Faça uma pergunta »

Suprimir a infecção Zaccess / Sirefef

Julho 2015


Esta infecção se propaga principalmente pelo download de Cracks, ela se instala também com certos rogues.

Atenção, a infecção é diferente de acordo com a arquitetura do sistema operacional 32 ou 64bits.
Então, tenha cuidado com as manipulações em função de sua arquitetura



Métodos de detecção

Sistema 32 bits


Para os Sistemas 32 bits , l'infecção é composta :
  • de um processo com um ADS 3(Alternate Data Stream) 304301937:2388266043.exe
  • de um patch (modificação) de pilotos Sistemas aleatórios.

A dificuldade aqui é de poder restaurar os arquivos Sistema, a supressão pode danificar as funcionalidades do Windows ou impedir seu carregamento.

Sistema 64 bits

  • A infecção Sirefef.B pode ser recuperada nos OS 64 bits por instalação de um arquivo do tipo: "consrv.dll".
  • O software Zhpdiag permite detectar a infecção:


---\\ Alert Messages

WARNING : RootKit.ZAccess found with file consvr.dll


Tutorial de Zhpdiag: Tutorial Zhpdiag
  • RogueKiller permite também dedetectar esta infecção


RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
relatórios: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Sistema operacional Windows 7 (6.1.7601 Service Pack 1) 64 bits versão
arranque : Modo normal
Modo: Busca -- Data : 20/12/2011 16:11:15

¤¤¤ Processo malicioso: 3 ¤¤¤
[SUSP PATH] setup.exe -- C:\Windows\TEMP\qvdxdk\setup.exe -> KILLED [TermProc]
[SUSP PATH] setup.exe -- C:\Windows\TEMP\nywquc\setup.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> KILLED [TermProc]

¤¤¤ Entradas de registro: 1 ¤¤¤
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : 27l4ozqjbh (C:\ProgramData\27l4ozqjbh.exe) -> FOUND

¤¤¤ Arquivos ?pastas particulares: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infecção : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
  • Os softwares Antivírus permitem também detectar esta infecção sem, no entanto, conseguir erradicá-lo.


AhnLab-V3 Backdoor/Win32.ZAccess
Antiy-AVL Trojan/Win32.ZAccess.gen
Avast Win32:Sirefef-G [Rtk]
Avast5 Win32:Sirefef-G [Rtk]
Kaspersky Rootkit.Win32.ZAccess.e

Métodos de desinfecção

Sistema 64 bits


É preciso restaurar a chave na sua origem a partir do CD Live - siga as explicações:
http://www.malekal.com/2011/10/19/zaccess-sur-windows-64-bits-consrv-winsrv/ em francês
  • Com as últimas versões de ZeroAccess, se o arquivo consvr.dll não está presente os métodos aqui abaixo no windows 32 funcionam


Rq: é melhor repassar o software de desinfecção depois do arranque do computador para acabar de suprimir os eventuais arquivos em memória afetados.

Sistema 32bits


É igualmente possível que você não possa baixar diretamente as ferramentas na sua máquina.
Para tanto, basta renomear as ferramentas durante o download. Se você não consegue fazer, lhe recomendo pedir ajuda no fórum Segurança do Kioskea.

Como esta infecção é muito persistente é bom salvar seus dados antes de tentar a erradicação, e de ter os DVD de reinstalação de seu computador à mão.

Rq: é melhor repassar o software de desinfecção depois do arranque do computador para acabar de suprimir os eventuais arquivos em memória afetados.

Primeira ferramenta: Anti rootkit de Mcafee


Segunda ferramenta: software de Webroot



====Terceira ferramenta: Software de Panda===

Quarta ferramenta: TDSSKiller de Kaspersky

  • Baixe TDSSKiller no seu desktop

http://support.kaspersky.com/downloads/utils/tdsskiller.zip
  • Crie uma nova pasta no seu desktop depois descompacte o arquivo dentro
  • Lance o programa ao clicar em TDSSKiller.exe, a análise se faz automaticamente, se a infecção é detectada, elementos escondidos (= hidden) serão então afixados.

Marque-os e clique em "Delete/Repair Selected".
  • Uma mensagem pode em seguida aparecer solicitando o reinicio do PC (reboot) para terminar a limpeza. Digite "Y" para reiniciar o PC ("close all programs and choose Y to restart").


Informações complementares sobre esta ferramenta:
http://support.kaspersky.com/viruses/solutions?qid=208280684

Quinta ferramenta: Combofix

  • Baixe ComboFix (de sUBs) no seu Desktop.
  • /!\Desative temporariamente qualquer proteção residente /!\ (Antivirus, Antispywares...)
  • Duplo clique em ComboFix.exe. (No Vista e Seven, deve-se clicar direito em Combofix.exe e escolher "Executar como administrador ").
  • Aceite a licença, clique em "Oui".
  • O programa lhe pedirá se você deseja instalar a Console de recuperação. É uma precaução, no caso em que o computador cairia em pane. Eu lhe aconselho então realmente instalar, não custa nada, e poderia potencialmente servir!
  • Quando a operação será terminada, um relatório aparecerá. Poste este relatório na sua próxima resposta no fórum.
  • A relação se encontra aqui : %SystemDrive%ComboFix.txt (%systemdrive% sendo a partição onde é instalado Windows; C: em geral)
  • Ajuda :[ http://www.tutorialgratis.com.br/antivirus/32-como-usar-o-combofix-para-retirar-virus Comment utiliser ComboFix].

Sexta ferramenta: Hitman Pro


Sétima método: Sirefef removal tool De NOD32


Oitavo método : ZeroAccess Removal Tool (32-bit unicamente) de Bogdan BOTEZATU


Nona ferramenta: Software Avast


Para detectar a infeção:
  • Faça o download aswMBR.exe em seu desktop.
  • Duplo clique em e aswMBR.exe para executar
  • Clique sobre o botão «Scan» para começar a varredura
  • Clique em Save log para salvar o relatório
  • Registre o aswASW.log no Desktop
  • Poste o relatório no fórum para obter ajuda.


Para suprimir a infecção:
  • Relance aswMBR.exe para executá-lo
  • Clique sobre o botão «Scan» para começar a varredura
  • Clique sobre "Fix"
  • registre o aswASW.log no Desktop
  • Poste o relatório no fórum
  • Download do Avast free

Outros métodos: um live CD/Usb antivirus


Décima ferramenta: RogueKiller


Este software permite erradicar centenas de variantes de Zaccess

Outros métodos: um live CD/Usb antivírus


Se Windows não reinicia mais


Ver aqui: Windows não arranca mais, o que fazer?

Verificação


Para verificar que não ficou mais nada, é melhor analisar seu computador com seu antivírus ou passar um antivírus online.

Outros links úteis



Artigo original publicado por Jlpjlp

Tradução feita por Ana Spadari
Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
Suprimir-a-infeccao-zaccess-sirefef.pdf

Veja também

Na mesma categoria

Publicado por ninha25.
Este documento, intitulado « Suprimir a infecção Zaccess / Sirefef »a partir de CCM (br.ccm.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.