Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Trojan.Win32.Sirefef.ag (v)

arthy

Przez arthy
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

arthy

arthy

Opublikowano
Opublikowano

Witam,

Mam problem, ktory nie mam pojecia czy jest powazny - niespecjalnie sie znam. Mianowicie Ad-Aware Antivirus wykryl mi Trojan.Win32.Sirefef.ag (v) w Windows\System32\consrv.dll. Nie podjalem zadnych dzialan, bo nie wiem co robic. Jesli skasuje ten plik systemowy lub dam do kwarantanny jakie to moze miec konsekwencje? Gdzies przeczytalem, ze skasowanie tego pliku nie spowoduje wyzdrowienia systemu, gdyz jakies procesy moga nosic slady infekcji. Przepraszam, ze nie umieszczam zadnych logow, ale musialbym do tego odinstalowac/zablokowac np.: daemona, a do tego potrzebny jest restart, a ja nie wiem czy po restarcie w ogole mi sie komputer uruchomi, a wtedy nie bede mial dostepu do internetu. Co mam dalej robic?

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Mianowicie Ad-Aware Antivirus wykryl mi Trojan.Win32.Sirefef.ag (v) w Windows\System32\consrv.dll. Nie podjalem zadnych dzialan, bo nie wiem co robic. Jesli skasuje ten plik systemowy lub dam do kwarantanny jakie to moze miec konsekwencje?

 

Nie kasuj tego pliku antywirusem, gdyż konsekwencja to niestartujący Windows i niebieski ekran śmierci w pętli. Ten plik jest ładowany przez określoną wartość rejestru, która musi być skorygowana, a zwykle antywirus tego nie robi. Ten trojan musi być potraktowany narzędziem specjalizowanym pod jego kątem.

 

1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie przyznane przez narzędzie i zresetuj system w celu zatwierdzenia leczenia infekcji. Na dysku C powstanie log z usuwania.

 

2. Zrób obowiązkowe tu logi z OTL. Dołącz log z TDSSKiller utworzony w punkcie 1.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Pusty log z Kasperskiego mi nie jest potrzebny, usuwam. Hmmm, skoro zignorowałeś ten wynik w skanerze, a TDSSKiller jej nie wykrył + tu w logu z OTL nie widać wpisu rejestru przez który ładuje się ten plik, to przychodzi na myśl tylko jedno: ta infekcja nie była czynna lub antywirus zapobiegł pełnemu jej wykonaniu. Czy Ad-aware nadal wykrywa ten plik consrv.dll?

 

Oceniając całościowo logi z OTL: na razie nie ma tu nic do roboty.

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Log z Kasperskiego przecież usunęłam celowo, bo raport jest bezużyteczny, a mówiąc "pusty" miałam na myśli = brak wykrytej infekcji. Usuwam ponownie. Nie, ja nie potrzebuję już skanu TDSSKiller.

 

 

Ad-Aware Antivirus nadal wykrywa ten plik jako trojana.

 

Po prostu usuń ten plik za pomocą antywirusa. OTL i TDSSKiller wykazały, że ten plik nie ma wejścia w rejestrze, czyli można go usuwać.

 

 

Moze sprobowac jakies inne narzedzie dedykowane do tego typu infekcji?

 

Nie ma takiej potrzeby.

 

 

.

Odnośnik do komentarza
arthy

arthy

Opublikowano
  • Autor
Opublikowano

Ok, wyglada na to, ze wszystko jest w porzadku plik consrv.dll usunalem, system uruchomil sie normalnie, Ad-Aware Antivirus juz nic nie wykrywa. Nie wiem czy to moze miec zwiazek, ale rozstawily sie klawisze z polskiego-programisty oraz wyskoczyl komunikat, ze "kosz" jest nieprawidlowym miejscem na dysku.

Chcialem jeszcze na koniec zapytac jak to jest, ze skasowanie pliku consrv.dll mogloby spowodowac niestartujacy windows (czyli w domysle bardzo wazny plik), a potem okazuje sie, ze skasowanie go nie ma zadnych konsekwencji.

Z gory dziekuje za odpowiedz i temat do zamkniecia.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Chcialem jeszcze na koniec zapytac jak to jest, ze skasowanie pliku consrv.dll mogloby spowodowac niestartujacy windows (czyli w domysle bardzo wazny plik), a potem okazuje sie, ze skasowanie go nie ma zadnych konsekwencji.

 

arthy, przecież kilka razy tu już mówiłam: w Twoim rejestrze nie było zapisu punktującego ładowanie tego pliku. Ta infekcja nie wyglądała na czynną, dlatego w Twoim szczególnym przypadku plik można było usunąć od razu. Jeśli ta infekcja jest czynna, wtedy log z OTL pokazuje (przykład z forum: KLIK):

 

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=consrv:ConServerDllInitialization,2)

O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

 

U Ciebie była wartość domyślna systemowa:

 

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

 

 

Nie wiem czy to moze miec zwiazek, ale rozstawily sie klawisze z polskiego-programisty oraz wyskoczyl komunikat, ze "kosz" jest nieprawidlowym miejscem na dysku.

 

1. Pod kątem Kosza, Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz te dwie komendy (po każdej ENTER):

 

icacls C:\$Recycle.Bin /grant Wszyscy:F /T

rd /s /q C:\$Recycle.Bin

 

2. Układ klawiaturowy ustaw po prostu w opcjach.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...