Sirefef.db

Добрый вечер.
Уже неделю пытаюсь бороться с вирусом sirefef.db
обнаружил его ESS, но удалить так и не смог (с перезагрузками)

Пример лога ESS:
26.12.2011 20:08:46 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\serial.sys Win32/Sirefef.DB троянская программа очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\cidaemon.exe.
26.12.2011 20:06:45 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\serial.sys Win32/Sirefef.DB троянская программа очистка невозможна HYPERION\Cougar Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\explorer.exe.
26.12.2011 20:03:36 Защита в режиме реального времени файл C:\WINDOWS\TEMP\SMI8D.tmp Win32/Sirefef.DB троянская программа очищен удалением NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe.

Kaspersky определил как HEUR:Trojan.Win32.Generic


Все что нашел по данному вирусу, не помогло. (STOPzilla, Kaspersky, Spybot Search & Destroy(большая часть его детектирует)
К большей части антивирусных сайтов доступа нет.
В приложении логи - по инструкции. скачать AVZ 4.37 не смог по Вашей ссылке. Скачал 4.35 (Она не смогла обновиться)

С уважением.
Михаил.

Уважаемый(ая) [B]Cougar[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\SZpmFpI.exe','');
QuarantineFile('C:\WINDOWS\system32\90ea078f.exe','');
DeleteFile('C:\WINDOWS\system32\90ea078f.exe');
DeleteFile('\\?\globalroot\systemroot\system32\SZpmFpI.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
Сделайте лог TDSSkiller (ссылка в моей подписи)

[QUOTE=thyrex;852719]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
Сделайте лог TDSSkiller (ссылка в моей подписи)[/QUOTE]

Карантин отправил.

новые логи и репорт TDDSkiller прикладываю.


Еще такой момент: в автозагрузке появилось два файла:
_uninst_.bat
с кодом
[CODE]@echo off
if exist "C:\DOCUME~1\Work\LOCALS~1\Temp\2908207\6337097.exe" goto restart
Rmdir /S /Q "C:\DOCUME~1\Work\LOCALS~1\Temp\RarSFX1\"
del /F /Q "C:\Documents and Settings\Work\[/CODE]

и
_uninst_41844178.bat

[CODE]@echo off
if exist "C:\DOCUME~1\Work\LOCALS~1\Temp\9826681\6337097.exe" goto restart
Rmdir /S /Q "C:\DOCUME~1\Work\LOCALS~1\Temp\RarSFX0\"
del /F /Q "C:\Documents and Settings\Work\[/CODE]

не знаю, к делу они или нет, но такие файлы в автозагрузке - напрягают (поэтому удалил)

Переборщил немного.
Батники вроде от Касперского :)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Переборщил немного.
Батники вроде от Касперского :)


PS: Вот как раз пример подвисания из-за вирусняка - отправлял сообщение один раз )))

[b]Cougar[/b], Platform: Windows XP SP2 (WinNT 5.01.2600) - [COLOR="DarkRed"][B]Внимание! Официальная поддержка SP2 уже прекращена.[/B][/COLOR] [URL="http://www.microsoft.com/downloads/ru-ru/confirmation.aspx?familyid=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Обновите Windows до SP3[/URL] (возможно потребуется активация).
Установите все обновления до сегодняшнего дня [URL="update.microsoft.com"]тут[/URL].

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - [URL="http://download.microsoft.com/download/D/6/9/D693B7D9-C8E3-4D15-B3D2-59843A8DE90B/IE8-WindowsXP-x86-RUS.exe"]Обновите IE[/URL], даже если Вы его не используете.

Выполните скрипт из файла [URL="http://dataforce.ru/~kad/ScanVuln.txt"]ScanVuln[/URL], пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

После этого снова делайте логи [URL="http://virusinfo.info/pravila.html"]по правилам[/URL] п.2 и п.3 раздела "[COLOR="Blue"]Диагностика[/COLOR]" (virusinfo_syscheck.zip; hijackthis.log).
Иначе лечить Вашу систему можно бесконечно.

[quote="Cougar;852885"]Вот как раз пример подвисания из-за вирусняка - отправлял сообщение один раз )))[/quote]Это похоже сервер форума подтормаживает иногда

[QUOTE=crush13;852900]

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) - [URL="http://download.microsoft.com/download/D/6/9/D693B7D9-C8E3-4D15-B3D2-59843A8DE90B/IE8-WindowsXP-x86-RUS.exe"]Обновите IE[/URL], даже если Вы его не используете.

[/QUOTE]

IE давно 8ка стоит. странно.:?

[b]Cougar[/b], повторите лог hijackthis пожалуйста.

Поставил SP3.
И все обновления указанные в ScanVuln


virusinfo_syscheck.zip почему-то перестал загружаться

Serial.sys ESS уже не детектирует как вирус!

[quote="Cougar;853159"]Поставил SP3.[/quote]Лог HiJack делали до этого что ли? Если да, придется переделать

[QUOTE=thyrex;853188]Лог HiJack делали до этого что ли? Если да, придется переделать[/QUOTE]
ес-нно после!!!

[b]Cougar[/b], интересно как-то получается, :) Вы обновили систему, но логи говорят, что не обновили :)

Проблема осталась или ушла?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]