Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Вирус Win32/Sirefef , вирус в памяти

RSS
 
Юрий Иванов
Юрий Иванов
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 13.05.2014
Размещено 13.05.2014 01:50:47
Доброго времени суток!
появился вирус в оперативной памяти - Sirefef (без букв), удалить не получается
ESETSirefefCleaner.exe его не видит
образ автозапуск сделал

Ответы

Пред. 1 2 3 4 5 След.
 
Юрий Иванов
Юрий Иванов
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 13.05.2014
Размещено 13.05.2014 14:53:19
добавляю лог журнала
добавляю лог сканирования
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.05.2014 14:56:49
угу, значит висит в памяти

Цитата
Просканированные диски, папки и файлы: Оперативная память
Оперативная память - Win32/Sirefef троянская программа - выбор действия отложен до завершения сканирования
Количество просканированных объектов: 389
Количество обнаруженных угроз: 1
Количество очищенных объектов: 0
а после завершения проверки ЕСЕТ не предлагает действие по его очистке?
+

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE

delall %SystemDrive%\PROGRAM FILES\AVG SAFEGUARD TOOLBAR\VPROT.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\AVG SECURE SEARCH\VTOOLBARUPDATER\18.1.5\TOOLBARUPDATER.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\AVG SECURE SEARCH\SCRIPTHELPERINSTALLER\18.1.5\SCRIPTHELPER.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
+
добавьте лог gmer
http://forum.esetnod32.ru/forum9/topic733/
Изменено: santy - 13.05.2014 15:00:47
[ Как создать образ автозапуска? ]
 
Юрий Иванов
Юрий Иванов
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 13.05.2014
Размещено 13.05.2014 16:23:57
ESET предлагает - "ничего не предпринимать" (иначе я бы давно удалил вирус)
выполнил новый код скрипт - вирус на месте
просканировал программой anti-malware, лог прилагается
начал сканирование gmer - отпишусь позже (а то каждое сканирование около 50 мин...)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.05.2014 17:13:49
в мбам удалите все найденное. (но Sirefef он так же не увидел.)

в gmer надо было снять галку сканирования системного диска, иначе долго будет проверять. там на рисунке показано, что не должно быть галки на диске C.
[ Как создать образ автозапуска? ]
 
Юрий Иванов
Юрий Иванов
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 13.05.2014
Размещено 13.05.2014 19:09:42
в anti-malware удалил все найденое
в gmer на рисунке как раз стоит галочка на диске С, остановил, запустил без - все равно где-то 1ч. 20мин.....
лог выкладываю
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.05.2014 19:29:01
ок, лог сейчас гляну, но там надо снимать галку files, тогда не будет выполняться сканирование файлов на жестких дисках
--------
проверьте сканером cureit в безопасном режиме....

если ничего не будет найдено, проверьте еще с помощью eset_rescue
http://chklst.ru/forum/discussion/13/eset_sysrescue-na-baze-linux-ot-eset-russia#Item_1
Изменено: santy - 13.05.2014 19:38:11
[ Как создать образ автозапуска? ]
 
Юрий Иванов
Юрий Иванов
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 13.05.2014
Размещено 13.05.2014 23:58:38
проверил сканером cureit в безопасном режиме, ругнулся на ammyy admin - удалил, не вопрос, легче не стало...(лог прилагается)
проверил с помощью eset_rescue (сканирование всего 2ч. 22 мин.). итог - нашел 7 файлов, удалил их автоматом, после перезагрузки компа наш вирус на месте и живой....
P.S. ...мне кажется все решит format c:
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.05.2014 04:02:14
лог сканирования eset_rescue неплохо бы увидеть, что именно он удалял.
--------
+
добавьте лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/
+

сделайте проверку антируткитом от малваребайт
http://downloads.malwarebytes.org/file/mbar

(предварительно обновите базу).
---------------

посмотрите еще в этой программе
pchunter32
http://down.epoolsoft.com/pchunter/PCHunter_free.zip
секции Examination

создайте полный репорт, экспортируйте отчет в файл и добавьте на форум. (~10-15 мин)
Изменено: santy - 14.05.2014 09:46:07
[ Как создать образ автозапуска? ]
 
Валентин
Валентин
Администратор
Сообщений: 5237
Баллов: 8388
Регистрация: 12.05.2010
Размещено 14.05.2014 11:42:01
Юрий Иванов, вероятно, это было ложное срабатывание. Разработчики обещают исправить проблему в течение дня с выходом новых обновлений базы данных сигнатур вирусов. Если к завтрашнему дню проблема сохранится - сообщите об этом.
ESET Technical Support
 
Юрий Иванов
Юрий Иванов
Пользователь
Сообщений: 21
Баллов: 10
Регистрация: 13.05.2014
Размещено 14.05.2014 18:36:21
весь день прошел в сканировании системы...
1. проверил ESETsysinspector - добавляю лог
2. сделал проверку антируткитом от малваребайт, нашел 2 файла, очистил их, ребутнул систему - вирус остался (логи не предоставляет)
3. посмотрел в pchunter32 (секции Examination) - лог прикрепляю
итог - вирус на месте
 
Пред. 1 2 3 4 5 След.
Читают тему