[ Закрыто ] "Оперативная память Win32/Sirefef троянская программа" , Руткит Win32/Sirefef не удалятет

RSS

Сообщений: 7

Баллов: 3

Регистрация: 13.05.2014

Размещено 13.05.2014 15:09:17

Антивирус обнаруживает " Win32/Sirefef " и можно только ничего не предпринимать) Чем вылечить подскажите?
З.Ы. Надеюсь в ту ветку написал

Ответы

Пред. 1 2

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.05.2014 12:11:13

Цитата
В текущих базах данных, по словам разработчиков, имеет место ложное срабатывание как раз на Sirefef

да, на техническом форуме eset.com тоже проблема пока не решена

Цитата
I have a problem with sirfef Trojan, eset keep telling me that there is sirefef threat,and its unable to clean. I used eset sirfef cleaner and followed instructions but it's saying I don't have it but smart security tells me a different thing. I also used other softwares like: tdss killer, Rouge killer, I explor, hitman pro, combofix,malwarebyte, emsosoft emergency kit,eset online scan but non of them detect sirefef but eset smart security is that a false alarm?

Цитата

I have a problem with sirfef Trojan, eset keep telling me that there is sirefef threat,and its unable to clean. I used eset sirfef cleaner and followed instructions but it's saying I don't have it but smart security tells me a different thing. I also used other softwares like: tdss killer, Rouge killer, I explor, hitman pro, combofix,malwarebyte, emsosoft emergency kit,eset online scan but non of them detect sirefef but eset smart security is that a false alarm?

https://forum.eset.com/topic/2463-sirefef-malware-problem/
и
https://forum.eset.com/topic/2459-cleaning-win32sirefef-trojan/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 13.05.2014

Размещено 15.05.2014 07:35:52

Malwarebytes Anti-Rootkit всё же что-то нашел)
Sirefef еще детектирует. Базы обновил, но они по маркировке еще вчерашние (9801 20140514). Ждёмс...

Прикрепленные файлы

mbar-log-2014-05-14 (12-54-18).txt (5.06 КБ)

Изменено: Алексей Иванов - 15.05.2014 08:54:01

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.05.2014 09:11:13

Цитата
Folders Detected: 4 c:\windows\$ntuninstallkb3296$\1644588774 (Backdoor.0Access) -> Delete on reboot. c:\windows\$ntuninstallkb3296$\1644588774\l (Backdoor.0Access) -> Delete on reboot. c:\windows\$ntuninstallkb3296$\1644588774\u (Backdoor.0Access) -> Delete on reboot. c:\windows\$ntuninstallkb3296$\194118127 (Backdoor.0Access) -> Delete on reboot.

это похоже на Sirefef по определению

Цитата
Создание папку, в которой хранятся другие вредоносные программы Sirefef создает специальную папку, настроенную как точка восстановления (набор данных, определяемый пользователем), в которых хранятся дополнительные компоненты вредоносной программы, а также оригинальная чистая копия замененного драйвера. Созданные папки имеют следующий формат: \ $ NtUninstallKB $ где является случайным числом. Примечание: файлы, хранящиеся в этой папке шифруются, и не являются общедоступными.

Цитата

Создание папку, в которой хранятся другие вредоносные программы
Sirefef создает специальную папку, настроенную как точка восстановления (набор данных, определяемый пользователем), в которых хранятся дополнительные компоненты вредоносной программы, а также оригинальная чистая копия замененного драйвера.
Созданные папки имеют следующий формат:
\ $ NtUninstallKB $
где является случайным числом.
Примечание: файлы, хранящиеся в этой папке шифруются, и не являются общедоступными.

http://chklst.ru/forum/discussion/94/win32-sirefefzaccess

пробуйте перегрузить систему, и еще раз проверить антируткитом от мбам. пишем результат.

+
проверьте обновленной утилиткой v 1.1.0.19 без ключа и с ключом /f
http://www.eset.com/int/download/utilities/detail/family/168/

Изменено: santy - 15.05.2014 09:28:18

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 13.05.2014

Размещено 15.05.2014 11:16:17

Malwarebytes Anti-Rootkit ничего не нашел. А вот ESETSirefefCleaner без ключа ничего не нашел, с ключом нашел и удалил. Сканирование антивирусом оперативной памяти более не выявляет руткита. Спасибо большое)
P.S. Лог сканирование прилогаю

Прикрепленные файлы

ESETSirefefCleaner.exe_20140515.130647.2636.log (568.74 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.05.2014 11:24:01

хм, похоже не дочистил мбам, и утилитка нашла еще один объект

Цитата
[2014.05.15 13:06:47.312] - INFO: Removing remnants of Win32/Sirefef threat... [2014.05.15 13:06:47.887] - INFO: Directory scheduled to after reboot cleaning 1 - \??\C:\Windows\$NtUninstallKB3296$

сделайте еще раз проверку новой утилиткой Сирефеф_клинер и добавьте новый лог.... посмотрим, что показывает утилитка после очистки.

+
добавьте лог сканирования в ESET NOD32 только оперативной памяти

Изменено: santy - 15.05.2014 11:24:54

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 13.05.2014

Размещено 15.05.2014 11:40:52

ESETSirefefCleaner ничего не нашел

Прикрепленные файлы

лог.txt (1.88 КБ)
ESETSirefefCleaner (2).exe_20140515.133502.4612.log (5.06 КБ)

Изменено: Алексей Иванов - 15.05.2014 11:43:21 (Добавил лог ESETSirefefCleaner)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.05.2014 12:43:51

Цитата
[2014.05.15 13:35:02.533] - INFO: Win32/Sirefef not found [2014.05.15 13:35:06.401] - -------------------------------------------------------------------------------- [2014.05.15 13:35:06.401] - INFO: Logging finished successfully... [2014.05.15 13:35:06.401] - --------------------------------------------------------------------------------

Цитата
15.05.2014 13:37:23 Оперативная память 275 0 0 Зaвepшeнo

отлично. закрываю тему.

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

Изменено: santy - 15.05.2014 12:44:35

[ Как создать образ автозапуска? ]

Пред. 1 2