Eliminación del SIREFEF en sistemas WINDOWS 7

Algunas variantes del Sirefef se protegen contra su eliminación, de manera que en sistema WINDOWS 7 hace falta reiniciar finalmente en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA para que nuestra utilidad pueda acabar con él.

Por ello, a partir de la versión de hoy del ELISIREF 1.45, una vez  eliminada la carpeta dichosa ($NTUNINSTALLKB…) en lugar de reiniciar normalmente, como nacemos en XP, en este caso se informará de que proceda a reiniciar en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA y tras ello lanzar manualmente de nuevo el ELISIREF.

Para ello es conveniente copiar dicha utilidad ELISIREF.EXE en un pendrive, el cual insertar cuando se quiera utilizar.

Se recuerda que para obtener el menú donde escoger las opciónes de inicio, normalmente debe pulsarse repetidamente F8 al arrancar, y allí escoger la opción indicada.

Una vez en dicho MODO, insertar el pendrive donde se tenga copiado el ELISIREF.EXE, seleccionar dicha unidad, y lanzarla escribiendo:

ELISIREF   <enter>

Con ello se terminará el proceso de eliminación de este engorroso Rootkit, del que cada día tenemos actualmente nuevas variantes y que, al actualizarse, bajan además otros congeneres, que vamos controlando con el ELISTARA (Proxy EXI, BUZUS, VBNA, etc)

Entre el falso positivo por coincidencia de MD5, ya corregido en la version de ayer y esta mejora de hoy, además del control y eliminación de las nuevas variantes que hemos recibido, creemos tener “a raya” el SIREFEF, al menos hasta que aparezcan nuevas variantes con otras historias…

saludos

ms, 27-1-2012