Zdravím,
již několik let pracuji jako programátor a jsem si tedy vědom všemožných hrozeb, které se na internetu vyskytují (přesto antivir nepoužívám).
Dnes jsem si potřeboval stáhnout teamspeak, takže normálka .. google "ts 3" -> teamspeak.com -> download ... stáhla se mi binárka 3.0.5_gamed_win64.exe (503 kB - podezřele málo, myslel jsems i ale, že je to takový ten hnus, jako má adobe při instalaci flashplayeru). Ukázalo se, že nikoliv. U oficiálního mirroru teamspeaku jsem to skutečně nečekal. Soubor pochází ze stránek http://www.leasecompare.com (normálně jsem klik na stránkách teamspeaku na link, rovnou mi to hodilo binárku). (virustotal analýza - https://www.virustotal.com/file/52eba76 ... 333205905/ )
Za chvíli koukám, že mám vytížení 4jader na 90%, přitom nic nedělám. Vydím asi 15 iexplore.exe procesů (IEčka), tak je zabiju pár dalších divných (když jsem je zabil a koukal na file location, tak už tam soubor nebyl - moje chyba). Teď se čas od času nahodí ping.exe (legitimní windowsácký ping.exe). Proces jsem si dumpnul do souboru a prozkoumal. Ukázalo se, že "někdo" pustil ping.exe -t http://tang0-hotel1.com:8344.
Má někdo zkušenosti s kompletním odstraněním takového šmejda? Obvykle když se stane podobný incident (nebo prostě preventivně jednou za půl roku) mažu disk a reinstaluji windows "od podlahy", ale teď mě dost tlačí čas a nemohu si dovolit ztratit celý den instalovací windowsů a tun softwaru, se kterým pracuji atp. Zatím jsem se jen odpojil od sítě a pracuji dál.
Děkuji za tipy (pokud to nebude "omfg omfg ty nemas antivir omfg")!
S pozdravem,
MailINator
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Win32:Sirefef-RZ [Drp]
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
-
mailinator
- Návštěvník
- Příspěvky: 2
- Registrován: 31 bře 2012 16:01
Re: Win32:Sirefef-RZ [Drp]
Tak děkuju za rady 
V době psaní příspěvku jsem akorát doinstaloval avasta a pustil scan během bootu windowsů (už na mě vyskočilo snad 6 objektů infikovaných sirefefem) .. a jak tak pročítám, co ta mrcha, co jsem chytil, všechno provádí, tak asi přeci jen bude (i pro mé lepší spaní 
) lepší, když to celé reinstalnu (on už se ten preventivní půlrok stejně blížil). Podstatná data pro práci mám readonly jinde, tak to už nějak zmáknu.
Každopádně mnohokrát děkuji za bleskovou reakci!
V době psaní příspěvku jsem akorát doinstaloval avasta a pustil scan během bootu windowsů (už na mě vyskočilo snad 6 objektů infikovaných sirefefem) .. a jak tak pročítám, co ta mrcha, co jsem chytil, všechno provádí, tak asi přeci jen bude (i pro mé lepší spaní ) lepší, když to celé reinstalnu (on už se ten preventivní půlrok stejně blížil). Podstatná data pro práci mám readonly jinde, tak to už nějak zmáknu.Každopádně mnohokrát děkuji za bleskovou reakci!
Přispějete na provoz fóra?