Buenas dias .. ¡Ayudame porfavor! Sirefif.Y

[cejd]

Porque no intentas esto, Quita el disco de la máquina, colócalo en otra y cuando la otra máquina arranca Windows, escanea el disco que le pusiste con el antivirus de esa máquina. Si tienes un CarriDisk conéctalo por USB a otra PC y escanéalo con el antivirus.

[cibercafeamericano]

Gracias por su ayuda. Es un buen opcion. Lo pensé antes, pero no quise empezar desarmando mi server si habia orta manera. Si no se resuelve con lo que estoy haciendo ahora, a la mejor, si voy a tener que sacar el DD y instalar anti-virus en uno de los clientes y trata de limpiarlo. Solo que ha visto que ESET se ha fallado 2 veces con este virus. Y la antivirus de microsoft lo detecta, pero no lo quita. Y cuando vi que no habia alguien en este foro que tenia conocimiento directo de este trojan Sirefif.Y fui al google y encontro datos surpendentes. No se si se permita en las reglas hablar de otra foro, por esto no voy a decir el nombre, pero ahi dicen que es dificil de quitar y a un herimenta especial de ESET solo para este virus, que la antivirus normal no se lo quita. Pero primera dice que tengo que correr Ccleaner, antimalware, y TDSSkiller, entonces bajar el herrimenta de ESET para este specifico trojan. Dicen que es un rootkit. Y parece que no todos que lo han tenido han logrado eliminarlo. Yo estaba esperando este tipo de conocimiento y ayuda en este foro porque, pues ... es dedicado al seguridad de internet y antivirus, antimalware, etc. Y creo que hay usarios en este foro que a la mejor si saben de estos cosas, pero, creo que no estaban en linea hoy.

Bueno, si logra eliminarlo, te voy a avisar. Si alguien tiene un idea, porfavor compartelo. Y si, no, entoces voy a perder 3 TB de peliculas, fotos del familia, videos, y trabajos. Si el moderator del foro me dice que esta bien hablar de otros foros entonces puedo encluir es texto o un enlace, para en caso que otra persona esta batallando con este trojan, pues, se pueden encontrar ayuda.

Howard

[cibercafeamericano]

Una cosa mas. Mis clientes no tienen antivirus (solo el server tenia) porque estoy usando Deep Freeze, entonces si voy a llevar el DD a desinfectar en otra equipo, cual sera el mas indicado de los antiviruses, tomando en cuenta que necesito uno gratis, porque no tengo tarjetas de credito.

[cejd]

Realiza el siguiente procedimiento
_____________________________

Paso.- 1


Instala y/o Actualiza pero no ejecutes aun:
Ccleaner
Malwarebytes’ Anti-Malware
TDSSKiller .



Paso .-2

Ejecuta en orden:


Ccleaner como lo indica su manual.
Malwarebytes’ Anti-Malware En su opción de examen completo , al finalizar presionas Mostrar Resultados y luego
Quitar lo Seleccionado . si pide reiniciar lo haces.
TDSSKILLER como indica su manual.


Paso .-3

Descargá ESETSirefefRemover.exe a Tu escritorio.


Cerrá todos los programas que tengas abiertos y Ejecutá ESETSirefefRemover.exe

Doble clic sobre Su ejecutable y esperá a que termine.

__________________________

Hay otra herramienta gratuita de Panda.


Panda Security ha desarrollado la herramienta de desinfección Yorkyt.exe para eliminar completamente cualquier rastro de Trj/Sirefef y*Rootkit/ZAccess. Por favor, sigue las instrucciones que se indican a continuación:

Descarga la herramienta de desinfección*yorkyt.exe*(1,31 MB)

Spoiler:

http://resources.downloads.pandasecurity.com/tools/yorkyt.exe

Guarda el archivo en tu disco duro, por ejemplo, en el Escritorio de Windows.
Haz doble clic en el archivo yorkyt.exe.
Se solicitará reiniciar el ordenador para instalar un driver.
Un segundo reinicio se solicitará para completar el proceso de desinfección.
Cuando la desinfección se haya completado, acepta el mensaje que se mostrará en la pantalla.
Para asegurar la resolución de la incidencia, realiza un análisis completo de tu equipo con tu antivirus.


En tu próxima respuesta, nos comentas si la herramienta de Eset o la de Panda detectó el rootkit y si pudo eliminarlo.

[cibercafeamericano]

Gracias por dando siguimiento a esto. Veo que encontraste el mismo foro que te decia. Gracias por copiarlo aqui para que puede servir por el proximo persona con este dificultad.

Ya completé los 3 pasos. En primera lugar eliminé muchos cookies y limpié el registro con el Ccleaner. Entonces, corí antimalware, se encontro muchos males. Pero no veo que dice nada de Sirefif.Y Aqui es el reporte:

Malwarebytes Anti-Malware (Trial) 1.61.0.1400
www.malwarebytes.org

Database version: v2012.06.18.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Howard :: SERVER [administrator]

Protection: Enabled

18/06/2012 07:13:55 p.m.
mbam-log-2012-06-18 (20-30-09).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 467879
Time elapsed: 1 hour(s), 10 minute(s), 35 second(s)

Memory Processes Detected: 2
C:\Users\Howard\pajon.exe (Trojan.Downloader.ic) -> 1956 -> No action taken.
C:\Users\Howard\AppData\Roaming\xkqnvvxfv1he3ofaaq wxfjsczzlyrcd12\svcnost.exe (Trojan.Agent.UAGen) -> 1952 -> No action taken.

Memory Modules Detected: 1
C:\Users\Howard\AppData\Roaming\ntuser.dat (Misused.Legit) -> No action taken.

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |pajon (Trojan.Downloader.ic) -> Data: C:\Users\Howard\pajon.exe /g -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |Windows Init (Trojan.Agent.UAGen) -> Data: "C:\Users\Howard\AppData\Roaming\xkqnvvxfv1he3ofaa qwxfjsczzlyrcd12\svcnost.exe" -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |engel (Trojan.Agent.UAGen) -> Data: C:\Users\Howard\AppData\Roaming\updates\updates.ex e -> No action taken.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 23
C:\Users\Howard\pajon.exe (Trojan.Downloader.ic) -> No action taken.
C:\Users\Howard\AppData\Roaming\xkqnvvxfv1he3ofaaq wxfjsczzlyrcd12\svcnost.exe (Trojan.Agent.UAGen) -> No action taken.
C:\Users\Howard\AppData\Roaming\ntuser.dat (Misused.Legit) -> No action taken.
C:\Users\Howard\AppData\Roaming\updates\updates.ex e (Trojan.Agent.UAGen) -> No action taken.
C:\Program Files (x86)\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
C:\Program Files (x86)\Bang Bang Racing\TDU.exe (Packer.ModifiedUPX) -> No action taken.
C:\Users\Howard\3pbs.exe (Trojan.Agent.UAGen) -> No action taken.
C:\Users\Howard\start1.exe (Trojan.Downloader.ic) -> No action taken.
C:\Users\Howard\zpbs.exe (Trojan.Agent.UAGen) -> No action taken.
C:\Users\Howard\AppData\Local\Temp\0a8d598b.exe (Trojan.Agent.UAGen) -> No action taken.
C:\Users\Howard\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\YOUTUBE.PLAYER.exe (Trojan.Agent.UAGen) -> No action taken.
C:\Users\Howard\Desktop\Install Programs\Adobe.Photoshop.Lightroom.v3.6.Multilingu al.Incl.Keymaker-CORE\Adobe.Photoshop.Lightroom.v3.6.Multilingual.I ncl.Keymaker-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken.
C:\Users\Howard\Desktop\Install Programs\DeepFreeze.Enterprise.v7.30.220.3852\Faro nics.DeepFreeze.Enterprise.v7.30.220.3852.Multilin gual.Incl.Keymaker-ZWT\keygen.exe (Packer.ModifiedUPX) -> No action taken.
C:\Users\Howard\Desktop\Install Programs\ESET Instaler\bdl3961.exe (Riskware.KG) -> No action taken.
C:\Users\Howard\Desktop\Install Programs\eset nod32 Antivirus 64 bits 2012 v5.0.95.0 con crack +videotutorial\Puren32CW11\ESET PureFix v2.02.exe (RiskWare.Tool.CK) -> No action taken.
C:\Users\Howard\Desktop\Install Programs\FantaMorph.Deluxe.v5.2.7.Incl.Keymaker-CORE\FantaMorph.Deluxe.v5.2.7.Incl.Keymaker-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken.
C:\Users\Howard\Desktop\Install Programs\fuentes de word\Chinese-Takeaway Font.exe (Affiliate.Downloader) -> No action taken.
C:\Users\Howard\Desktop\Install Programs\fuentes de word\Chinyen Font.exe (Affiliate.Downloader) -> No action taken.
C:\Users\Howard\Desktop\Install Programs\Office 2010 instaler\$ Activador $\Activador De Office 2010.exe (Riskware.Tool.CK) -> No action taken.
C:\Users\Howard\Downloads\Chinese-Takeaway Font.exe (Affiliate.Downloader) -> No action taken.
C:\Users\Howard\Downloads\Chinyen Font.exe (Affiliate.Downloader) -> No action taken.
C:\Windows\Installer\{3c8e173d-c90e-f45b-778a-736bce1bcc5b}\U\800000cb.@ (Rootkit.0Access) -> No action taken.
C:\ProgramData\common.data (Malware.Trace) -> No action taken.

(end)

Luego, ejecuté el TDSSKILLER y no se detectó el Sirefif.Y , pero si detecto un archivo suspechosa que tenia algun tipo de candado y pique el boton de eliminar. No tengo reporte.

Despues, baje el ESETSirefefRemover.exe y lo abrí. Me dijo que no encontro el sirefef trojan.

Ahora estoy al punto de instalar antivirus para checarla como me dijeste. Pero, sigue con el mismo duda de cual sera el mejor para instalar. Pues, el ESET me fallo por completo si has seguido todo este thread. El microsoft no me gusta porque no tienes opciones de permitiendo ciertos cosas o apagando lo temporalmente. Entonces, cualquiere sugerencia sera apreciada.

Otra cosa que noté, el antivirus de microsoft, lo detectó como "Sirefif.Y", pero en todo lados se habla de "sirefef", sera el mismo? Y porque no se detecto con los ultimos utilidades que corí. Parece que era bastante facil de quitar, yo pensaba que iba ser mucho mas dificil. (Si es que se quito) Quisaz esta ahi todavia. Pues, voy a instalar el antivirus y vera. Por esto, cualquire sugerencia sera bueno.

Aunque todavia no es completo el asunto y ni sé si tengo control del ciber o acceso al red que perdí, me gustaria tomar este opportunidad de darles las gracias a Usted y el companero Kata4sera. Gracias! No tengo imagines grandes preparados para insertar en los post para decir "Bienvenido" o "Gracias", como he visto que muchos usan en este sitio. Pero no quiere decir que mis sentimientos de gratitude son mas pequeños que otras, solo porque el tamaño de mi fuente no es igual de grande.

De nuevo, Gracias! Y te informare de cualquire avance o retraso.

Howard

[cibercafeamericano]

Pos Data, hice un punto de restoracion en caso de que el instalcion del antivirus resulta en el mismo ciclo de arranque/apaga como la primera vez.

[cibercafeamericano]

Bueno, Ya enstalé antivirus. Y como no recibí otra consejo, usé el microsoft porque sabia que se pudia detectar el "Sirefif.Y" Pero, cuando lo corrí, se detectó el trojan de nuevo y cuando quisé eliminarlo, se hizo que mi equipo se apagaba, igual que antes. Pues, esto es un dia perdido, porque no he avanzado nada. Aver si alguien sabe que puedo hacer ahora. BTW, utilizé la programa de Panda antes que instalé la antivirus y tampoco se detecto este trojan. La Panda dijo claramente que no hubo ocurencias de "sirefef" en mi ordenador, pero no era verdad. Apenas ejecuté la antivirus y ahi estaba.

Alguien tiene un idea mejor?

Gracias,

Howard

[Mikan]

Iniciado por cibercafeamericano Gracias por dando siguimiento a esto. Veo que encontraste el mismo foro que te decia. Gracias por copiarlo aqui para que puede servir por el proximo persona con este dificultad. Ya completé los 3 pasos. En primera lugar eliminé muchos cookies y limpié el registro con el Ccleaner. Entonces, corí antimalware, se encontro muchos males. Pero no veo que dice nada de Sirefif.Y Aqui es el reporte: Malwarebytes Anti-Malware (Trial) 1.61.0.1400 www.malwarebytes.org Database version: v2012.06.18.09 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Howard :: SERVER [administrator] Protection: Enabled 18/06/2012 07:13:55 p.m. mbam-log-2012-06-18 (20-30-09).txt Scan type: Full scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 467879 Time elapsed: 1 hour(s), 10 minute(s), 35 second(s) Memory Processes Detected: 2 C:\Users\Howard\pajon.exe (Trojan.Downloader.ic) -> 1956 -> No action taken. C:\Users\Howard\AppData\Roaming\xkqnvvxfv1he3ofaaq wxfjsczzlyrcd12\svcnost.exe (Trojan.Agent.UAGen) -> 1952 -> No action taken. Memory Modules Detected: 1 C:\Users\Howard\AppData\Roaming\ntuser.dat (Misused.Legit) -> No action taken. Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 3 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |pajon (Trojan.Downloader.ic) -> Data: C:\Users\Howard\pajon.exe /g -> No action taken. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |Windows Init (Trojan.Agent.UAGen) -> Data: "C:\Users\Howard\AppData\Roaming\xkqnvvxfv1he3ofaa qwxfjsczzlyrcd12\svcnost.exe" -> No action taken. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |engel (Trojan.Agent.UAGen) -> Data: C:\Users\Howard\AppData\Roaming\updates\updates.ex e -> No action taken. Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 23 C:\Users\Howard\pajon.exe (Trojan.Downloader.ic) -> No action taken. C:\Users\Howard\AppData\Roaming\xkqnvvxfv1he3ofaaq wxfjsczzlyrcd12\svcnost.exe (Trojan.Agent.UAGen) -> No action taken. C:\Users\Howard\AppData\Roaming\ntuser.dat (Misused.Legit) -> No action taken. C:\Users\Howard\AppData\Roaming\updates\updates.ex e (Trojan.Agent.UAGen) -> No action taken. C:\Program Files (x86)\Alcohol Soft\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken. C:\Program Files (x86)\Bang Bang Racing\TDU.exe (Packer.ModifiedUPX) -> No action taken. C:\Users\Howard\3pbs.exe (Trojan.Agent.UAGen) -> No action taken. C:\Users\Howard\start1.exe (Trojan.Downloader.ic) -> No action taken. C:\Users\Howard\zpbs.exe (Trojan.Agent.UAGen) -> No action taken. C:\Users\Howard\AppData\Local\Temp\0a8d598b.exe (Trojan.Agent.UAGen) -> No action taken. C:\Users\Howard\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\YOUTUBE.PLAYER.exe (Trojan.Agent.UAGen) -> No action taken. C:\Users\Howard\Desktop\Install Programs\Adobe.Photoshop.Lightroom.v3.6.Multilingu al.Incl.Keymaker-CORE\Adobe.Photoshop.Lightroom.v3.6.Multilingual.I ncl.Keymaker-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken. C:\Users\Howard\Desktop\Install Programs\DeepFreeze.Enterprise.v7.30.220.3852\Faro nics.DeepFreeze.Enterprise.v7.30.220.3852.Multilin gual.Incl.Keymaker-ZWT\keygen.exe (Packer.ModifiedUPX) -> No action taken. C:\Users\Howard\Desktop\Install Programs\ESET Instaler\bdl3961.exe (Riskware.KG) -> No action taken. C:\Users\Howard\Desktop\Install Programs\eset nod32 Antivirus 64 bits 2012 v5.0.95.0 con crack +videotutorial\Puren32CW11\ESET PureFix v2.02.exe (RiskWare.Tool.CK) -> No action taken. C:\Users\Howard\Desktop\Install Programs\FantaMorph.Deluxe.v5.2.7.Incl.Keymaker-CORE\FantaMorph.Deluxe.v5.2.7.Incl.Keymaker-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> No action taken. C:\Users\Howard\Desktop\Install Programs\fuentes de word\Chinese-Takeaway Font.exe (Affiliate.Downloader) -> No action taken. C:\Users\Howard\Desktop\Install Programs\fuentes de word\Chinyen Font.exe (Affiliate.Downloader) -> No action taken. C:\Users\Howard\Desktop\Install Programs\Office 2010 instaler\$ Activador $\Activador De Office 2010.exe (Riskware.Tool.CK) -> No action taken. C:\Users\Howard\Downloads\Chinese-Takeaway Font.exe (Affiliate.Downloader) -> No action taken. C:\Users\Howard\Downloads\Chinyen Font.exe (Affiliate.Downloader) -> No action taken. C:\Windows\Installer\{3c8e173d-c90e-f45b-778a-736bce1bcc5b}\U\800000cb.@ (Rootkit.0Access) -> No action taken. C:\ProgramData\common.data (Malware.Trace) -> No action taken. (end) Luego, ejecuté el TDSSKILLER y no se detectó el Sirefif.Y , pero si detecto un archivo suspechosa que tenia algun tipo de candado y pique el boton de eliminar. No tengo reporte. Despues, baje el ESETSirefefRemover.exe y lo abrí. Me dijo que no encontro el sirefef trojan. Ahora estoy al punto de instalar antivirus para checarla como me dijeste. Pero, sigue con el mismo duda de cual sera el mejor para instalar. Pues, el ESET me fallo por completo si has seguido todo este thread. El microsoft no me gusta porque no tienes opciones de permitiendo ciertos cosas o apagando lo temporalmente. Entonces, cualquiere sugerencia sera apreciada. Otra cosa que noté, el antivirus de microsoft, lo detectó como "Sirefif.Y", pero en todo lados se habla de "sirefef", sera el mismo? Y porque no se detecto con los ultimos utilidades que corí. Parece que era bastante facil de quitar, yo pensaba que iba ser mucho mas dificil. (Si es que se quito) Quisaz esta ahi todavia. Pues, voy a instalar el antivirus y vera. Por esto, cualquire sugerencia sera bueno. Aunque todavia no es completo el asunto y ni sé si tengo control del ciber o acceso al red que perdí, me gustaria tomar este opportunidad de darles las gracias a Usted y el companero Kata4sera. Gracias! No tengo imagines grandes preparados para insertar en los post para decir "Bienvenido" o "Gracias", como he visto que muchos usan en este sitio. Pero no quiere decir que mis sentimientos de gratitude son mas pequeños que otras, solo porque el tamaño de mi fuente no es igual de grande. De nuevo, Gracias! Y te informare de cualquire avance o retraso. Howard

veo que en todas las infecciones aparece que no ha tomado ninguna acción, cuando termino el scan indicaste que quitara lo seleccionado?

si no lo hiciste, te toca volver a ejecutar el scan para que remueva esas infecciones.

PD: te mando por PM una guia para limpiarlo, comentas como te va.

[cibercafeamericano]

Pues, creo que si, pero voy a hacerlo de nuevo de todos modos para estar seguro. Gracias por su interes.

Howard

[cibercafeamericano]

Tambien, noté que varios de estos trojans en aquel reporte son generadores de serials o patches que venia con programas que descargue de IV. No creo que son malisioso o si? Siempre pensaba que los programas de antivirus lo identificaron estos porque utilizan herimentas de hackeo para lograr activar window o office o algun programa.

Howard