Por fin una solución rápida para eliminar el SIREFEF con nuestro LIVE CD 6489
Como sea que a todos los usuarios que han sido infectados por el SIREFEF y les indicabamos la solucion en nuestro blog: https://blog.satinfo.es/?p=20525 , resultaba bastante manual y teníamos que utilizar herramientas externas, (GMER), hemos ido buscando la manera de deshacernos de este Rootkit automáticamente, y lo hemos logrado con nuestro LIVE CD y el VirusScan para Linux que integra.
El secreto es no arrancar desde el disco duro, para que no se oculte y ello lo conseguimos con nuestra ultima version de LIVE CD 6489, que si no lo tienen a mano se puede descargar de nuestra web y con la imagen ISO, crear un CD para arrancar con él.
Una vez arrancado, y montada automaticamente la unidad del disco duro, conviene actualizar los DAT y lanzar el VirusScan para Linux, con lo que se detecta el fichero vírico dentro de \Windows\System32\drivers y lo elimina, tras lo cual, al reiniciar normalmente, ya no estará residente y podrán eliminarse manualmente los restos, aunque ya no afectarán (el que es mas fácil de borrar es el de cero bytes, de C:\windows, cuyo nombre es la primera parte del “junction” que se ve con el SPROCES, en el proceso malicioso que tiene “:” entre los dos ficheros que utiliza.)
Nota: Aconsejamos guardar los informes generados en el escritorio del LIVE CD, al disco duro o a un dispositivo USB, para saber qué acciones se han realizado y que fichero se ha eliminado, para restablecerlo por el original, si no lo ha restaurado Windows automáticamente, ya que sino, al cerrar el sistema, al tratarse de un Live CD, perderíamos dicha información.
Con ello esperamos facilitar la eliminación de este RootKit tan complejo y que ha afectado a bastantes usuarios.
saludos
ms, 25-10-2011
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.