Suprimir a infecção Zaccess / Sirefef

Janeiro 2017


Esta infecção se propaga principalmente pelo download de Cracks, ela se instala também com certos rogues.

Atenção, a infecção é diferente de acordo com a arquitetura do sistema operacional 32 ou 64bits.
Então, tenha cuidado com as manipulações em função de sua arquitetura



Métodos de detecção

Sistema 32 bits


Para os Sistemas 32 bits , l'infecção é composta :
  • de um processo com um ADS 3(Alternate Data Stream) 304301937:2388266043.exe
  • de um patch (modificação) de pilotos Sistemas aleatórios.

A dificuldade aqui é de poder restaurar os arquivos Sistema, a supressão pode danificar as funcionalidades do Windows ou impedir seu carregamento.

Sistema 64 bits

  • A infecção Sirefef.B pode ser recuperada nos OS 64 bits por instalação de um arquivo do tipo: "consrv.dll".
  • O software Zhpdiag permite detectar a infecção:


---\\ Alert Messages

WARNING : RootKit.ZAccess found with file consvr.dll


Tutorial de Zhpdiag: Tutorial Zhpdiag
  • RogueKiller permite também dedetectar esta infecção


RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
relatórios: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Sistema operacional Windows 7 (6.1.7601 Service Pack 1) 64 bits versão
arranque : Modo normal
Modo: Busca -- Data : 20/12/2011 16:11:15

¤¤¤ Processo malicioso: 3 ¤¤¤
[SUSP PATH] setup.exe -- C:\Windows\TEMP\qvdxdk\setup.exe -> KILLED [TermProc]
[SUSP PATH] setup.exe -- C:\Windows\TEMP\nywquc\setup.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> KILLED [TermProc]

¤¤¤ Entradas de registro: 1 ¤¤¤
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : 27l4ozqjbh (C:\ProgramData\27l4ozqjbh.exe) -> FOUND

¤¤¤ Arquivos ?pastas particulares: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infecção : ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
  • Os softwares Antivírus permitem também detectar esta infecção sem, no entanto, conseguir erradicá-lo.


AhnLab-V3 Backdoor/Win32.ZAccess
Antiy-AVL Trojan/Win32.ZAccess.gen
Avast Win32:Sirefef-G [Rtk]
Avast5 Win32:Sirefef-G [Rtk]
Kaspersky Rootkit.Win32.ZAccess.e

Métodos de desinfecção

Sistema 64 bits


É preciso restaurar a chave na sua origem a partir do CD Live - siga as explicações:
http://www.malekal.com/2011/10/19/zaccess-sur-windows-64-bits-consrv-winsrv/ em francês
  • Com as últimas versões de ZeroAccess, se o arquivo consvr.dll não está presente os métodos aqui abaixo no windows 32 funcionam


Rq: é melhor repassar o software de desinfecção depois do arranque do computador para acabar de suprimir os eventuais arquivos em memória afetados.

Sistema 32bits


É igualmente possível que você não possa baixar diretamente as ferramentas na sua máquina.
Para tanto, basta renomear as ferramentas durante o download. Se você não consegue fazer, lhe recomendo pedir ajuda no fórum Segurança do Kioskea.

Como esta infecção é muito persistente é bom salvar seus dados antes de tentar a erradicação, e de ter os DVD de reinstalação de seu computador à mão.

Rq: é melhor repassar o software de desinfecção depois do arranque do computador para acabar de suprimir os eventuais arquivos em memória afetados.

Primeira ferramenta: Anti rootkit de Mcafee


Segunda ferramenta: software de Webroot



====Terceira ferramenta: Software de Panda===

Quarta ferramenta: TDSSKiller de Kaspersky

  • Baixe TDSSKiller no seu desktop

http://support.kaspersky.com/downloads/utils/tdsskiller.zip
  • Crie uma nova pasta no seu desktop depois descompacte o arquivo dentro
  • Lance o programa ao clicar em TDSSKiller.exe, a análise se faz automaticamente, se a infecção é detectada, elementos escondidos (= hidden) serão então afixados.

Marque-os e clique em "Delete/Repair Selected".
  • Uma mensagem pode em seguida aparecer solicitando o reinicio do PC (reboot) para terminar a limpeza. Digite "Y" para reiniciar o PC ("close all programs and choose Y to restart").


Informações complementares sobre esta ferramenta:
http://support.kaspersky.com/viruses/solutions?qid=208280684

Quinta ferramenta: Combofix

  • Baixe ComboFix (de sUBs) no seu Desktop.
  • /!\Desative temporariamente qualquer proteção residente /!\ (Antivirus, Antispywares...)
  • Duplo clique em ComboFix.exe. (No Vista e Seven, deve-se clicar direito em Combofix.exe e escolher "Executar como administrador ").
  • Aceite a licença, clique em "Oui".
  • O programa lhe pedirá se você deseja instalar a Console de recuperação. É uma precaução, no caso em que o computador cairia em pane. Eu lhe aconselho então realmente instalar, não custa nada, e poderia potencialmente servir!
  • Quando a operação será terminada, um relatório aparecerá. Poste este relatório na sua próxima resposta no fórum.
  • A relação se encontra aqui : %SystemDrive%ComboFix.txt (%systemdrive% sendo a partição onde é instalado Windows; C: em geral)
  • Ajuda :[ http://www.tutorialgratis.com.br/antivirus/32-como-usar-o-combofix-para-retirar-virus Comment utiliser ComboFix].

Sexta ferramenta: Hitman Pro


Sétima método: Sirefef removal tool De NOD32


Oitavo método : ZeroAccess Removal Tool (32-bit unicamente) de Bogdan BOTEZATU


Nona ferramenta: Software Avast


Para detectar a infeção:
  • Faça o download aswMBR.exe em seu desktop.
  • Duplo clique em e aswMBR.exe para executar
  • Clique sobre o botão «Scan» para começar a varredura
  • Clique em Save log para salvar o relatório
  • Registre o aswASW.log no Desktop
  • Poste o relatório no fórum para obter ajuda.


Para suprimir a infecção:
  • Relance aswMBR.exe para executá-lo
  • Clique sobre o botão «Scan» para começar a varredura
  • Clique sobre "Fix"
  • registre o aswASW.log no Desktop
  • Poste o relatório no fórum
  • Download do Avast free

Outros métodos: um live CD/Usb antivirus


Décima ferramenta: RogueKiller


Este software permite erradicar centenas de variantes de Zaccess

Outros métodos: um live CD/Usb antivírus


Se Windows não reinicia mais


Ver aqui: Windows não arranca mais, o que fazer?

Verificação


Para verificar que não ficou mais nada, é melhor analisar seu computador com seu antivírus ou passar um antivírus online.

Outros links úteis



Artigo original publicado por Jlpjlp

Tradução feita por Ana Spadari

Veja também

Publicado por ninha25. Última modificação: 23 de julho de 2012 às 06:43 por ninha25.
Este documento, intitulado 'Suprimir a infecção Zaccess / Sirefef', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.