Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z sirefef.CH wykrytym przez NOD32 Smart Security

bocian83

Przez bocian83
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

bocian83

bocian83

Opublikowano
Opublikowano

Witam,

Od kilku dni zaobserwowałem pewien problem z komputerem.

 

Mianowicie:

 

W trakcie przeglądania stron internetowych, po kliknięciu na link aby przejść na inną stronę praktycznie za każdym razem wyskakują redirecty na stronę z ramką która wczytuje spam.

Dopiero po odświeżeniu strony pojawia się docelowa strona.

 

Przez pierwsze 3 dni nie miałem nawet czasu się tym zająć.

Jednak kolejnego dnia po 30-40 minutach pracy przeglądarki internet przestawał praktycznie chodzić.

 

Sprawa wygląda identycznie w FireFoxie, Operze.

Internet Explorer to samo.

 

Oczywiście za każdym razem gdy wyskakuje redirect NOD32 Smart Security blokuje trojany które z redirectów próbują wejść.

 

Zacząłem szukać, skanować i znalazłem:

 

Sirefef.CH - zidentyfikowany przez NOD32 Smart Security.

Niestety NOD32 nie może tego usunąć ponieważ plik jest używany przez inny program. NOD proponuje reset komputera i zapewnia, że wówczas infekcja zostanie usunięta. Niestety się tak nie dzieje co sprowadza mnie tutaj ;/

 

 

Sprawa dzieje się na notebooku Dell Vostro 1710 z zainstalowanym systemem Windows 7 64 bitowym.

 

 

Poniżej załączam wymagane logi. Oczywiście stworzone wg. zaleceń.

 

No ja już kombinowałem wszelkimi sposobami.

Przeinstalowanie NOD-a zajęło mi z tym ścierwem ponad godzinę - co chwilę zawiechy itp.

Najnowsza wersja nie daje rady.

 

ESET wydał coś takiego: ESETSirefefRemover - u mnie niestety nie działa.

Szukałem na innych zagranicznych forach - niby komuś udało się to usunąć, ale z dat postów widać, że robili to 2 tygodnie.

Jeśli do poniedziałku tego nie utłukę to robię reinstal systemu. Nie chcę tego robić bo mam od cholery softu do instalacji później a to mi zajmie cały dzień.

OTL.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Poniżej załączam wymagane logi. Oczywiście stworzone wg. zaleceń.

 

Jest wymagany tylko jeden zestaw logów, czyli OTL (zabrakło Extras - opcja "Rejestr - skan dodatkowy" nie została przestawiona na "Użyj filtrowania"). Zbędną nadwyżkę z DDS usuwam.

 

 

Sirefef.CH - zidentyfikowany przez NOD32 Smart Security.

Niestety NOD32 nie może tego usunąć ponieważ plik jest używany przez inny program. NOD proponuje reset komputera i zapewnia, że wówczas infekcja zostanie usunięta. Niestety się tak nie dzieje co sprowadza mnie tutaj ;/

 

Infekcja ZeroAccess niewątpliwa:

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - %SystemRoot%\system32\wshbth.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - %SystemRoot%\system32\wshbth.dll File not found
 
[2011-10-19 00:48:12 | 000,000,000 | ---D | C] -- C:\Windows\system64
[2011-10-19 00:46:07 | 000,000,000 | -HSD | C] -- C:\Users\Bocian\AppData\Local\4f909e1e

 

Rozpocznij od użycia zgodnie z wytycznymi ComboFix. Zaprezentuj raport. Po jego użyciu i tak będzie konieczna reperacja manualna Winsock. Dołącz również nowy raport z OTL (przypominam o Extras), by było jasnym jak wygląda Winsock po użyciu narzędzia.

 

 

ESET wydał coś takiego: ESETSirefefRemover - u mnie niestety nie działa.

 

Jest wyraźnie napisane w przyklejonym temacie jakie platformy są obsługiwane: tylko 32-bit. To narzędzie ESET nie jest przeznaczone na system 64-bit. ZeroAccess na systemie 64-bit nie działa w taki sam sposób jak na systemie 32-bit, nie tworzy zainfekowanych sterowników, zupełnie inna technika działania.

 

Ta infekcja na systemie 64-bit ma o wiele łagodniejszy przebieg niż na systemie 32-bit. Jest możliwe usunięcie tego całkowicie ręcznie nawet bez używania ComboFix, ale narzędzie ComboFix jest tu stosowane na forum dla wygody.

 

 

Szukałem na innych zagranicznych forach - niby komuś udało się to usunąć, ale z dat postów widać, że robili to 2 tygodnie.

 

Tu na forum rozwiązane wszystkie przypadki ZeroAccess na systemie 64-bit np. KLIK / KLIK / KLIK.

 

 

Jeśli do poniedziałku tego nie utłukę to robię reinstal systemu. Nie chcę tego robić bo mam od cholery softu do instalacji później a to mi zajmie cały dzień.

 

Zupełnie nieproporcjonalna akcja.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
Użyłem Combofix-a który troche rzeczy znalazł i automatycznie usunął.

Bynajmniej NOD wirusa już nie widzi i wszystko wróciło do normy.

 

Proszę pokaż log utworzony przy usuwaniu ComboFix oraz nowy log z OTL. Usunięcie przez ComboFix to pierwszy etap, jeszcze cały Winsock wymaga naprawy. Chyba, że posługując się wzornikiem z linków już resetowałeś Protocol i NameSpace.

 

 

P.S. co się wam stało z forum, że nie działało przez kilka dni ?

 

http://www.fixitpc.p...3615#entry43615

Edytowane przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...