Scapa de ZeroAccess rootkit – Devirusare completa

De circa 2 luni ati auzit probabil de rootkit-ul ZeroAccess, care face ravagii.
Acest rootkit a fost descoperit de fapt in anul 2009 pentru prima data, sub denumirile de MBR rootkit, TDL2 rootkit, avand capacitatea unica de a opri orice solutie de securitate ruleaza in calculator.

ZeroAccess creaza un nou obiect de tip kernel cu denumirea __max++>, de aici venind denumirea de max++ rootkit, cunoscut si ca ZeroAccess datorita unui rand gasit in codul driverului de kernel (f: \VC5\release\ZeroAccess.pdb).

Ce este insa un rootkit?
Ei bine, este un tip de malware deosebit de periculos care creeaza drivere si fisiere ascunse, integrate adanc in sistemul de operare, facandu-l extrem de greu de indepartat.

Rootkit-ul despre care vorbim se raspandeste preponderent prin site-uri de pe domeniul .cz.cc din investigatiile noastre (hslommi.cz.cc, uxfcxni.cz.cc, mzmfaakve.cz.cc etc)

Ultima varianta descoperita a rootkit-ului are o detectie de 18 din 44 pe VirusTotal.com. Avira denumeste acest rootkit TR/Drop.Sirefef.B.

Daca doriti o analiza mai amanuntita si tehnica a rootkit-ului accesati descrierea PrevX:
pxnow.prevx.com/content/blog/zeroaccess_analysis.pdf

Pentru DEVIRUSARE avem doua metode:

1. Descarcati AntiZeroAccess de la Webroot si urmati instructiunile pentru indepartarea infectiei:
http://anywhere.webrootcloudav.com/antizeroaccess.exe

webroot anti zeroaccess

2. Descarcati TDSSSkiller de la Kaspersky si rulati-l: http://support.kaspersky.com/downloads/utils/tdsskiller.zip

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

10 responses to “Scapa de ZeroAccess rootkit – Devirusare completa”

  1. Alin

    Poate spui si tu ca nu ruleaza pe x64. Nu le ai deloc.

    1. virus2009

      utilitarul de la kaspersky functioneaza sigur pe x64 😉

  2. anonim

    am o nelamurire. Am scanat zilnic cu kaspersky internet security toate partitiile, stick-urile, mailul, tot. LA setari toate erau trecute high si scanare la maxim. Scanam zilnic odata la 6 ore si cu malwarebytes anti malware. Tot timpul eram clean. Azi exact dupa scanari am luat acel utilitar de la kaspersky si gaseste 2 thread-uri. Cum e posibil ?:|

    1. virus2009

      cum sa scanezi zilnic pc-ul? 😆 , am crezut ca nu vad bine ce scrie si am reluat din nou de la capat .

  3. zame77

    Pentru “anonim”.
    Ti-a gasit 2 thread-uri pentru ca acest utilitar scaneaza din boot

  4. nicolae

    Incepi sa devii indinspesabil !

  5. anonim

    am setat sa scaneze automat antivirusul si malwarebytes la anumite ore. Ma uit doar peste log-uri. Am laptopul performant nu se simte mai deloc cand scaneaza. Oricum multumesc.

    1. virus2009

      anonim de regula se scaneaza o data la 1 sapt. , nu chinuii acel leptop .

  6. Devirusare ZeroAccess Sirefef Rootkit – Ghid complet de eliminare

    […] utilitarele prezentate aici de Radu nu au avut efectul scontat, am recurs la scanarea sistemului cu Kaspersky RescueDisk […]

Leave a Reply