Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro (SOLUCIONADO)

Cerrado
cherokee68
Novato
Novato
Mensajes: 8
Registrado: 10 Oct 2011, 20:34

Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro (SOLUCIONADO)

Mensaje por cherokee68 » 10 Oct 2011, 20:51

Buenas tardes amigos/as del foro.

tengo un problemon del trece,os ruego encarecidamente vuestra humilde ayuda.

Resulta que tengo el pc infectado con el rootkit.win32.Zaccess.e,segun me dice el tdss killer,WinNT/Sirefef.H catalogado por microsoft como backdoor de nivel grave y otro u otros ocultos que arroja el log,he pasado tambien una aplicacion de Avira antirootkit que me ha puesto en cuarentena unas cuantas cosas,

Tambien he ejecutado el Antizeroaccess,este me ha dicho que el svchost.exe esta infectado,pero no me limpia.

El ordenador en modo normal es un desatre,se reinicia,errores hotfix,runtime,bluescreen,el antivirus no se activa.incluido malwarebits anti...incluso los av online no me los deja pasar.

Ahora mismo estoy en safe mode,de otra forma no podria escribiros ya que tambien detecta que visito paginas donde se tratan estos auntos y me redirecciona a otras.

este pc lo utilizo para trabajar,si tuviera que formatearlo seria una gran p... ya que tengo mucha info

agradeceria muchisimo vuestra ayuda.

Gracias

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92771
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por msc hotline sat » 11 Oct 2011, 07:41

Sí, el Sirefef o Zero Access es un Rootkit de cuidado.



Prueba lo que indica flacoroo al respecto en https://foros.zonavirus.com/viewtopic.php?f=12&t=37503&hilit=Sirefef



Sino acaba con él, mira lo que decimos al respecto del ZEROACCESS en



saludos



ms, 11-10-2011

RSPBAR

cherokee68
Novato
Novato
Mensajes: 8
Registrado: 10 Oct 2011, 20:34

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por cherokee68 » 11 Oct 2011, 21:26

Hola gracias por tu pronta ayuda,te comento,el topic de tu compañero no está disponible,por lo menos eso me dice.

y dime para mas info del zaccess donde puedo verlo,en tu respuesta no consigo ver como acceder.

saludos

Avatar de Usuario
lucl
Moderador
Moderador
Mensajes: 6499
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por lucl » 11 Oct 2011, 22:08

Mira si lo ves ahora, si no es asi te lo copio aqui como respuesta. Avisame, saludos.





https://foros.zonavirus.com/viewtopic.php?f=12&t=37503&hilit=Sirefef&sid=21333fe3c972e7420fe263ab7f12b19e#p186138

Avatar de Usuario
lucl
Moderador
Moderador
Mensajes: 6499
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por lucl » 11 Oct 2011, 22:09

Como parece que ya no estas te lo copio por si acaso. Saludos



--------------------------------------------------------------------------





No hay duda, 2011 ha sido un año muy productivo para los creadores de malware. Siguiendo los pasos del rootkit TDSS/TDL4, que ha sido promocionado como “indestructible”, la familia ZeroAccess ha dado un gran salto con el fin de desmantelar las soluciones instaladas en el equipo infectado.



ZeroAccess, o Sirefef, es una pieza de malware que reemplaza algunos archivos críticos que son parte del sistema operativo y algunos propios de la estructura del kernel para hacerlo invisible tanto al sistema operativo como al software de seguridad.



Se han visto muestras de ZeroAccess disfrazadas de cracks o generadores de llaves para un gran número de aplicaciones, desde Microsoft Office 2010 hasta descargadores de pornografía o juegos. Una vez que el usuario descarga y ejecuta el crack o parche infectado dentro de una aplicación comercial pirata, el ejecutable instala silenciosamente el rootkit ZeroAccess sobrescribiendo en una unidad aleatoriamente. La aplicación guarda su información en %SYSTEMROOT%\system32\config\ bajo un nombre aleatorio.



Una vez que sobrescribió la unidad legítima, Rootkit.Sirefef se ejecutará en cada inicio del sistema en vez de la unidad genuina. Para una mejor protección de sí mismo, también infecta un archivo aleatorio ejecutable localizado en la carpeta system32, el cual vuelve a infectar al sistema, en caso de que el rootkit se inactive.



No se va hacer énfasis sobre el funcionamiento interno del Rootkit.Sirefef, basta decir que esta pieza de malware crea un archivo ejecutable inofensivo, el cual actúa como cable de tracción; cada vez que es escaneado con alguna solución de seguridad, el rootkit trata de eliminar el antivirus. Algunos productos antivirus son incapaces de proteger sus propios procesos contra la rutina de eliminación y se desactivan, por lo que el sistema se vuelve vulnerable a otros ataques.



Los usuarios que han sido infectados por esta familia de malware pueden desinfectar sus equipos siguiendo estos tres simples pasos.

1. Descargar el Rootkit.Sirefef free removal tool (el rootkit no funciona con sistemas operativos de 64bits)

2. Ejecutar la herramienta

3. Reiniciar el equipo para completar la desinfección.



La herramienta Rootkit.Sirefef es proporcionada como cortesía de los investigadores de malware de Bitdefender, Balazs Biro y Mihail Andonic.





----------------------------------------------------------------------------



Aqui el link de la herramienta, saludos.



http://www.malwarecity.com/community/index.php?app=downloads&showfile=34

cherokee68
Novato
Novato
Mensajes: 8
Registrado: 10 Oct 2011, 20:34

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por cherokee68 » 11 Oct 2011, 22:13

Ostras ,lo voy a probar,gracias por el aporte,voy a intentarlo y comento

Saludos

Avatar de Usuario
lucl
Moderador
Moderador
Mensajes: 6499
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por lucl » 11 Oct 2011, 22:17

Pues nada suerte y nos comentas resultados. Saludos

cherokee68
Novato
Novato
Mensajes: 8
Registrado: 10 Oct 2011, 20:34

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por cherokee68 » 11 Oct 2011, 22:52

No ejecuta,me sale error: could not load trufos.sys

cherokee68
Novato
Novato
Mensajes: 8
Registrado: 10 Oct 2011, 20:34

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por cherokee68 » 11 Oct 2011, 23:21

A ver que te parece,he encontardo una herramiente llamada webroot zeroaccess me da esto:



|-------------------------------------------------------------------|

| WARNING! Your system is Infected!! |

|-------------------------------------------------------------------|





Full system scan is in progress! It may take a while, please wait...

Checking system service files: svchost.exe



List of infected files: tdx.sys avfwsvc.exe sched.exe eDSService.exe LSSrvc.exe

schedulersvc.exe nvvsvc.exe PsiService_2.exe RichVideo.exe



Your pc is infected. But unfortunately Webroot Driver is not loaded.

I'm not able to perform any system cleaning





Execution ended.

Press any key to exit...

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92771
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por msc hotline sat » 12 Oct 2011, 08:11

Pues mira de localizar estos ficheros, y tras añadirles .VIR a su extensión, envianoslos para analizar:



List of infected files: tdx.sys avfwsvc.exe sched.exe eDSService.exe LSSrvc.exe

schedulersvc.exe nvvsvc.exe PsiService_2.exe RichVideo.exe





>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



Y mientras, puedes probar esta utilidad:



[url=http://support.kaspersky.com/downloads/utils/tdsskiller.exe]TDSSKILLER[/url]



y nos cuentas el resultado, gracias



saludos



ms, 12-10-2011





NOTA:



y puedes leer mas informacion al respecto en https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/23000/PD23412/en_US/McAfee%20Labs%20Threat%20Advisory-ZeroAccess.pdf



y como que sea que este Sirefef es actualmente la "asignatura pendiente", por si no hubiera sido suficiente todo lo anterior, y aunque no sea Norma de este foro enviar ficheros anexados a los post, excepcionalmente te envio esta utilidad de McAfee a ver si te resulta efectiva:



Anexo 562354_2.ZIP

Suerte, que la necesitas ! ms.
Adjuntos
562354_2.zip
(58.94 KiB) Descargado 264 veces

cherokee68
Novato
Novato
Mensajes: 8
Registrado: 10 Oct 2011, 20:34

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por cherokee68 » 12 Oct 2011, 20:15

Guenaas,jo..con el bicho,gracias por el aporte.

Por pasos:

Te vuelvo a pasar lo que arroja el antizeroaccess,con mas novedades:



|-------------------------------------------------------------------|

| WARNING! Your system is Infected!! |

|-------------------------------------------------------------------|





Full system scan is in progress! It may take a while, please wait...

Checking system service files: svchost.exe



List of infected files: dfsc.sys avfwsvc.exe avmailc.exe sched.exe eDSService.ex

e googleupdate.exe googleupdate.exe LSSrvc.exe schedulersvc.exe nvvsvc.exe PsiSe

rvice_2.exe RichVideo.exe



Your pc is infected. But unfortunately Webroot Driver is not loaded.

I'm not able to perform any system cleaning





Execution ended.

Press any key to exit...

Si la comparas con el otro post acerca de este scann,veras que hay diferencias.

Sobre el Tdss killer,te comento,tambien chungo,si lo hago en modo seguro,los pilla y los mata,incluso el antizeroaccess ya no detecta nada,esto sin conexion ,si conecto de nuevo zas ahí estan otra vez y los vuevo a eliminar.peeeero,el pc sigue sin dejarme activar antivirus y demas,si me voy a normal el tdss los pilla pero por mucho reboot que haga para acabar proceso ahí siguen una y otra vez.

Sinceramente tenia la esperanza que esto nuevo de mcafee valiera pero el muy c...dice que no ha podido cargar y que me asegure si tengo permisos,lo he chequeado y los tengo bien...

no se si lo ultimo sería hacerlo manualmente con el gmer como dice mcafee,que te parece?

te voy a pasar tambien el error que me sale cuando estoy en modo normal y se reinicia continuamente por si pudiese arrojar algo positivo.

saludos



Firma con problemas:

Nombre del evento de problema: BlueScreen

Versión del sistema operativo: 6.0.6001.2.1.0.256.6

Id. de configuración regional: 3082



Información adicional del problema:

BCCode: 1000008e

BCP1: C0000420

BCP2: 9479D3D8

BCP3: 8059D9DC

BCP4: 00000000

OS Version: 6_0_6001

Service Pack: 1_0

Product: 256_1



Archivos que ayudan a describir el problema:

C:\Windows\Minidump\Mini101211-07.dmp

C:\Users\GIFTS & MORE\AppData\Local\Temp\WER-203612-0.sysdata.xml

C:\Users\GIFTS & MORE\AppData\Local\Temp\WER3A22.tmp.version.txt

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92771
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por msc hotline sat » 12 Oct 2011, 20:30

Prueba el RootKitRemover.EXE de McAfee, que te anexaba en mi anterior post, pero arrancando en MODO SEGURO o ejecutandolo con Boton derecho y escogiendo Ejecutar como Administrador, a ver si asi no se queja por falta de permisos.



El GMER lo usamos especialmente en Windows 7, donde el TootKit detective de McAfee no corre, pero el Sirefef es mucho bicho...



Siempre hay uno que nos trae de cabeza hasta que lo pisamos, y este es el que toca ahora, y hasta que no encontremos el protocolo a seguir, será cuestión de ir buscando !



Cuentanos tus progresos al respecto, gracias



saludos



ms, 12-10-2011

cherokee68
Novato
Novato
Mensajes: 8
Registrado: 10 Oct 2011, 20:34

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por cherokee68 » 12 Oct 2011, 20:56

Nada,el maca,me dá error loading service,comprobar permisos.etcc..

mira que todo el tiempo estoy en modo seguro.

El gmer seguro que no nos puede ayudar? Si te pasó el log del tdss,podríamos hacer algo con el OTL?

Yo voy probando tambien a ver si por una de esas cantamos bingo.

salu2

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92771
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por msc hotline sat » 13 Oct 2011, 06:43

Sí, claro, es cuestión de probarlo todo, hazlo y posteanos los informes resultantes, a ver si al menos cantamos línea !



saludos



ms, 13-10-2011

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92771
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por msc hotline sat » 13 Oct 2011, 07:04

Y acabo de recibir esta informacion:



http://kb.eset.com/esetkb/index?page=content&id=SOLN2895&viewlocale=es_ES



hoy la estudiaremos, pero mientras...



saludos



ms, 13-10-2011

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92771
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por msc hotline sat » 13 Oct 2011, 13:08

Infectando un ordenador con dicho SIrefef, hemos logrado desinfectarlo con el ROOTKITREMOVER.EXE de McAfee, como indicamos en:



http://www.zonavirus.com/noticias/2011/solucion-al-rootkit-sirefef-zero-access-rootkit-de-compleja-ingenieria-aplicada.asp



Prueba seguir dichos pasos y nos comentas el resultado, gracias



saludos



ms, 13-10-2011

cherokee68
Novato
Novato
Mensajes: 8
Registrado: 10 Oct 2011, 20:34

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por cherokee68 » 15 Oct 2011, 02:31

hola, que tal todo por aquí?

Por fin se solucionó el asunto, hubiera intentado lo del último post pero la verdad me urgía limpiar el pc.

Al final me lo han solucionado remotamente, me explico, anda por ahí una web en donde están especializados en esto, ya total de perdios al río lo probé y la verdad me han salvado.

Fue un proceso manual, eliminando o reparando los marcados por una aplicación llamada XUETR sólo os puedo contar que con XUETR, estuvieron no más de 10 minutos, después el malwareanti..y para terminar y verificar el tdss killer, y tachan, fuera bicho.

La verdad que el tal XUETR, parece ser que es una caña,se instaló y se ejecutó como cuchillo en la mantequilla, el bicho ni lo olió, supongo que ya conocéis esta aplicación, si no es así,echarle un vistazo, seguro que vosotros sabréis cómo se utiliza y sacarle el máximo provecho, yo desde luego he flipao porque había intentado instalar un mundo de antis y cuando no se instalaban no se ejecutaban o se detenían, pero este made in china es cojonudo, al final van a dominar el mundo.

No puedo aportar mucho ya que yo no hice el trabajo, espero que esta aplicación antivirus XUETR nos sirva de referencia para poder ayudar a más gente que tenga problemas con el rootkit zaccess.e o con otros virus, ya que por lo que he leído es el azote de los bichos.

Un saludo, y muchas gracias por todo.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 92771
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Trojan:WinNT/Sirefef.H o rootkit.win32.Zaccess.e ,socorro

Mensaje por msc hotline sat » 15 Oct 2011, 09:34

Pues es una pena que no pudiera probar el método que le indicabamos y con el que pudimos solucionar con nuestros medios la eliminación del Sirefef en el ordenador de pruebas.



Pero gracias por decirnos que ya lo solucionaron, por ello damos por terminado el Tema y procedemos a cerrarlo



saludos



ms, 15-10-2011





REF C:\Windows\1116440478:1635284157.exe. md5: 8f2bb1827cac01aee6a16e30a1260199

Cerrado

Volver a “Foro Spyware”