Eliminar el virus Zaccess Sirefef

Septiembre 2017

Este virus se propaga especialmente por la descarga de cracks, que se instalan también con ciertos rogues.

Atención: el virus es diferente según la arquitectura del sistema operativo 32 o 64 bits. Por lo tanto realiza las manipulaciones en función de tu arquitectura.



Métodos de detección

Sistema 32 bits

Para los sistemas de 32 bits, el virus está compuesta de:
  • Un proceso con un ADS 3 (Alternate Data Stream) 304301937:2388266043.exe
  • De un parche (modificación) de drivers de sistemas al azar.


La dificultad es poder restaurar los archivos de sistema, la eliminación puede dañar las funcionalidades de Windows o impedir su descarga.

Sistema 64 bits

  • El virus Sirefef.B puede ser reparada en los OS 64 bits mediante la instalación de un archivo de tipo: "consrv.dll".
  • El programa Zhpdiag permite detectar el virus:


---\\ Alert Messages

WARNING : RootKit.ZAccess found with file consvr.dll
  • RogueKiller permite también localizar este virus.


Ejemplo: análisis con RogueKiller V6.2.0 [12/12/2011]

Sistema operativo: Windows 7 (6.1.7601 Service Pack 1) versión 64 bits
Inicio: Modo normal
Modo: Búsqueda
¤¤¤ Proceso malicioso: 3 ¤¤¤
[SUSP PATH] setup.exe -- C:\Windows\TEMP\qvdxdk\setup.exe -> KILLED [TermProc]
[SUSP PATH] setup.exe -- C:\Windows\TEMP\nywquc\setup.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\SysWOW64\svchost.exe -> KILLED [TermProc]

¤¤¤ Entradas de registro: 1 ¤¤¤
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : 27l4ozqjbh (C:\ProgramData\27l4ozqjbh.exe) -> FOUND

¤¤¤ Archivos / Carpetas particulares: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infección: ZeroAccess ¤¤¤
[ZeroAccess] sys32\consrv.dll present!
  • Los programas antivirus también permiten detectar y localizar este virus pero no pueden erradicarla.


AhnLab-V3 Backdoor/Win32.ZAccess
Antiy-AVL Trojan/Win32.ZAccess.gen
Avast Win32:Sirefef-G [Rtk]
Avast5 Win32:Sirefef-G [Rtk]
Kaspersky Rootkit.Win32.ZAccess.e

Métodos de desinfección

Sistema de 64 bits

  • Hay que restaurar la clave en su origen a partir de un CD Live.
  • Con las últimas versiones de ZeroAccess, si el archivo consvr.dll no está presente los métodos mencionados en la parte de Windows 32 bits funcionan.

Nota: es preferible pasar el programa de desinfección después de reiniciar el ordenador para terminar de eliminar los archivos infectados.

Sistema de 32 bits

También es posible que no puedas descargar directamente las herramientas. Para hacerlo sólo necesitas renombrar las herramientas en el momento de la descarga. Si no llegas a hacerlo, te recomiendo pedir de la ayuda en el foro Virus/seguridad.

Este virus puede dañar los datos, es preferible guardar tus datos antes de intentar erradicarlo, y tener los DVD de reinstalación de tu ordenador a la mano.

Nota: es preferible pasar el programa de desinfección después de reiniciar el ordenador para eliminar definitivamente los archivos eventuales infectados en la memoria.

Primera herramienta: Anti rootkit de Mcafee


Segunda herramienta: programa Webroot

Con esta aplicación podrás mantener tu PC limpia y protegida.

Te ofrece una gran cantidad de funciones, entre las cuales se destacan algunas para la protección del navegador, las cookies de seguimiento y los Favoritos de Internet Explorer.

Tercera herramienta: programa de Panda


Cuarta herramienta: TDSSKiller de Kaspersky

  • Descarga TDSSKiller en tu escritorio.
  • Crea una nueva carpeta en tu escritorio, luego descomprime el archivo.
  • Ejecuta el programa haciendo clic en TDSSKiller.exe, el análisis se hace automáticamente, si el virus es detectado, elementos escondidos (hidden) serán mostrados.

Puntea y haz clic en "Delete / Repair Selected".
  • Un mensaje puede luego aparecer pidiendo reiniciar de nuevo la PC (reboot) para acabar la limpieza. Escribe "Y" para reiniciar de nuevo la PC (cierra todos los programas y escoge Y para reiniciar el ordenador").

Informaciones complementarias en esta herramienta:

http://support.kaspersky.com/viruses/solutions?qid=208280684

Quinta herramienta: Combofix

ComboFix es una aplicación de DOS para poder eliminar de una vez por todas el spyware, rootkits y otras amenazas es muy efectivo dado que no requiere prácticamente nada.
  • Descarga ComboFix en tu escritorio.
  • Desactiva temporalmente toda protección residente (Antivirus, Antispywares...).
  • Doble clic en ComboFix.exe. En Windows Vista y Windows Seven, hay que hacer clic derecho en Combofix.exe y escoger "Ejecutar como administrador").
  • Acepta la licencia haciendo clic en "Sí".
  • El programa te preguntará si deseas instalar la Consola de Recuperación. Es una medida de precaución para el caso de que el ordenador tenga una avería. Es recomendable instalarlo, esto no cuesta nada, y esto podría potencialmente servir.
  • Cuando la operación se termina, un informe aparecerá. Envía este reporte para pedir ayuda en el foro.
  • El reporte se encuentra aquí: %SystemDrive%ComboFix.txt (%systemdrive% es la partición donde está instalado Windows; C: por lo general).

Sexta herramienta: Hitman Pro

Hitman Pro es una utilidad que te permite recuperar tu sistema en caso de que haya sido infectado con virus, spyware o algún tipo de malware a pesar de que tengas instaladas las debidas protecciones antivirus, cortafuegos u otros métodos de defensa.

Hitman Pro analiza todos los archivos de tu computadora y envía los que considere sospechosos a su centro de operaciones para analizarlos, por lo que el rendimiento de tu computadora no se verá afectado en el proceso.

Hitman Pro no necesita ser instalado, puede ser ejecutado cuando lo desees desde una memoria USB. Funciona como un excelente complemento a tus programas de antivirus.

Séptima herramienta: ESET Sireref EV Cleaner

ESET Sireref EV Cleaner es una herramienta de desinfección desarrollada por ESET, específicamente destinada para eliminar del sistema el troyano Sirefef y sus variantes "ZeroAccess" o "Max++".

Si tu antivirus tradicional no logra eliminar este malware, principalmente debido a que utiliza un rootkit para ocultarse, esta herramienta de muy fácil ejecución logrará eliminarlo de tu sistema.

Octava herramienta: ZeroAccess Removal Tool (solo 32-bit) de Bogdan BOTEZATU

BitDefender Zeroaccess / Sirefef Removal Tool es una herramienta que permite eliminar del ordenador el troyano Sireref y sus variantes dentro de las que se encuentran el Rootkit ZeroAccess.

Novena herramienta: programa de Avast

Para localizar el virus:
  • Descarga aswMBR en tu escritorio.
  • Haz doble clic en el ccc aswMBR.exe para ejecutarlo.
  • Haz clic en el botón "Scan" para comenzar el análisis.
  • Haga clic en "Save log" para guardar el reporte.
  • Guarda el aswASW.log en el escritorio.
  • Envía el reporte en el foro si deseas pedir ayuda.

Para eliminar el virus:
  • Reinicia aswMBR.exe para ejecutarlo.
  • Haz clic en el botón "Scan" para comenzar el análisis.
  • Haz clic en "Fix".
  • Graba el aswASW.log en el escritorio.
  • Envíe el reporte al foro.

Décima herramienta: Roguekiller

Este programa permite erradicar ciertas variantes de Zaccess.

Verificación

Para verificar que no queda nada del virus, es preferible analizar el ordenador con tu antivirus o pasar un antivirus en línea.

Consulta también

Publicado por Carlos-vialfa. Última actualización: 11 de octubre de 2016 a las 17:14 por Carlos-vialfa.
El documento «Eliminar el virus Zaccess Sirefef » se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.