Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Sirefef.GA , Вирус Win32/Sirefef.GA

1
RSS
 
Екатерина Левченко
Екатерина Левченко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 08.10.2013
Размещено 08.10.2013 18:51:51
Добрый день! В антивирусе постоянно выскакивает предупреждение:
Угроза: Win32/Sirefef.GA троянская программа
Информация: очищен удалением - изолирован.

И так каждые 3-5 минут.
Что это за вирус и как его победить окончательно?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 08.10.2013 18:55:46
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Екатерина Левченко
Екатерина Левченко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 08.10.2013
Размещено 08.10.2013 23:04:06
Сделала образ автозапуска.
Пару раз появилось еще такое оповещение от антивируса:
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.10.2013 02:09:02
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.81.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 887090539D5F8843D6DA09ADF5692629 191440
addsgn 9252779A106AC1CC0BC4554EA34F8E25238AA65AD3F548FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 QIP
bl EA0418C25DBCE2A16DF45B3CF4DA2EA8 150768
addsgn 71905392541F499AA780AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023DB0F3FFEBC9D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPbar
bl B0A4DEEFAE85034C03F44B34FC20F03A 259072
addsgn A7679B19B90EED4A1B96AE38213099482D03F1C2A8B81FFBB8F7E4FE50D60446E412C3767C559D492B80EE9E2C16B6AF8537827655DA35EC5875692B2F992773 8 UDS:DangerousObject.Multi.Generic [Kasp
bl 8A6F88FC5DADE76138F2FAFEE917F451 73725
addsgn 925277BA176AC1CC0B24534E332319ECAF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 netprotokol
chklst
delvir
deltmp
delnfr
delref HTTP://GO.MAIL.RU/SEARCH?UTF8IN=1&FR=FFTBUFIX&Q=
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://SUPPORT.MICROSOFT.COM/DEFAULT.ASPX?SCID=FH;EN-US;KBHOWTO
; Java 7 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF} /quiet
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.10.2013 06:47:31
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
 
Екатерина Левченко
Екатерина Левченко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 08.10.2013
Размещено 09.10.2013 12:14:39
лог Mbam
 
Екатерина Левченко
Екатерина Левченко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 08.10.2013
Размещено 09.10.2013 12:17:24
лог журнала обнаружения угроз
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.10.2013 12:24:28
по логам выходит что все хорошо, все очищено
Цитата
09.10.2013 10:05:18 Защита в режиме реального времени файл C:\Program Files\Google\Desktop\Install\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\ \ \???\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\U\80000001.@ Win32/Sirefef.GA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\services.exe.
09.10.2013 10:01:05 Защита в режиме реального времени файл C:\Program Files\Google\Desktop\Install\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\ \ \???\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\U\80000001.@ Win32/Sirefef.GA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\services.exe.
09.10.2013 9:59:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(484) модифицированный Win32/Sirefef.FY троянская программа очищен удалением
09.10.2013 9:59:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = services.exe(1132) модифицированный Win32/Sirefef.GA троянская программа очищен удалением

как на самом деле?
сделайте лог сканирования в ESET NOD32 только оперативной памяти
добавьте результат сканирования на форум.

+
сделайте проверку этой утилиткой
http://download.eset.com/special/ESETSirefefCleaner.exe
Изменено: santy - 09.10.2013 12:25:15
[ Как создать образ автозапуска? ]
 
Екатерина Левченко
Екатерина Левченко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 08.10.2013
Размещено 09.10.2013 12:46:40
Цитата
santy пишет:
сделайте лог сканирования в ESET NOD32 только оперативной памяти
- не совсем поняла, как это сделать, делала так: поставила на сканирование в NOD32 оперативную память, после окончания сделала все еще раз по инструкции: http://forum.esetnod32.ru/forum9/topic1408/

Проверка утилитой обнаружила угрозу с названием Sirefef, предложила удалить, после удаления компьютер сразу перезагрузился, поэтому сохранить скрин экрана не успела. После перезагрузки вывелось сообщение о том, что все было удалено успешно, компьютер перезагрузился еще раз, после второй перезагрузки эта утилита уже не открылась сама автоматически, просто загрузилась система.

Все оповещения и предупреждения от антивируса об угрозах прекратились, все работает.

Огромное спасибо Вам за помощь!!!
Изменено: Екатерина Левченко - 09.10.2013 12:51:43
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 09.10.2013 13:01:12
хорошо, значит все таки оставались хвосты от Сирефеф, раз утилитка что-то нашла и удалила.

судя по новому логу угроз - новых записей не добавилось в журнал.

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Изменено: santy - 09.10.2013 13:01:28
[ Как создать образ автозапуска? ]
 
1
Читают тему