 Autor
|
Tema: Tengo el rootkit zaccess.e o sirefef.f segun microsoft,ayuda (Leído 4,384 veces)
|
cherokee68
 Desconectado
Mensajes: 3
|
Hola amigos/as,os dejo mi problemilla por si hay algun alma caritativa que me pueda echar un cable. Resumiendo,he pillado el susodicho rootkit y me está liando la del 13. Reboots,redirecciones,errores windows,para el antivirus,malwarebytes etc.. y no los puedo activar,he leido algo sobre este zaccess.e y comentan que es muy duro de pelar.La unica que le he podido pasar hasta ahora es el tdss kill,los encuentra pero no los elimina. cosa curiosa es que si paso en modo seguro el tdss con el cable lan desc. los elimina,pero sigo sin poder ejecutar antivirus y sigue redireccionando,si conecto el cable vuelven a estar ahí el rootkit y otro oculto,los vuelvo a eliminar,si `paso a normal sigo con los problemas y siguen estando ahí cada vez que hago reboot. ya no se que mas hacer,a ver si me podeis echar un cable. Gracias y un saludo desde Barcelona 
|
|
|
|
|
En línea
|
|
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
El tema de los rootkits siempre son un problema la verdad, porque sin una muestra y una infección real es dificil aunque sea mediante logs la detección de todo, te recomendaria utilizar GMER a ver que se encuentra pero antes, me e tomado la libertad de buscar mas info sobre este rootkit. Generalmente y por desgracia acaban siempre existiendo variantes...prueba lo siguiente, sinó pasaremos al plan B. Entra al administrador de tareas y busca los siguientes procesos, una vez encontrados cierralos: PlayPickle32.exe
[Nombre_aleatorio].dll of PlayPickle32.exe [Aquí tiene la función rootkit] Busca y elimina los siguientes archivos: C:\WINDOWS\_VOID\
C:\WINDOWS\_VOID\_VOIDd.sys
C:\WINDOWS\system32\UAC.dll
C:\WINDOWS\system32\uacinit.dll
C:\WINDOWS\system32\UAC.db
C:\WINDOWS\system32\UAC.dat
C:\WINDOWS\system32\uactmp.db
C:\WINDOWS\system32\_VOID.dll
C:\WINDOWS\system32\_VOID.dat
C:\WINDOWS\SYSTEM32\4DW4R3c.dll
C:\WINDOWS\SYSTEM32\4DW4R3sv.dat
C:\WINDOWS\SYSTEM32\4DW4R3.dll
C:\WINDOWS\system32\drivers\_VOID.sys
C:\WINDOWS\system32\drivers\UAC.sys
C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys
C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys
C:\WINDOWS\Temp\_VOIDtmp
C:\WINDOWS\Temp\UAC.tmp
%Temp%\UAC.tmp
%Temp%\_VOID.tmp
C:\Documents and Settings\All Users\Application Data\_VOIDmainqt.dll Busca y elimina las siguientes claves del registo, algúnas tienen nombre aleatorio así que antes de eliminar algo con dudas pregunta aquí. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOID[nombre_aleatorio]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4DW4R3
HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy
HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer
Aunque no elimines los archivos, o el rootkit permaneciera sería un gran avance si todos estos ficheros exísten. Ya tendríamos por donde empezar. Saludos desde barcelona 
|
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
cherokee68
Desconectado
Mensajes: 3
|
Pues nada men,gracias por tu respuesta,la verdad ojalá tuviera esos archivos y me los pudiera ventilar,pero va a ser que no,no tengo nada de los archivos comentados,lo he mirao y remirao..he visto que en la pagina donde está esto que me pasas,te dicen como sacarlo manual,y claro como de lo que dicen no tienes nada,no te queda otra que ellos supuestamente te quiten el bicho remotamente,y eso yaaa,aparte $69 por un año de sus servicios,que extraño no?Si pruebas su chat te diran que lo quitan todo al 99,99% uhmmm.
Nada cuando puedas me echas un cablecillo a ese plan B, a ver.
Saludos.
|
|
|
|
|
En línea
|
|
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
Me siento en la obligación de preguntartelo, quiza lo hayas hecho...Antes de buscar los archivos, has habilitado la opción de ver los archivos ocultos?
|
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
cherokee68
Desconectado
Mensajes: 3
|
Hola,si los tengo habilitados en el equipo
|
|
|
|
|
En línea
|
|
|
|
Arcano.
Desconectado
Mensajes: 469
|
Buenas cherokee68, Desconozco si ya has solucionado tu problema, puesto que ha pasado una semana desde la última respuesta. Si sigues batallando con el rootkit -o para futuras ocasiones-, puedes revisar este artículo. A mí, en su momento, me sirvió. Saludos. |
|
|
|
|
En línea
|
La curiosidad es la antesala al conocimiento...
|
|
|
|
 |
