Добрый день!
Такая проблема - на компьютере при каждой перезагрузке возникает сообщение от нашего антивирусника Dr.Web о вирусном файле: 13-05-2009 11:18:56 [CL] (PID = 0360) C:\WINDOWS\system32\drivers\sfc.sys - инфицирован Trojan.NtRootKit.2713
13-05-2009 11:19:01 [CL] (PID = 0360) C:\WINDOWS\system32\drivers\sfc.sys - удален
Удаляем его, а при загрузке, в следующий раз, он опять создается и вылазит сообщение от Dr.Web.
Всю систему проверили при помощи свежего CureIt. Ничего.
Также отсоединяли винтчестер и проверяли его Dr.Web с базами от 12 мая. Ничего не обнаруживается, всё чисто.
В реестре в автозагрузке тоже ничего подозрительного не видим.
Думаю что сидит и грузится с системой какая-нибудь DLL, которую Др.Веб не "видит" и она создает SFC.SYS.
Как удалить данный вирус?
PS Да, еще ставили файервол ZoneAlarm, он показал, что в инет сразу же при загрузке ломится файл winlogon.exe по портам 1025-1030.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо. Сделал.
Вроде помогло, посмотрю в ближайшее время.
По факту: эта DLL полностью совпадает по размеру с оригинальной (из папки dllcache), но в ней нет подписи Микрософт.
А так - до байта размер совпадает. И имя соответственно.
Ни один из антивирусников ее не сечёт, пока что, как вирус.
Результат загрузкиФайл сохранён как 090514_091113_sfcfiles_4a0ba7f1947f5.zip
Размер файла 185598
MD5 fcdfbc6223f54ea1bc03d6d5740236bb
Файл закачан, спасибо!
Вчера на VirusTotal эта DLL обнаруживалась только 4-мя антиврусами из 40.
Сегодня - уже 8 из 40 антивирусов ее видят.
Хотя такие, как Касперский, Др.Веб и НОД пока что не секут ее.
Хотя я им всем ее отправил еще вчера.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: