Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] "Оперативная память Win32/Sirefef троянская программа" , Руткит Win32/Sirefef не удалятет

RSS
 
Алексей Иванов
Алексей Иванов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 13.05.2014
Размещено 13.05.2014 15:09:17
Антивирус обнаруживает " Win32/Sirefef " и можно только ничего не предпринимать) Чем вылечить подскажите?
З.Ы. Надеюсь в ту ветку написал

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 14.05.2014 12:11:13
Цитата
В текущих базах данных, по словам разработчиков, имеет место ложное срабатывание как раз на Sirefef

да, на техническом форуме eset.com тоже проблема пока не решена

Цитата
I have a problem with sirfef Trojan, eset keep telling me that there is sirefef threat,and its unable to clean. I used eset sirfef cleaner and followed instructions but it's saying I don't have it but smart security tells me a different thing. I also used other softwares like: tdss killer, Rouge killer, I explor, hitman pro, combofix,malwarebyte, emsosoft emergency kit,eset online scan but non of them detect sirefef but eset smart security is that a false alarm?

https://forum.eset.com/topic/2463-sirefef-malware-problem/
и
https://forum.eset.com/topic/2459-cleaning-win32sirefef-trojan/
[ Как создать образ автозапуска? ]
 
Алексей Иванов
Алексей Иванов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 13.05.2014
Размещено 15.05.2014 07:35:52
Malwarebytes Anti-Rootkit всё же что-то нашел)
Sirefef еще детектирует. Базы обновил, но они по маркировке еще вчерашние (9801 20140514). Ждёмс...
Изменено: Алексей Иванов - 15.05.2014 08:54:01
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 15.05.2014 09:11:13
Цитата
Folders Detected: 4
c:\windows\$ntuninstallkb3296$\1644588774 (Backdoor.0Access) -> Delete on reboot.
c:\windows\$ntuninstallkb3296$\1644588774\l (Backdoor.0Access) -> Delete on reboot.
c:\windows\$ntuninstallkb3296$\1644588774\u (Backdoor.0Access) -> Delete on reboot.
c:\windows\$ntuninstallkb3296$\194118127 (Backdoor.0Access) -> Delete on reboot.

это похоже на Sirefef по определению

Цитата
Создание папку, в которой хранятся другие вредоносные программы
Sirefef создает специальную папку, настроенную как точка восстановления (набор данных, определяемый пользователем), в которых хранятся дополнительные компоненты вредоносной программы, а также оригинальная чистая копия замененного драйвера.
Созданные папки имеют следующий формат:
\ $ NtUninstallKB $
где является случайным числом.
Примечание: файлы, хранящиеся в этой папке шифруются, и не являются общедоступными.
http://chklst.ru/forum/discussion/94/win32-sirefefzaccess

пробуйте перегрузить систему, и еще раз проверить антируткитом от мбам. пишем результат.

+
проверьте обновленной утилиткой v 1.1.0.19 без ключа и с ключом /f
http://www.eset.com/int/download/utilities/detail/family/168/
Изменено: santy - 15.05.2014 09:28:18
[ Как создать образ автозапуска? ]
 
Алексей Иванов
Алексей Иванов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 13.05.2014
Размещено 15.05.2014 11:16:17
Malwarebytes Anti-Rootkit ничего не нашел. А вот ESETSirefefCleaner без ключа ничего не нашел, с ключом нашел и удалил. Сканирование антивирусом оперативной памяти более не выявляет руткита. Спасибо большое)
P.S. Лог сканирование прилогаю
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 15.05.2014 11:24:01
хм, похоже не дочистил мбам, и утилитка нашла еще один объект

Цитата
[2014.05.15 13:06:47.312] - INFO: Removing remnants of Win32/Sirefef threat...
[2014.05.15 13:06:47.887] - INFO: Directory scheduled to after reboot cleaning 1 - \??\C:\Windows\$NtUninstallKB3296$

сделайте еще раз проверку новой утилиткой Сирефеф_клинер и добавьте новый лог.... посмотрим, что показывает утилитка после очистки.

+
добавьте лог сканирования в ESET NOD32 только оперативной памяти
Изменено: santy - 15.05.2014 11:24:54
[ Как создать образ автозапуска? ]
 
Алексей Иванов
Алексей Иванов
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 13.05.2014
Размещено 15.05.2014 11:40:52
ESETSirefefCleaner ничего не нашел
Изменено: Алексей Иванов - 15.05.2014 11:43:21 (Добавил лог ESETSirefefCleaner)
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 15.05.2014 12:43:51
Цитата
[2014.05.15 13:35:02.533] - INFO: Win32/Sirefef not found
[2014.05.15 13:35:06.401] - --------------------------------------------------------------------------------
[2014.05.15 13:35:06.401] - INFO: Logging finished successfully...
[2014.05.15 13:35:06.401] - --------------------------------------------------------------------------------
и
Цитата
15.05.2014 13:37:23 Оперативная память 275 0 0 Зaвepшeнo

отлично. закрываю тему.

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Изменено: santy - 15.05.2014 12:44:35
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему