Руткит sfc.sys

[lbvecbot]

Здравствуйте!
Почистил на машине temporary internet files и после этого машина стала постоянно вываливаться в BSOD. Анализ краш-дампа показал на недовольство файлом \system32\drivers\sfc.sys, который я удалил и BSOD вроде как прекратились. Машина была жутко провирусована и я ее чистил подручными средствами. Вычистил вроде все, кроме этого: в пространстве ядра постоянно мелькает этот злосчастный sfc.sys, которого на диске нет нигде. соответственно, удалять нечего. снял дамп этого файла, отправил на вирустотал - определился как руткит. помимо него, там же появляется зверь с произвольным набором символов в имени (в логах есть).

Сегодня позвонили и опять жаловались на BSODы. Краш-дампы пока недоступны, но подозреваю, дело опять в sfc.sys

К сожалению, машина не под рукой, доступна мне только вечером. Работоспособность машины - критичная. Пэтому, по возможности, прошу дать совет более развернутый, ибо пошагово проблема будет решаться очень длительно

[PavelA]

В AVZ Файл -- Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\WINDOWS\services.exe');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
 CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=47610

[lbvecbot]

Попробую сходить на обеде. Заранее прошу уточнить пару моментов:

1. Щас посмотрел на своей машине, у меня нет файла sfcfiles.dll в dllcache. Если и на той машине его не будет, то такое переименование не сделает систему неработоспособной? Это очень критично.

2. Возможно ли, в случае чего, выполнить "sfc.exe /scannow" с дистрибутива WinXP SP3 Rus, если на машине стоит WinXP SP2 (предположительно Eng с языковым пакетом)?


P.S. Залил дампы файлов sfc.sys и uze4odkx.sys

[PavelA]

uze4odkx.sys - это хороший файл.

Если нет sfcfiles.dll в dllcache, то можно вытащить его из дистрибутива. Вообще-то там он должен быть. В AVZ поиск по диску можно так проверить.

[lbvecbot]

Почистилось

Теперь подозрение вызывает только IsDrv122.sys, которого также нет по указанному пути, а в пространстве ядра болтается...

Карантин залил. Логи только от AVZ, хайджеком забыл прогнать

[PavelA]

Это драйвер IceSword

Добавлено через 1 минуту

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.

[lbvecbot]

Вот

[Bratez]

Логи чистые.
Рекомендуется установить SP3 и последующие обновления.

[PavelA]

Было удалено:
.ex - Trojan-Clicker.Win32.Delf.cky

Детектирование файла будет добавлено в следующее обновление.

sfcfiles.bak - Trojan.Win32.Patched.fr,
wrZ2tokl.dll - Email-Worm.Win32.Bagle.adw

[lbvecbot]

Огромное спасибо за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\nimecd.ex - Trojan-Clicker.Win32.Delf.cky ( DrWEB: Trojan.Click.22118 )
  2. c:\windows\system32\sfcfiles.bak - Trojan.Win32.Patched.fr
  3. c:\windows\system32\wrz2tokl.dll - Email-Worm.Win32.Bagle.adw ( DrWEB: Trojan.DownLoad.38404 )