Вирус в оперативной памяти. - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 12.11.2012

Размещено 12.11.2012 00:53:10

При включении ноутбука выскакивает "Вирус в оперативной памяти", очищен удалением. При следующем включении ноутбука происходит то же самое...
Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini - Win32/Sirefef.DN троянская программа
Помогите пожалуйста избавиться от вируса.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.11.2012 01:57:38

Воспользуйтесь этой утилитой для лечения - http://download.eset.com/special/ESETSirefefEVCleaner.exe
После этого Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Сообщений: 4

Баллов: 2

Регистрация: 12.11.2012

Размещено 13.11.2012 03:21:20

Цитата
Арвид пишет: Воспользуйтесь этой утилитой для лечения - http://download.eset.com/special/ESETSirefefEVCleaner.exe После этого Сделайте лог uVS

Вот всё сделал как написано
лог - http://rghost.ru/41536346

Изменено: Slowgun - 13.11.2012 03:38:12

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.11.2012 06:05:25

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

3. Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 12.11.2012

Размещено 13.11.2012 19:26:07

После всех манипуляций вирусы всё равно остаются в системе...

Изменено: Slowgun - 13.11.2012 19:27:00

Сообщений: 4

Баллов: 2

Регистрация: 12.11.2012

Размещено 13.11.2012 19:26:46

Цитата
santy пишет: 1. добавьте лог журнала обнаружения угроз http://forum.esetnod32.ru/forum9/topic1408/ 2. сделайте дополнительно быструю проверку системы в малваребайт http://forum.esetnod32.ru/forum9/topic682/ 3. Скачайте, распакуйте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926 Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его. Файл C:\TDSSKiller.*_log.txt приложите в теме. (где * - версия программы, дата и время запуска.

Цитата

santy пишет:
1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

3. Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

1. лог журнала обнаружения угроз - http://rghost.ru/private/41547119/32ea286efb222b0fbed998700a765874
2. лог быстрой проверкм системы в малваребайт - http://rghost.ru/private/41547166/9ee72264ea7cc4cc847f2a915ab90e22
3. лог TDSSKiller - http://rghost.ru/private/41547195/43cc35152076211e3d2e972b307d8105

Изменено: Slowgun - 13.11.2012 19:27:12

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.11.2012 19:29:58

Цитата
13.11.2012 17:35:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(1032) вероятно модифицированный Win32/Sirefef.DT троянская программа очистка невозможна 13.11.2012 17:35:02 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением 13.11.2012 2:10:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением LENOVOG565\user

Цитата

13.11.2012 17:35:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(1032) вероятно модифицированный Win32/Sirefef.DT троянская программа очистка невозможна
13.11.2012 17:35:02 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением
13.11.2012 2:10:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением LENOVOG565\user

хм..
tdsskiller ничего не нашел

Цитата
18:19:02.0485 2992 ============================================================ 18:19:02.0485 2992 Scan finished 18:19:02.0485 2992 ============================================================ 18:19:02.0516 2984 Detected object count: 2 18:19:02.0516 2984 Actual detected object count: 2 18:19:27.0818 2984 KMService ( UnsignedFile.Multi.Generic ) - skipped by user 18:19:27.0818 2984 KMService ( UnsignedFile.Multi.Generic ) - User select action: Skip 18:19:27.0820 2984 nlsX86cc ( UnsignedFile.Multi.Generic ) - skipped by user 18:19:27.0820 2984 nlsX86cc ( UnsignedFile.Multi.Generic ) - User select action: Skip 18:21:21.0965 1508 Deinitialize success

Цитата

18:19:02.0485 2992 ============================================================
18:19:02.0485 2992 Scan finished
18:19:02.0485 2992 ============================================================
18:19:02.0516 2984 Detected object count: 2
18:19:02.0516 2984 Actual detected object count: 2
18:19:27.0818 2984 KMService ( UnsignedFile.Multi.Generic ) - skipped by user
18:19:27.0818 2984 KMService ( UnsignedFile.Multi.Generic ) - User select action: Skip
18:19:27.0820 2984 nlsX86cc ( UnsignedFile.Multi.Generic ) - skipped by user
18:19:27.0820 2984 nlsX86cc ( UnsignedFile.Multi.Generic ) - User select action: Skip
18:21:21.0965 1508 Deinitialize success

образ сейчас еще раз проверю

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.11.2012 19:34:49

сделайте образ автозапуска с помощью поиска руткитов по файлу сверки.
http://forum.esetnod32.ru/forum9/topic2729/

1. здесь надо создать в uVS файл сверки из под активной системы.

2. загрузиться с LIVE.CD, запустить uVS для исследования вашей системы с жесткого диска,
и из uVS выполнить поиск скрытых файлов, и не закрывая uVS создать образ автозапуска.
----------
вот этот образ автозапуска и нужен будет для анализа скрытых в системе файлов.

[ Как создать образ автозапуска? ]

Сообщений: 317

Баллов: 253

Регистрация: 16.03.2010

Размещено 13.11.2012 21:46:44

Цитата
Если после выполнения действия, описанные в частях I-III выше проблема не будет решена, ваш компьютер может быть заражен другой версии вредоносной программы Sirefef. Чтобы удалить эту версию Sirfef, следуйте инструкциям ниже. 1.Click ссылку ниже, чтобы скачать ESETSirefefremover и инструмент ESET Servicesrepair.

Цитата

Если после выполнения действия, описанные в частях I-III выше проблема не будет решена, ваш компьютер может быть заражен другой версии вредоносной программы Sirefef.
Чтобы удалить эту версию Sirfef, следуйте инструкциям ниже.
1.Click ссылку ниже, чтобы скачать ESETSirefefremover и инструмент ESET Servicesrepair.

http://kb.eset.com/library/ESET/KB%20Team%20Only/Malware/ServicesRepair.exe

Если версия Sirefef без драйвера(а она сейчас самая распрастраненная), лечит ServicesRepair.exe. Я проверял на виртуальной машине, точно лечит.

Изменено: EVE N - 13.11.2012 22:02:54

ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.11.2012 22:00:11

+
еще и эту утилиту запустите
http://download.eset.com/special/ESETSirefefRemover.exe

[ Как создать образ автозапуска? ]

Вирус в оперативной памяти. , При включении ноутбука выскакивает "Вирус в оперативной памяти"