Sistema, puede solicitarle reiniciar el equipo.
Presiona clic sobre el botón

Abre el reporte de TDSSKiller, ubicado en C:\TDSSKiller.2.5.0_xx.xx.xxxx_xx.xx.xx_log.txt, donde "xx.xx.xxxx_xx.xx.xx" son fecha y hora.
Copia y pega su contenido en tu próxima respuesta.

**AntonioSevilla** · 15/12/11, 07:46:56

Gracias por vuestra ayuda.

Dani, me ha ido perfecto, esta herramienta ha detectado algunas anomalias y las ha resuelto.

Desde ese momento no han aparecido mas avisos ni comportamientos extraños.

Despues en prueba de fallos y con restaurar sistema desactivado he pasado el malvarebytes y el superspyware y cada uno de ellos me ha sacado algunos restos.

Tambien he pasado el cccleaner.

Parece que va todo bien, pero aún asi estoy pasando el panda online.

Creo que podemos dar el tema por solucionado.

Mi mas sinceros agradecimientos.

Si puedo ayudaros en elgo aqui me teneis.

Saludos.

**Dany3j** · 15/12/11, 07:58:01

Hola, por favor si podes dejarme los reportes. para ver si todo esta en orden.

**AntonioSevilla** · 15/12/11, 08:11:44

Siento no poder ponerlos, una vez que he visto que funciona bien he borrado los restos.

Pensé que ya no eran de ultilidad.

Demasiados nervios quizas cuando pasa algo así.

Si es conveniente puedo hacer algun otro tipo de chequeo y mandarlo.

Saludos.

**Dany3j** · 15/12/11, 08:23:30

El reporte de TDSSKiller queda guardado en C:\TDSSKiller.2.5.0_xx.xx.xxxx_xx.xx.xx_log.txt

El de Malwarebytes esta ubicado en la pestaña Registros.

**AntonioSevilla** · 15/12/11, 10:31:29

Hola de nuevo.

He encontrado el de malwarebytes, lo pego:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Versión de la Base de Datos: 8373

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/12/2011 11:16:05
mbam-log-2011-12-15 (11-16-05).txt

Tipos de Análisis: Análisis Completo (C:\|)
Objetos examinados: 251581
Tiempo transcurrido: 1 hora(s), 24 minuto(s), 45 segundo(s)

Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 14

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Archivos Infectados:
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP156\A0034342.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP156\A0034351.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP156\A0034367.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP156\A0034377.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP157\A0034389.exe (Adware.ISTBar) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP157\A0034700.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP158\A0035053.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP158\A0035079.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP158\A0035460.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP158\A0035439.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP158\A0035448.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5b083241-2c1a-43ef-bd31-4ee4b525441a}\RP158\A0035469.ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\WINDOWS\assembly\GAC_MSIL\desktop(2).ini (Rootkit.0Access) -> Quarantined and deleted successfully.
c:\WINDOWS\assembly\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Quarantined and deleted successfully.

Y tengo lo que me ha detectado el panda, que he conseguido borrar todos esos archivos que dicen que estan infectados localizandolos uno a uno, salvo el que figura en recycler, que no se como acceder porque en la papelera no queda nada.

Saludos y gracias.

Registro del panda:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2011-12-15 16:09:46
PROTECTIONS: 1
MALWARE: 5
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
ESET NOD32 Antivirus 3.0 3.0 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\antonio albarrán\cookies\j9ludg0f.txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\recycler\s-1-5-21-1935655697-789336058-682003330-500\dc16.txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\antonio albarrán\cookies\m1u2az1u.txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\localservice\cookies\s2rp4uy3.txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\antonio albarrán\cookies\l9m18rxz.txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\documents and settings\localservice\cookies\av33t1j6.txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\documents and settings\antonio albarrán\cookies\78g3wf35.txt
03009106 W32/Xor-encoded.A Virus No 0 Yes No c:\documents and settings\antonio albarrán\datos de programa\sun\java\deployment\cache\6.0\26\615ced5a-6a9fdd97
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

**Dany3j** · 15/12/11, 10:33:39

Falta de de TDssKiller, lo ubicas en el disco C:\ con nombre similar a TDSSKiller.2.5.0_xx.xx.xxxx_xx.xx.xx_log.txt

Me comentas como funciona el ordenador.

Detectado win32/sirefef.dv troyano en memoria. (Solucionado)

Herramientas

Detectado win32/sirefef.dv troyano en memoria. (Solucionado)

Re: Detectado win32/sirefef.dv troyano en memoria.

Re: Detectado win32/sirefef.dv troyano en memoria.

Re: Detectado win32/sirefef.dv troyano en memoria.

Re: Detectado win32/sirefef.dv troyano en memoria.

Re: Detectado win32/sirefef.dv troyano en memoria.

Re: Detectado win32/sirefef.dv troyano en memoria.

Re: Detectado win32/sirefef.dv troyano en memoria.

Re: Detectado win32/sirefef.dv troyano en memoria.

Re: Detectado win32/sirefef.dv troyano en memoria.