Sirefef.db

[Cougar]

Добрый вечер.
Уже неделю пытаюсь бороться с вирусом sirefef.db
обнаружил его ESS, но удалить так и не смог (с перезагрузками)

Пример лога ESS:
26.12.2011 20:08:46 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\serial.sys Win32/Sirefef.DB троянская программа очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\cidaemon.exe.
26.12.2011 20:06:45 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\serial.sys Win32/Sirefef.DB троянская программа очистка невозможна HYPERION\Cougar Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\explorer.exe.
26.12.2011 20:03:36 Защита в режиме реального времени файл C:\WINDOWS\TEMP\SMI8D.tmp Win32/Sirefef.DB троянская программа очищен удалением NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe.

Kaspersky определил как HEUR:Trojan.Win32.Generic


Все что нашел по данному вирусу, не помогло. (STOPzilla, Kaspersky, Spybot Search & Destroy(большая часть его детектирует)
К большей части антивирусных сайтов доступа нет.
В приложении логи - по инструкции. скачать AVZ 4.37 не смог по Вашей ссылке. Скачал 4.35 (Она не смогла обновиться)

С уважением.
Михаил.

[Info_bot]

Уважаемый(ая) Cougar, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\SZpmFpI.exe','');
 QuarantineFile('C:\WINDOWS\system32\90ea078f.exe','');
 DeleteFile('C:\WINDOWS\system32\90ea078f.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\SZpmFpI.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи
Сделайте лог TDSSkiller (ссылка в моей подписи)

[Cougar]

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи
Сделайте лог TDSSkiller (ссылка в моей подписи)

Карантин отправил.

новые логи и репорт TDDSkiller прикладываю.


Еще такой момент: в автозагрузке появилось два файла:
_uninst_.bat
с кодом

Код:

@echo off
if exist "C:\DOCUME~1\Work\LOCALS~1\Temp\2908207\6337097.exe" goto restart
Rmdir /S /Q "C:\DOCUME~1\Work\LOCALS~1\Temp\RarSFX1\"
del /F /Q "C:\Documents and Settings\Work\

и
_uninst_41844178.bat

Код:

@echo off
if exist "C:\DOCUME~1\Work\LOCALS~1\Temp\9826681\6337097.exe" goto restart
Rmdir /S /Q "C:\DOCUME~1\Work\LOCALS~1\Temp\RarSFX0\"
del /F /Q "C:\Documents and Settings\Work\

не знаю, к делу они или нет, но такие файлы в автозагрузке - напрягают (поэтому удалил)

[Cougar]

Переборщил немного.
Батники вроде от Касперского

Добавлено через 2 минуты

Переборщил немного.
Батники вроде от Касперского


PS: Вот как раз пример подвисания из-за вирусняка - отправлял сообщение один раз )))

[crush13]

Cougar, Platform: Windows XP SP2 (WinNT 5.01.2600) - Внимание! Официальная поддержка SP2 уже прекращена. Обновите Windows до SP3 (возможно потребуется активация).
Установите все обновления до сегодняшнего дня тут.

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - Обновите IE, даже если Вы его не используете.

Выполните скрипт из файла ScanVuln, пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

После этого снова делайте логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).
Иначе лечить Вашу систему можно бесконечно.

[thyrex]

Вот как раз пример подвисания из-за вирусняка - отправлял сообщение один раз )))

Это похоже сервер форума подтормаживает иногда

[Cougar]

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - Обновите IE, даже если Вы его не используете.

IE давно 8ка стоит. странно.

[crush13]

Cougar, повторите лог hijackthis пожалуйста.

[Cougar]

Поставил SP3.
И все обновления указанные в ScanVuln


virusinfo_syscheck.zip почему-то перестал загружаться

Serial.sys ESS уже не детектирует как вирус!

[thyrex]

Поставил SP3.

Лог HiJack делали до этого что ли? Если да, придется переделать

[Cougar]

Лог HiJack делали до этого что ли? Если да, придется переделать

ес-нно после!!!

[crush13]

Cougar, интересно как-то получается, Вы обновили систему, но логи говорят, что не обновили

Проблема осталась или ушла?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены