Malware

Eliminar Antivirus Security Pro

Seguridad Antivirus Pro es un rogue / scareware (falso antivirus) que muestra falsas alertas que indican que está infectado.

Usted debe pagar el falso antivirus para eliminar esas infecciones falsas, por lo que es una estafa.

He aquí cómo quitarlo.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1089x664px.

El software malicioso está alojado en la carpeta C :/ Archivos de programa carpeta C :/ ProgramData con una carpeta con un nombre aleatorio, en nuestro caso pDprpn37.

A continuación, intenta agregar un Autorun clave en procesador de comandos de Windows, al igual que, el Flimrans ransomware . Para recuperar la ubicación Antivirus Security Pro, usted puede hacer clic derecho sobre el icono y luego en Propiedades. RogueKiller es responsable de esta infección.

- Descarga oficina http://forum.malekal.com/roguekiller-t29444.html (siga el enlace oficial)
- ! ¡CUIDADO! En la página RogueKiller - "Tome Descargar Link" - con círculos de color púrpura. Al hacer clic en estos círculos el programa se descarga.
- Cierre todos los programas
- Iniciar RogueKiller.exe.
- Espere hasta que el pre-escaneo ha terminado ...
- Ejecutar un escaneo para desbloquear el botón Eliminar a la derecha.
- Haga clic en el botón Eliminar.
- Cierre el informe se abre.

Si RogueKiller no se puede abrir (virus detectado), esto puede indicar una infección / Sirefef ZeroAccess - entonces usted puede intentar el procedimiento dado para Firefox: http://www.malekal.com/2013/05/24/sirefef-impossible -to-download-en-internet-explorer /

Si usted no tiene Firefox, llave USB RogueKiller transferencia.

Si la abertura no es, cambiar el nombre RogueKiller con el nombre de scareware recuperado por las propiedades del icono, como se indica más arriba, en el ejemplo, debe cambiar el nombre RogueKiller en pDprpn37

RogueKiller dejará los accesos directos e iconos, se puede quitar (para los profesionales, también puede eliminar la carpeta Archivos de programa / datos de programa)

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1067x685px.

Si se detecta ZeroAccess / Sirefef, es recomendable hacer un análisis con MBAR: http://www.malekal.com/2012/11/11/malwarebytes-anti-rootkit-mbar-beta/

A continuación, utilice Repair Eset para restaurar el Windows Update Services / Centro de seguridad / Firewall de la función http://forum.malekal.com/remettre-retablir-les-services-windows-t36444.html

Después de la desinfección - ¡Muy importante

Cambiar la contraseña WEB contraseñas (Facebook, Correo, SN, juegos en línea, etc), que pueden haber sido recogidos.

Es entonces aconsejable realizar una exploración Malwarebyte => http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

El ordenador es vulnerable debido a que su software está actualizado - un sitio hackeado o publicidad maliciosa que lleva a la realización de la página web pueden infectar su ordenador (si el antivirus está en el viento, que suele ser el caso).

La fuente de infección está teniendo en su software obsoleto ordenador.

El software puede ayudarle a => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour- t15960.html

Trate de mantener su software actualizado (incluyendo Java, Adobe Reader y Flash), estos programas no pueden actualizar de infectar su sistema.

En términos más generales para proteger el equipo: Cómo asegurar su computadora (versión corta)

Buscar Delta / Delta Toolbar y BitGuard / Browsersafeguard

Buscar Delta / Delta Toolbar es un programas parásitos en forma de barra que cambia la configuración de tu navegador web.

La meta es registrar a un servicio y ganar dinero artificialmente aumentar las visitas de un motor investigación, etc sitio web y ganar dinero. Este programa se ofrece durante la instalación de otros programas como patrocinador. ejemplo, el sitio de descarga que ofrece la Softonic Toolbar. 01Net Softonic, y son sitios de descarga para evitar estos parásitos ofrecen programas para instalar en su ordenador y ganar dinero por cada instalación exitosa.

Delta Buscar propuesto por Softonic

Delta Toolbar en 01Net

Es aconsejable evitar estos sitios de descarga. A continuación se muestra un programa de vídeo que refourgue barra de herramientas:

Deta Tooblar paquete

La barra de herramientas - de hecho, es la barra de herramientas de Babilonia :

barra de herramientas

Automáticamente con Anti-Malware y AdwCleaner de Malwarebyte

Descargue e instale Malwarebyte Anti-Malware: http://www.malekal.com/tutorial_Malware ... alware.php
Ponga definiciones actualizar
hacer una exploración rápida, quite todo y publicar el informe aquí.
Al final del análisis, haga clic derecho y "seleccionar todo".
Haga clic en el botón "Eliminar la selección" para eliminar los elementos seleccionados.

a continuación:

Descarga AdwCleaner-t33839.html AdwCleaner (de Xplode) en el escritorio.
AdwCleaner en la página, haga clic derecho en el disco gris con la flecha verde para iniciar la descarga.
Inicio AdwCleaner, haga clic en [Escáner] y esperar.
Cuando se hace, no toque nada, haga clic en [limpieza].

Si el programa requiere un reinicio, vamos a llevar. Elimine manualmente Buscar Delta / Delta Tooblar El programa desinstala. * Para Windows Vista / Seven: Vaya al Panel de control y luego en Programas y características * Para Windows XP: Ir Panel de control y Agregar / Quitar programas Desinstalar la búsqueda Delta / Delta programa de barra de herramientas, si está presente.BitGuard Si usted ve o BrowserDefender desinstalar también. Usted debe quitar las extensiones añaden a Firefox o Google Chrome.

Firefox: Herramientas / Complementos y extensiones - ver firefox-extensiones-page-boot-search-t36057.html
Google Chrome: google-chrome-motor de supresión Paramétrage-extensiones-t35837.html

A continuación todas las extensiones señaladas en rojo son programas parásitos:

Extensión Toolbar Delta

Debe volver a configurar su navegador Web (. Página principal, motor de búsqueda, etc) y retire la extensión 01netToolbar: AdwCleaner puede ser útil para la limpieza de otros programas potencialmente no deseados / el SIP :

Descarga AdwCleaner (de Xplode) en el escritorio.
Ejecutar y haga clic en [Eliminar] y el tiempo de espera de la exploración.

Ten cuidado con lo que la instalación, lea los PUP / SIP: http://www.malekal.com/2011/07/27/detec ... d-programa / Puede instalar PUP / adware para filtrar adware / cachorros de las más comunes: http://www.malekal.com/2012/01/10/hosts ... upsadware / Te aconsejo que para evitar los sitios de descarga como el Hardware de Tom y Softonic 01men que utilizan estos procesos. Cuidado con los falsos blogs: . Cuando effecutez una búsqueda en Google sobre Delta Search - blogs falsos valores se devuelven False Blogs son sitios que ofrecen soluciones de desinfección mediante la propuesta de una solución (herramientas específicas) tratado de infección, especialmente para Delta Search. Esta solución resulta ser anti-software espía (Spyware Doctor o Spyhunter), que está a cargo desinfección (para que pueda pagar sin estar seguro de que va a resolver el problema.) Estos falsos blogs ganar dinero por cada instalación o venta exitosa. Si ha instalado o SpyHunter Spyware Doctor, le aconsejo encarecidamente a más de desinstalar. Más información acerca de los blogs falsos: blogs falsos de seguridad spyhunter-spyware-doctor-t12847.html en rojo a continuación, los blogs falsos en la primera página de resultados de búsqueda de Google, se puede ver Estos blogs falsos son muy invasivos.

Delta Search Blogs False

Primera regla básica de seguridad: pensamos y luego haga clic y no al revés - Archivos / programas son como caramelos cuando se trata de un extranjero, no aceptamos

Asegure su computadora (versión corta)

20% promoción de la Anti-Malware de Malwarebyte

malekal.com Support haciendo una donación!

Gendarmería Ukash Virus Virus Virus Virus Hadopi Interpol

ZeroAccess / Sirefef.B / Rootkit.Win32.ZAccess / MAX + +

Sirefef.B / Rootkit.Win32.ZAccess / MAX + + es un programa malicioso avanzado que puede desactivar cualquier antivirus.

Síntomas visibles

Se utiliza en particular con el rogue Antivirus 2010: http://forum.malekal.com/antivirus-2010-t28675.html

(Ver también esta página: http://forum.malekal.com/freebest4-info-patch-cdfs-sys-max-rootkit-t23195.htm l).

Kaspersky anunció la aprobación de malware en plataformas de 64 bits a través de una versión del rootkit userland (como Antivirus 2010 tiempo) http://www.securelist.com/en/blog?print_mode=1&weblogid=493

El malware funciona ahora en la plataforma de rootkits en modo kernel

POR MALEKALMORTE- 05 DE JULIO 2011

0 Participación0 Tweet9 Participación1 Participación34

EDIT Marzo 2012:

Aquí hay un mensaje que resume removedor Sirefef / ZeroAccess: http://www.malekal.com/2012/03/04/sirefefzeroaccess-vs-antivirus/

página y desinfección Sirefef / ZeroAccess: http: / / forum.malekal.com/zeroaccess-redirections-google-t35666.html

Google Chrome (párrafo Plugin) http://www.malekal.com/2013/01/14/secur ... el cromo /
Internet Explorer (párrafo plugin de Jav) http://www.malekal.com/2010/11/12/secur ... Xplorer-2 /
Firefox: http://www.malekal.com/2010/11/12/secur ... firefox-2 /

Por tanto, es esencial para mantener su software al día, así que no ve estas pasarelas en el sistema.

Ambos software no se actualiza, el PC es vulnerable a las infecciones y se puede instalar fácilmente. Mantenga su software Este día es importante, utilizar este programa: software a mantener-se-día programas t15960.html . Absolutamente a ~ Filtro PUP / adware (programas parásitos) más común con los anfitriones Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts ... upsadware / ~ ~El resto de la seguridad: cómo securiser-su-ordinateur.html

REVETON / Urausy: http://www.malekal.com/2012/01/10/virus ... e-desentrañado /
Flimrans: http://www.malekal.com/2013/05/25/flimr ... hnologies /

Desinfección

Hacer una RogueKiller análisis:

Reiniciar en modo seguro para esto, reinicie el equipo antes de que el logotipo de Windows, pulsando la tecla F8, aparecerá un menú, <bold> seleccionar Modo seguro con soporte de red < / bold> secundó y la tecla Enter. [*] Descargar el escritorio http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe (por tigzy) [*] Cierre todos los programas [ . *] Lanzamiento RogueKiller.exe [*] Espere hasta que el pre-escaneo para terminar ... . [*] Inicia una exploración para desbloquear el botón Eliminar a la derecha . [*] Haga clic en EliminarEliminar Para hacerlo bien - de lo contrario será una exploración simple que le quite nada Alternativas: Inicie un comando de restauración del sistema en modo seguro - véase la sección Restaurar sistema de línea de comandos en modo seguro: windows-Recover-el-sistema-t20428.html # p166263 Si Siete están en Windows, ejecute una restauración del sistema en el menú "arreglar mi computadora."Ver segundo párrafo: windows-Recover-el-sistema-t20428.html # p166847 ~ Virus Hadopi: símbolos del sistema en modo seguro en Si Virus Hadopi (inútiles para la variante Ministerio del Interior, es posible eliminar el Comando ransomware Avisos en modo seguro.Consulte la sección de símbolos del sistema en modo seguro en la siguiente página: http: / / ... e-www.malekal.com/2012/01/10/virus desenredó / Si todo lo demás falla: Intente eliminar RogueKiller desde el Live CD Malekal: http://www.malekal.com/2013/02 / 22/malekal-live-cd / ~ Virus Hadopi: el caso de la página en blanco ... Consulte la siguiente página:http://www.malekal.com/2013/03/31/ranso ... e-windows / ~ Después de la desinfección Hacer una AdwCleaner análisis:Para quitar programas parásitos / . (De Xplode) en su escritorio comienza, haga clic en [Eliminar] y, a continuación, el tiempo de exploración del paciente. Cuando la exploración haya terminado, un informe se abra Mi PC me su contenido en su próxima respuesta ..Nota: El informe es También guarda en C: \ AdwCleaner [S1] txt. ~ Malwarebyte Anti-Malware: . RogueKiller y AdwCleaner se eliminaránsin embargo se puede instalar Malwarebyte Anti-Malware es eficaz (si tiene Spybot, puede desinstalarlo . ineficaces) . Malwarebyte para mantener una sola vez escaneados Tutorial Malwarebyte Anti-Malware: http://www.malekal.com/tutorial_Malware ntiMalware ... ~ ~Proteja su PC! Importante - la infección llegó a través de una hazaña en la página web Internet: Una hazaña de la página web permite la infección de su equipo de manera automática al visitar un sitio web que ha sido hackeado, se aprovecha del hecho de que tiene el software (Java, Adobe Reader, etc) que no son actualizar y tener vulnerabilidades que permiten la ejecución de código (malicioso en nuestro caso) sin su conocimiento. Incumplimiento de las actualizaciones de software y vulnerabilidades que potencialmente lo tanto, puede infectar su sistema. Ejemplo: Exploit Java Java Deshabilitar sus plugins, plantea problemas de seguridad:

Un mensaje especial para el virus de la gendarmería parece tocado a muchas personas desde ayer. Si usted tiene una idea en la que ha sido infectado, gracias por el nombre del lugar (Usted puede enviarme un mensaje si usted quiere que sea no público.) Debe haber una publicidad malicioso que afecta a muchas más personas de lo habitual. siguiendo el procedimiento estándar para eliminar las diversas variantes de la gendarmería virus. A modo de ejemplo, el siguiente vídeo de la parte RogueKiller particular, : Las variantes activas del momento: Para la variante siguiente - sin virus está instalado en el equipo, es una página web simple:http://www.malekal.com/2013/07/21/virus .. . alicieuse /

Hay incluso los síntomas en la versión anterior .

matar a los programas de seguridad de malware y luego se vuelve imposible para empezar, que corrompe la ACL, a continuación, aparece el mensaje: Windows no puede tener acceso al dispositivo, el camino specifice o archivo.

La novedad es que causa redirecciones en las búsquedas de Google - aquí los 01Net sitio desfigurado completamente a través de una página pornográfica:

La caída de la infección

La operación de la infección

En 64 bits ..

Desinfección

Restaurar sistema de Windows Vista y Seven

EDIT 2011

EDIT febrero de 2012:

EDIT 04 JUIN 2012

EDIT 08 2012

EDIT Start septiembre 2012

EDIT 05 2013

EDIT 08 2013

. Una nueva variante creada punto de análisis en el archivo en Windows Defender y Microsoft Security Essentials para impedir su funcionamiento

Esto causa problemas con la descarga de Internet Explorer 9 y 10 - véase la página: http://www.malekal .com/2013/05/24/sirefef-impossible-de-telecharger-sur-internet-explorer /

¤ ¤ ¤ Entradas del Registro: 4 ¤ ¤ ¤

[RUN] [SUSP ruta] HKCU \ [...] \ Run: 036E1932032358FFBE226D2C7B07D287 (C: \ Documents and Settings \ All Users \ Datos de programa \ 036E1932032358FFBE226D2C7B07D287 \ 036E1932032358FFBE226D2C7B07D287.exe) - > Shakira

[INICIAL] [SUSP ruta] Notificación Herramienta Regalo MSN.lnk @ Victor: C: \ Documents and Settings \ Victor \ Application Data \ Microsoft \ Notification Tool Regalo MSN \ msnotif.exe -> Shakira

[HJ DESK ] HKLM \ [...] \ NewStartPanel: {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> SUSTITUIDO (0)

[HJ INPROC] [ZeroAccess] HKCR \ [...] \ InprocServer32 (C : \ RECYCLER \ S-1-5-21-1060284298-2025429265-839522115-1003 \ $ f0298575a4aa619c3eaad808215c423e \ n) -> SUSTITUIDO (C:. \ WINDOWS \ system32 \ shell32.dll)

¤ ¤ ¤ Archivos / Carpetas personas ¤ ¤ ¤

[ZeroAccess] [ARCHIVO] n: C: \ RECYCLER \ S-1.5.18 \ $ f0298575a4aa619c3eaad808215c423e \ n -> Shakira

[ZeroAccess] [ARCHIVO] n: C: \ RECYCLER \ S-1-5-21-1060284298-2025429265-839522115-1003 \ $ f0298575a4aa619c3eaad808215c423e \ n -> QUITADO DE REINICIAR

[ZeroAccess] [ARCHIVO] @ C: \ RECYCLER \ S-5.1.18 \ $ f0298575a4aa619c3eaad808215c423e \ @ -> Shakira

[ZeroAccess] [ARCHIVO] @ C: \ RECYCLER \ S-1-5-21-1060284298-2025429265-839522115-1003 \ $ f0298575a4aa619c3eaad808215c423e \ @ -> QUITADO DE REINICIAR

[Del.Parent] [ARCHIVO .] 00000001 @ C: \ RECYCLER \ S-5.1.18 \ $ f0298575a4aa619c3eaad808215c423e \ U \ @ 00.000.001 -> Shakira.

[Del.Parent] [ARCHIVO] @ 80000000:. C: \ RECYCLER \ S-1- . 5-18 \ $ f0298575a4aa619c3eaad808215c423e \ U \ @ 80 millones -> Shakira

[Del.Parent] [ARCHIVO] 800000cb @ C: \ RECYCLER \ S-1.5.18 \ $ f0298575a4aa619c3eaad808215c423e \ U \ @ 800000cb -> .. Shakira

[ZeroAccess] [CARPETA] RAÍZ: C: \ RECYCLER \ S-1.5.18 \ $ f0298575a4aa619c3eaad808215c423e \ U -> Shakira

[Del.Parent] [ARCHIVO] @ 00000001:. -> Shakira

[Del.Parent] [ARCHIVO] @ 80000000:. -> Shakira

[Del.Parent] [ARCHIVO] 800000cb @:. -> Shakira

[ZeroAccess] [CARPETA] RAÍZ: C: \ RECYCLER \ S-1-5-21-1060284298-2025429265-839522115-1003 \ $ f0298575a4aa619c3eaad808215c423e \ U -> Shakira

[ZeroAccess] [CARPETA] RAÍZ: C: \ RECYCLER \ S-1-5-21-1060284298-2025429265-839522115-1003 \ $ f0298575a4aa619c3eaad808215c423e \ L -> Shakira

ZeroAccess se encuentra ahora en la basura. RogueKiller gestiona:

Services.exe Patch en entornos de 64 bits hace que se reinicie Windows bucle con Microsoft Security Essentials, el mensaje "se obtiene de Windows encontró un problema crítico y se reiniciará automáticamente en un minuto. Guarde su trabajo ahora ".

Consulte la página

El funcionamiento de ZeroAccess / Sirefef es bastante cambiado, pero es más fácil de erradicar.

Tenga en cuenta que esta última sigue bajando el Win32.Obvod o Virus SACEM como se muestra en este post: http://www.malekal.com/2012/ 04/26/zeroaccesssirefef-droppe-le-virus-sacem /

Malwarebyte no tiene dificultades para detectar Rootkit.0Access, Trojan.ZeroAccess y Trojan.Sirefef. Archivos Malwarebyte también restaura la clave HKEY_CLASSES_ROOT \ CLSID \ {F3130CDB-AA52-4C3a-AB32-85FFC23AF9C1} \ InprocServer32

incluyendo conexiones HTTP hizo aquí incluyen fueron contactados URLs:

TCP_MISS/302 359 GET http://212.117.165.20/td?aid=jy9zb85r&said=304432 - DIRECT/212.117.165.20 text / html

TCP_MISS/302 278 GET http://205.252.166.30/tds/?s=a - VIVA / 205.252.166.30 -

En mi caso, actúa como ping.exe Trojan.Clicker

El comando ping se inicia entonces por el sistema.

este último lleva a cabo algunas operaciones incluyendo la adición de un FEATURE_BROWSER_EMULATION bloqueado

Esta clave se realiza un seguimiento mediante la inclusión de ZHPDiag

Se contactó con los siguientes URL: TCP_MISS/200 771 GET http://promos.fling.com/geo/txt/city.php - DIRECT/208.91.207.10 text / html TCP_MISS/200 351 GET http://livecounter.co / count.php id = 358463001 & c = 2 & d = 7 & s = 121 - DIRECT/184.172.204.122 text / html TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=1&d=7&s=0 - DIRECT/184.172.204.122 text / html TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=3&d=7&s=130 - DIRECT/184.172.204.122 text / html TCP_MISS/200 351 GET http: / / livecounter.co / count.php id = 358463001 & c = 4 & d = 7 & s = 131 - DIRECT/184.172.204.122 text / html TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=5&d = 7 & s = 1 - DIRECT/184.172.204.122 text / html TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=6&d=7&s=20 - DIRECT/184.172.204.122 text / html TCP_MISS / 200351 OBTENER http://livecounter.co/count.php?id=358463001&c=7&d=7&s=21 - DIRECT/184.172.204.122 text / html TCP_MISS/200 351 GET http://livecounter.co/count.php? id = 358463001 & c = 8 & d = 7 & s = 30 - DIRECT/184.172.204.122 text / html TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=9&d=7&s=31 - DIRECT/184.172.204.122 text / html

Subclaves Época de servicio SharedAccess se cambian.

Los archivos se cargan mediante explorer.exe

Esto añade cierta CSLID y modifica la clave HKEY_CLASSES_ROOT \ CLSID \ {F3130CDB-AA52-4C3a-AB32-85FFC23AF9C1} \ InprocServer32

De forma predeterminada, la clave contiene el valor C: \ WINDOWS \ System32 \ wbem \ wbemess.dll se sustituye por uno de los programas maliciosos caído decir en nuestros archivos de ejemplo:. \ \ \ GLOBALROOT \ systemroot \ Installer \ {334662a7- c5df-f150-30AC-6487059c2371} \ n.

Nombre de archivo: n

proporción de detección: 12/42

Análisis Fecha: 2012-06-04 07:49:10 UTC (hace 3 horas, 56 minutos)

Avast Win32: Trojan-gen 20120604

AVG - 20120603

BitDefender Trojan.Generic.KDV.639316 20120604

! 20,120,604 squared Trojan.Win32.Sirefef IK

Trojan.Generic.KDV.639316 20120604 F-Secure

! Fortinet W32/Kryptik.AB 20120603 tr

GData Trojan . Generic.KDV.639316 20120604

20120604 Ikarus Trojan.Win32.Sirefef

! McAfee Generic.dx b2pq 20120604

! McAfee-GW-Edition Artemis F103ED30CE16 20120604

Microsoft Trojan: Win32/Sirefef.AB 20120602

20120603 NOD32 Win32/Sirefef.EV

VIPRE Trojan.Win32 . Sirefef.pw (v) 20120604

El Avira detecta TR / ATRAPS.Gen y TR/ATRAPS.GEN2: http://forum.malekal.com/atraps-gen-gen2-persistants-t38403.html

Detectar el archivo en cuestión n 324965ad1d1c6a1523a729845438ac50fe84e5d2f760a34d93cfdd8aecbef8de

Observe el archivo data de 2004, una utilidad que lista de últimos archivos modificados no lista.

Carpetas añadido

Archivos de creación: c: \ Documents and Settings \ Mak \ Configuración local \ Datos de programa \ {334662a7-c5df-f150-30AC-6487059c2371} \ @ Fecha: 19/08/2004 17:09 Tamaño: 2048 bytes c: \ Documents and Settings \ Mak \ Configuración local \ Datos de programa \ {334662a7-c5df-f150-30AC-6487059c2371} \ n Fecha: 19.08.2004 17:09 Tamaño: 56.832 bytes c: \ WINDOWS \ Installer \ { c5df-334662a7-f150-30AC-6487059c2371} \ @ Fecha: 08.19.2004 17:09 Tamaño: 2048 bytes c: \ WINDOWS \ Installer \ {334662a7-c5df-f150-30AC-6487059c2371} \ n Fecha: 8/19/2004 17:09 Tamaño: 56.832 bytes c:. \ WINDOWS \ Installer \ {334662a7-c5df-f150-30AC-6487059c2371} \ L \ 00000004 @ Fecha: 04/06/2012 13:31 Tamaño : 673 bytes c:. \ WINDOWS \ Installer \ {334662a7-c5df-f150-30AC-6487059c2371} \ U \ @ 00000004 Fecha: 04.06.2012 13:31 Tamaño: 1536 bytes c: \ WINDOWS \ Installer \ {c5df-334662a7-f150-30AC-6487059c2371} \ U \ @ 00000008. Fecha: 04.06.2012 13:31 Tamaño: 232960 bytes c: \ WINDOWS \ Installer \ {334662a7-c5df-f150-30AC-6487059c2371 } \ U \ @ 000000cb. Fecha: 06.04.2012 13:31 Tamaño: 1584 bytes c:. \ WINDOWS \ Installer \ {334662a7-c5df-f150-30AC-6487059c2371} \ U \ @ 80000000 Fecha: 6 / 4/2012 13:31 Tamaño: 12.288 bytes c:. \ WINDOWS \ Installer \ {334662a7-c5df-f150-30AC-6487059c2371} \ U \ @ 80000032 Fecha: 04.06.2012 13:31 Tamaño: 93696 bytes

En las últimas semanas. ZeroAccess / Sirefef ya no forma parte de rootkit gotas y parches sobre los sistemas de archivos

Tomó un poco de tiempo para buscar, aquí están los cambios introducidos por la versión actual del malware:

El descenso toma el control de explorar. Exe y wscntfy.exe

También tenga en cuenta la presencia de un archivo Windows/system32 / dds_log_trash.cmd

El archivo DLL se carga desde un servicio clave - ejemplo:

HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Services / pnmsrv / Parameters "ServiceDll"

Tipo: REG_EXPAND_SZ

Datos:% systemroot% / system32/ibmasrex.dll

La detección de unos pocos días después de la DLL

SHA256: 458b56bbbd3cd478e04390ed5ffd08ca4f3709b37851e64cd9eacb2f749dfbf4

Nombre del archivo: iSMBIOS.dll

relación de detección: 20/43

Análisis Fecha: 2012-03-03 11:32:51 UTC (Hace 1 día) AntiVir TR/Sirefef.BP.1 20120302

20120302 Generic27.PN AVG

BitDefender Trojan . Sirefef.BP 20120303

CAT-QuickHeal Trojan.Zaccess.AZ5 20120302

20120303 F-Secure Trojan.Sirefef.BP

Fortinet W32/ZeroAccess.D! 20,120,303 tr

GData Trojan.Sirefef.BP 20120303

20120302 K7AntiVirus Riskware

McAfee ZeroAccess.dr.gen.d 20120301

McAfee-GW-Edition ZeroAccess.dr.gen.d 20120302

Microsoft Trojan: Win32/Sirefef.AA 20120303

NOD32 probablemente una variante de Win32/Sirefef.ER 20120303

Norman W32/Troj_Generic.NXYA 20120302

20120303 nProtect Trojan.Sirefef.BP

Sophos Troj / ZAccess-AB 20120 mil trescientos tres

20120.303 mil Trojan/Sirefef.a.28 TheHacker

TrendMicro TROJ_SIREFEF.KN 20120303

20120303 TROJ_SIREFEF.KN TrendMicro HouseCall-

VBA32 Trojan-Injector.7235 20120302

VIPRE Trojan.Win32.Generic! BT 20120303

a continuación, ejecutar TDSSKiller para limpiar el conductor parcheado.

aswMBR Tenga en cuenta que el programa puede llegar a ser una buena experiencia en contra:

Parece que un módulo se ha añadido recientemente en el caso de la versión de Malwarebyte parche que los controladores del sistema (arquitectura de 32 bits.)

En el caso de una corrección TDSSKiller , si el módulo está activo, un nuevo controlador se parche en el arranque y por lo tanto, la infección sigue siendo ZeroAccess activo.

Este módulo es detectado por Malwarebyte en Rootkit.0Access - es recomendable hacer un análisis anti-malware de Malwarebyte para quitarla.

Algunos artículos en ZeroAccess:

Los dos siguientes son fijos para ZAccess Rootkit 32 bits.

- ComboFix: http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
- Con McAfee: McAfee Rootkit Remover
- Webroot ZeroAccess Remover http://www.malekal.com/2011/08/22/zeroaccesssirefef-remover/

El siguiente video muestra a la infección y la solución en acción:

Una restauración del sistema desde el arranque aparecen las opciones posibles para eliminar la infección, vaya a la siguiente página: https://forum.malekal.com/windows-recuperer-son-systeme-t20428.html # p166847

Lo mejor es restaurar manualmente el archivo no se olvide de quitar el controlador de KillAV través de un Live CD OTLPE

Para recuperar los permisos de archivos, puede hacer pestaña / Safeties continuación, haga clic en Propiedades.

Eliminar los permisos para denegar, aceptar y volver a Permitido.

También puede utilizar el comando calculadoras, como en el siguiente ejemplo:

cacls procexp.exe / P "Todo el mundo: F"

Are you sure (Y / N) o?

expediente tramitado: C: \ Documents and Settings \ Mak \ Desktop \ procexp.exe

Windows Seven / Vista de 64 bits, en función del controlador sobre el que cae (algunas están cerradas con un candado), TDSSKiller no podrá restaurar el controlador parcheado - infección puede trasladarse:

Windows Seven, la desinfección puede ser complejo.

TDSSKiller , que está al día con la variante de que circulara, la detección de una porción de la infecton.

En Windows XP, TDSSKiller perfectamente limpia infección (pensar para eliminar el controlador KillAV - letras al azar):

Consulte la página Rootkit y PatchGuard en Windows de 64 bits y desinfección: ZAccess en Windows de 64 bits: consrv => winsrv

La exploración GMER es posible entonces, lo que da:

GMER 1.0.15.15640 - http://www.gmer.net Rootkit scan 2011-07-05 06:14:14 pm Ventanas 6.1.7600 Harddisk0 \ DR0 -> \ Device \ 000000a2 VMware _ rev.1.0_ Running: g64p239x.exe; controlador: C: \ Users \ Kevin \ AppData \ Local \ Temp \ kwxyaaob.sys ---- Secciones de código del kernel - GMER 1.0.15 ---- . Ntkrnlpa.exe texto! ZwSaveKeyEx 13AD 82.881.579 + 1 Byte [06] .! Texto KiDispatchInterrupt ntkrnlpa.exe + 5A2 828A5F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {0x11 LOOPNZ, MOV EDX, 0x97307f0, CR4 MOV EAX, O AL, 0x80; CR4 MOV EAX, RET, MOV ECX, CR3} . Ntkrnlpa.exe texto! RtlSidHashLookup 828AD73C 23C + 4 Bytes [2C, B4, 67, 8C] Ntkrnlpa.exe. Texto! RtlSidHashLookup 828AD748 248 + 8 bytes [8C, 9A, 67, 8C, 5E, 95, 67, ...] . Ntkrnlpa.exe texto! RtlSidHashLookup 828AD79C 29C + 4 Bytes [28, A9, 67, 8C] . Ntkrnlpa.exe texto! RtlSidHashLookup + 2DC 828AD7DC 4 bytes [4C, 96, 67, 8C] .! Texto ntkrnlpa.exe RtlSidHashLookup 828AD7F8 2F8 + 4 Bytes [16, 03, 68, 8C] {PUSH SS; ADD EBP, [EAX-0x74]} . Texto ... . Afd.sys texto 8BCEB000 80 Bytes [90, 90, 90, 90, 90, FF, 15, ...] . Afd.sys texto 8BCEB052 40 Bytes [89, 45, F8, A1, C0, B2, CF, ...] . Afd.sys texto 8BCEB07B 16 Bytes [A1, C0, B2, CF, 8 B, 8 B, 48, ...] . Afd.sys texto 8BCEB08D 77 Bytes [00, 40, 51, EB, 01, 56, 50, ...] . Afd.sys texto 8BCEB0DC 52 Bytes [66, 8B 0E B8, D4, AF, 00, ...] . Texto ... ? C: \ Windows \ system32 \ drivers \ afd.sys sospechoso PE modificación ? ACPI # PNP0303 # 2 y da1a3ff y 0 \ U \ @ 800000cb ---- Dispositivos - GMER 1.0.15 ---- Device \ Driver \ 00001143 \ GLOBAL? \ ACPI # PNP0303 # 2 & 0 & da1a3ff F8830340 ---- Temas - GMER 1.0.15 ---- Sistema Rosca [4:248] 8BCE39E0 Sistema Rosca [4:252] 8BCE39E0 ---- Servicios - GMER 1.0.15 ---- Servicio (*** oculta ***) [MANUAL] 1309872592 <- rootkit! ---- Registro - GMER 1.0.15 ---- Reg HKLM \ SYSTEM \ CurrentControlSet \ services \ 1309872592 @ Start 3 Reg HKLM \ SYSTEM \ CurrentControlSet \ services \ @ 1309872592 Tipo 1 Reg HKLM \ SYSTEM \ CurrentControlSet \ services \ 1309872592 @ ErrorControl 1 Reg HKLM \ SYSTEM \ CurrentControlSet \ services \ 1309872592 @ DisplayName Bus Virtual de Sistema Microsoft compatible con ACPI Reg HKLM \ SYSTEM \ ControlSet002 \ services \ 1309872592 @ Start 3 Reg HKLM \ SYSTEM \ ControlSet002 \ services \ @ 1309872592 Tipo 1 Reg HKLM \ SYSTEM \ ControlSet002 \ services \ 1309872592 @ ErrorControl 1 Reg HKLM \ SYSTEM \ ControlSet002 \ services \ 1309872592 @ DisplayName Bus Virtual de Sistema Microsoft compatible con ACPI ---- Files - GMER 1.0.15 ---- Archivo C: \ Windows \ $ NtUninstallKB44935 $ \ 1890394325 0 bytes Archivo C: \ Windows \ $ NtUninstallKB44935 $ \ 1890394325 \ L 0 bytes Archivo C: \ Windows \ $ NtUninstallKB44935 $ \ 1890394325 \ L \ xadqgnnk 338944 bytes Archivo C: \ Windows \ $ NtUninstallKB44935 $ \ 1890394325 \ U 0 bytes El archivo C: \ Windows \ $ NtUninstallKB44935 $ \ 1890394325 \ {1B372133-BFFA-4dba-9CCF-5474BED6A9F6 2048 bytes} Archivo C: \ Windows \ $ NtUninstallKB44935 $ \ 734020053 0 bytes ---- EOF - GMER 1.0.15 ----

Se ve claramente al conductor KillAV servicio, el paquete @ 800000cb y archivos.

Pero también:

? C: \ Windows \ system32 \ drivers \ afd.sys sospechoso PE modificación

Es la novedad de esta variante, ZAccess ahora parchear un conductor al azar que le permite instalar la infección.

El conductor HKLM \ SYSTEM \ CurrentControlSet \ Services \ 1309872592 / C: \ Windows \ system32 \ drivers \ 1309872592.sys es parte jugueteando KillAV podemos llegar a la hacen que sea inactivo, permitiendo que los módulos de búsqueda para ver GMER - Módulos comienza todo por @ 8000 - @ 800000cb / @ 800000cc etc.

Anteriormente, la infección se hizo:

- un conductor, que era la parte que mata software de seguridad KillAV
- una DLL que se llama el conductor KillAV si se elimina

Veremos que la infección es un poco más compleja:

Las siguientes conexiones se hacen entonces con la información de envío (conexión POST):

1309885468.164 95 192.168.1.111 TCP_MISS/200 449 GET http://www.msftncsi.com/ncsi.txt - DIRECT/213.199.181.90 text / plain

1,309,885,527.305 139 192.168.1.111 TCP_MISS/200 1013 POSTE http://80.237.152.26/ CRQ / crq.php - DIRECT/80.237.152.26 text / xml

1309885563.080 169 192.168.1.111 TCP_MISS/200 1133 http://80.237.152.26/crs/crs.php Post - DIRECT/80.237.152.26 text / xml

1,309,885,589.551 116 192 168. 1111 TCP_MISS/504 1745 GET http://erahacty.cn/stat2.php?w=15&i=d011134e9508134e18a238159d0a8f41&a=2 - DIRECT / erahacty.cn text / html

taskmgr.exe se copia en% USERNAME% y se inicia con una solicitud de elevación de privilegios .

Si el usuario acepta, el drama, que permite el paso del mundo de espacio de usuario del núcleo, el malware se puede cambiar el sistema y coloque la parte Rootkit.

Tenga en cuenta que si la respuesta es no, el acceso taskmgr pide de forma indefinida, por lo que es probable que se detenga la aplicación, el usuario va a decir que sí, en algún momento porque no tiene más control sobre el sistema.

Este último toma el control de explorar. Exe Wevtapi.dll que deja caer una DLL en% USERNAME%

El cambio de dirección se realiza mediante las siguientes URL:

http://30ksearches.com/redirect.php?u=3669741&b=MC4wMDE1Mg==&p=aW50ZWNwcGM =

http://184.171.168.194/click.php?c=xxxx

http://www.apmebf.com/qh105dlutB/lsx/A9I9IED9/

http://www.anrdoezrs.net/click-3984571-10909540

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1026x768px.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 933x688px.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1920x1080px.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 892x717px.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 801x340px.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1019x218px.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1035x768px.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 774x590px.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1029x766px.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1026x775px.

Nueva variante, este último servicio de carga y GoogleUpdate.exe archivo en una carpeta como por ejemplo: C :/ Documents and Settings / Mak / Configuración local / Aplicación "

El malware utiliza trucos para hacer que el lector / retire la llave más difícil.

HijackThis ve la clave - Msconfig no.

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1026x769px.

OTL devuelve un error: O4 - HKCU / Run:. [Google Update] Reg Error: Error de valor.. Archivo no encontrado

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 1012x765px.

TDSSKiller detecta que el conductor - TDSSKiller atención no detecta la clave Run (no es su trabajo), la desinfección puede ser parcial con ella. RogueKiller también detecta la nueva variante - Informe de la supresión de la muestra: http://pjjoint . malekal.com / files.php? read = 20130817_x11y11c6v13l7

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 795x601px.

Malwarebyte Anti-Rootkit tiene ningún problema ni con esta versión - ejemplo de informe de supresión: http://pjjoint.malekal.com/files.php?read=20130817_m10h11y5s9h13

Esta imagen ha sido redimensionada. Haga clic en esta barra para ver la imagen completa. La imagen original es de tamaño 639x534px.

Page updated

Google Sites

Report abuse