Devirusare ZeroAccess Sirefef Rootkit – Ghid complet de eliminare

ZeroAccess rootkit   Rootkitul ZeroAccess este capul de afis in aceasta perioada in domeniul malware astfel ca merita prezentat modul in care se comporta dar si metoda de eliminare a acestuia.

Numit si   Trojan/Win32.ZAccess, TR/Drop.Sirefef.B.840 sau Trojan-Dropper.Win32.Injector.dsp, acesta este detectat in prezent de 29/44 de antivirusi pe VirusTotal.

ZeroAccess este foarte agresiv intrucat obtine drepturi de SYSTEM si isi injecteaza codul malitios intr-un driver ales aleator. Cel mai simplu mod prin care poti observa daca esti infectat este sa deschizi Task Manager (Ctrl+Shift+Esc) si sa observi urmatorul proces: 3899770307:1010470423.exe.

devirusare rootkit zeroaccess

   Interesant este faptul ca pe hard-disk exista doar fisierul C:\Windows\3899770307 fara extensie si marime 0 bytes. Probabil stiti ca niciun fisier nu poate contine caracterul “:“. Mai mult, fisierul .exe nu exista pe hard-disk. Fisierul 3899770307 poate fi sters manual si nu se intampla nimic.

Prima metoda

Cum utilitarele prezentate aici de Radu nu au avut efectul scontat, am recurs la scanarea sistemului cu Kaspersky RescueDisk intrucat acesta are si optiunea de dezinfectare a fisierelor. Fiind vorba de fisiere importante de sistem, stergerea lor poate impiedica Windowsul sa porneasca.

Descarca imaginea iso si apoi fie o arzi pe un CD cu UltraIso, fie il instalezi pe un stick USB cu acest utilitar. Apoi boot de pe CD/USB si scaneaza complet sistemul.

Inainte de a scana, recomand urmatoarele setari:
Security level: High
Action: *Select action: Disinfect, Delete if disinfection fails
dezinfectare rootkit zeroaccess

Apasa Ok apoi selecteaza partitia pe care este instalat sistemul de operare (C:\). Poti selecta si celelalte partitii pentru siguranta.

Am facut un video in care este prezentat modul in care actioneaza rootkitul precum si metoda de devirusare. (pentru claritate apasa HD)

Dupa devirusare:

Metoda a doua

Descarca ZeroAccess Sirefef Removal Tool, scaneaza sistemul si apasa Reboot cand vi se cere.

Security Evangelist

13 responses to “Devirusare ZeroAccess Sirefef Rootkit – Ghid complet de eliminare”

  1. Morphinne

    De asemenea stick-ul il putem face bootabil cu UNetbootin( http://unetbootin.sourceforge.net/ ) !
    Sa nu fie cu suparare ca am venit in completare cu asta dar m-am gandit ca ar prinde bine.
    🙂

  2. nicolae

    Pe devirusare.com am vazut ca Hitman Pro rezolva problema aceasta simplu si eficient

  3. Bibisor

    Baietii de la Bitdefender au scos si removal standalone,scoateti rescue CD ca e prea complicat.

    http://www.malwarecity.com/blog/how-to-remove-zeroaccess-rootkitsirefef-from-your-pc-as-easy-as-1-2-3-1160.html

  4. Bibisor

    Credeam ca actualizezi articolu cu alte removal-uri…………(x300)

  5. Bibisor

    Acu il vad.
    Delete post.

  6. petra

    A functionat.Prima metoda.
    Mai greu ,pt un neinitiat.Dar incet-incet, am facut iso. pe usb.
    Computerul nu mai mergea pornit nici macar in safe mode !!!
    Am boot-at de pe stick, a scanat , nenorocire – vreo 18 bucati! A facut curatenie, si-a repornit computerul …
    Spre surprinderea mea , chiar a incarcat Windows-ul.A facut Check Disk-ul, si voila: N-a fost nevoie de reinstalare !

    Multumesc!

    1. Gigi

      Cu placere.

  7. VadVoci

    O noua varianta de Trojan Zeroacces . Cred ca l-am luat de pe http://mondoplast.net sau http://supraveghere.ro pentru ca numai cele doua adrese le aveam deschise in firefox

    Process name: 96.tmp.exe ,Local Port:1845, Remote Port:80 , Remote Address:
    host-88-132-39-250.prtelecom.hu
    ProcessPath: C:\Documents and Settings\User\Local Settings\temp\96.tmp

    The following changes have been created in Registry:

    [HKEY_CURRENT_USER\Software\568d6bf5]
    “u”=dword:000000c1
    “id”=hex(b):5f,7e,58,cf,a0,81,a7,30

    [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    “Shell”=”C:\\Documents and Settings\\User\\Local Settings\\Application Data\\568d6bf5\\X”

    The following folders and file have been created:

    C\WINDOWS\$NtUninstallKB49799$\_2239823485_.zip
    C\WINDOWS\$NtUninstallKB49799$\1452108789\loader.tlb
    C\WINDOWS\$NtUninstallKB49799$\1452108789\@
    C\WINDOWS\$NtUninstallKB49799$\1452108789\L\hwuibelv
    C\WINDOWS\$NtUninstallKB49799$\1452108789\U\@800000c0
    C\WINDOWS\$NtUninstallKB49799$\1452108789\U\@800000cb
    C\WINDOWS\$NtUninstallKB49799$\1452108789\U\@80000000
    C\WINDOWS\$NtUninstallKB49799$\1452108789\U\@800000cf
    C\WINDOWS\$NtUninstallKB49799$\1452108789\U\@000000cb
    C\WINDOWS\$NtUninstallKB49799$\1452108789\U\@00000001
    C\WINDOWS\$NtUninstallKB49799$\1452108789\U\@000000cf

    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5

    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\X

    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\loader.tlb

    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\@

    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\U\80000000.@
    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\U\800000cf.@
    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\U\800000cb.@
    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\U0000001.@
    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\U00000cf.@
    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\U00000cb.@
    C:\Documents and Settings\User\Local Settings\Application Data\568d6bf5\U00000c0.@

    C:\WINDOWS\Temp\_ex-08.exe
    C:\WINDOWS\Temp\_ex-68.exe

    etc….

  8. VadVoci

    Uite de unde am luat virusul : hxxp://www.supraveghere.ro/js/standard.js

  9. Mihai

    Am nevoie de ajutor,am si eu acest virus si am luat de pe un stick nod 32 care lam updatat la versiunea de 2013 apoi iam dat un full scan…acm in scaneaza……problema este ca nu pot descarca absolut nimic de pe net inclusiv ZeroAccess Removal Tool si virusul mia dezactivat firewall-ul de la pc!!!!!!!!am nevoie de ajutor,pareri,sfaturi!Multumesc anticipat!!

Leave a Reply