Sirefef.gen!C


(M Polkowski18) #1

Proszę o pomoc. Nie wiem jak pozbyc się tego wirusa.

Logfile z OTS: http://www.wklej.org/id/1037907/


(Atis) #2

Wszystkie opcje mają być ustawione na Użyj filtrowania:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741


(M Polkowski18) #3

Mam tak ustawione


(Atis) #4

Potrafisz odróżnić program OTS od OTL?


(M Polkowski18) #5

Nie jestem w tym dobry, bo pierwszy raz używam OTS (OTL nie mogłem uruchomic), ale przed skanowaniem ustawiłem wszystkie opcje na “safe list” tak jak było w instrukcji.


(Atis) #6

Nie ma znaczenia jak ustawiłeś, bo OTS to stary program i nie pokazuje wszystkich składników tej infekcji.

Utwórz logi w trybie awaryjnym:

http://support2.kaspersky.com/pl/493#q1

Spróbuj OTL.COM i OTL.SCR:

http://oldtimer.geekstogo.com/OTL.com

http://oldtimer.geekstogo.com/OTL.scr


(M Polkowski18) #7

Logfile w trybie awaryjnym: http://www.wklej.org/id/1037962/

OTL.COM i OTL.SCR też nie działają.


(Atis) #8

Ty w ogóle czytasz odpowiedzi?

Masz w awaryjny uruchomić OTL


(M Polkowski18) #9

OTL:http://www.wklej.org/id/1038004/

Extras: http://www.wklej.org/id/1038007/


(Atis) #10

Pobierz i uruchom TDSSKiller

Nie zmieniaj żadnych ustawień tylko zatwierdź akcje zalecane przez program.

Zatwierdź restart w celu dokończenia leczenia.

Pokaż raport z TDSSKiller: C:\TDSSKiller.wersja_data_czas_log.txt.

Odinstaluj DealPly, Norton Security Scan.

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż raport z tego programu.


(M Polkowski18) #11

tdsskiller.exe nie uruchamia się. Mam to też zrobic w trybie awaryjnym?


(Atis) #12

Uruchom TDSSKiller w trybie awaryjnym.

Wykonaj skrypt w OTL żeby usunąć trojana który może blokować uruchamianie programów:


(M Polkowski18) #13

TDS: http://www.wklej.org/id/1038093/

ADW: http://www.wklej.org/id/1038095/

NowyLOG: http://www.wklej.org/id/1038096/

FSS: http://www.wklej.org/id/1038097/


(Atis) #14

Raport z TDSSKiller chyba nie jest z pierwszego skanowania?

Czy TDSSKiller coś wykrył?

Pobierz i uruchom ESET ServicesRepair

Postępuj zgodnie z zaleceniami programu.

Po restarcie utwórz nowy raport z Farbar Service Scanner

Poza tym brakuje nowego loga z OTL.

Kliknij Skanuj i pokaż nowy log.


(M Polkowski18) #15

TDSSKiller nic nie wykrył. Teraz nawet włączył się bez trybu awaryjnego, tak samo OTL.

Dodane 13.05.2013 (Pn) 18:35

FSS: http://www.wklej.org/id/1038134/

LOG:http://www.wklej.org/id/1038135/

Extras: http://www.wklej.org/id/1038137/


(Atis) #16

To źle że nic nie wykrył, bo rootkit jest nadal aktywny.

Musi być zainfekowany jakiś sterownik systemowy. Czy Panda wykrywa jakiś zainfekowany plik?

Pobierz i uruchom ESET Sirefef Remover

Napisz czy ESET wykrył infekcję.


(M Polkowski18) #17

Wykrył infekcje w C:\Windows\system32\Drivers\netbt.sys, wyleczył to i zrestartował komputer. Teraz już wszystko jest OK. Wielkie dzięki za cierpliwośc, sam bym sobie nie poradził :slight_smile:


(Atis) #18

Pierwszy log z OTL właśnie wskazywał, że ten sterownik jest zainfekowany.

Nie można było naprawić usług, bo rootkit był nadal aktywny.

Ponownie uruchom ESET ServicesRepair i później utwórz log z Farbar Service Scanner.

Uruchom cmd.exe jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

Wklej kolejno komendy i każdą i zatwierdź enterem:

fsutil reparsepoint delete C:\Windows$NtUninstallKB5582$

netsh winsock reset

Kliknij Skanuj i pokaż nowy log z OTL.


(M Polkowski18) #19

ESET nic nie wykrył.

FSS:http://www.wklej.org/id/1038201/

Przy pierwszej komendzie jest “Błąd: Odmowa dostępu”, druga jest ok.

OTL:http://www.wklej.org/id/1038248/

Extras: http://www.wklej.org/id/1038251/


(Atis) #20

Usługi nadal nie zostały naprawione.

Kliknij prawym na ESET ServicesRepair i wybierz uruchom jako administrator.

Pobierz i uruchom GrantPerms 32-bit Version

Do okna programu wklej:

Kliknij Unlock

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.