Помогите, файл mssfc.dill не лечится и не удаляется

**helen borodina** · 02.08.2010, 04:24

Здравствуйте! Могу ли я отправить файл C:/WINDOWS/System32/sfcfiles.dill заархивированный в AVZ? Есть отчет где-то и RSIT. Думаю, у меня типичная ситуация, все, что нашла везде по теме прочитала, началось с невозможности удалить или вылечить sistem32/mssfc.dil.Я его проверила вроде на VirusInfo, ничего не обнаружено. Стоит Касперский.

Добавлено через 1 час 36 минут

Спасибо огромное за этот сайт! У меня все получилось после того как отправила по ссылке Прислать запрошенный карантин. Только не знаю, надо ли удалять из sistem32 sfcfiles.bak - так он теперь выглядит и что делать дальше? mssfc.dill удалился, как я поняла, он был создан зараженным файлом sfcfiles.dill.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 02.08.2010, 06:37

сделайте комплект логов

**helen borodina** · 02.08.2010, 14:47

Отправляю логи. Не уверена, что провильно подльзуюсь опциями при отправке...

**polword** · 02.08.2010, 15:25

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll (file missing)
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll (file missing)

2.Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(16);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 RebootWindows(true);
end.

После перезагрузки:
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**helen borodina** · 02.08.2010, 18:09

Профиксила, выполнила скрипт, карантин пустой, наверное, потому что я самостоятельно до диагностики прочитала на форуме по этой теме и скопировала скрипт(в чужой, похожей теме) по лечению файла sistem32/sfcfiles.dill, отправила на карантин, файл sistem32/mssfc.dill удалился, а файл sfcfiles.dill превратился в sfcfiles.bak. Потом я запустила Касперского (после своего диагностического отчета, до того, как получила ваши инструкции), и этот bak тоже удалился. Потом я проделала то, что вы мне написали. Отправляю логи.

**helen borodina** · 02.08.2010, 18:14

Извините, что не сразу отвечаю, т.к. долго все делаю и от переутомления допускаю ошибки! Спасибо за помощь!

**polword** · 02.08.2010, 23:45

для полной уверенности пришлите файл C:\WINDOWS\system32\sfcfiles.dll запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

**helen borodina** · 05.08.2010, 00:31

Я его уже этот файл отправляла самостоятельно вам на карантин, после чего файл sistem32/mssfc.dill изчез (с него все и началось, он не лечился и не удалялся), а файл sistem32/sfcfiles.dill превратился в sfcfiles.bak, а когда я запустила проверку Касперским, он вообще изчез, и теперь его нет. Вообще, после всего, что вы мне сказали сделать, комп стал значительно лучше соображать, ничего не виснет, думаю, все чисто! Где-то я прочитала, что sistem32/sfcfiles.dill надо вернуть, т.к. это системный файл (найти резервную копию), а где-то написано его удалить и все, у меня он сам удалился, вернее Касперский его удалил... Не знаю, что делать. Благодарю вас за помощь!

**polword** · 05.08.2010, 23:49

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 if CheckFile('%System32%\dllcache\sfcfiles.dll')=3 then 
    CopyFile('%System32%\dllcache\sfcfiles.dll', '%System32%\sfcfiles.dll');
 QuarantineFile('%System32%\sfcfiles.dll',''); BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог MBAM

**helen borodina** · 06.08.2010, 20:07

Все сделала, отправляю лог.

**Никита Соловьев** · 06.08.2010, 20:09

Это:

Код:

HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\Первая Леди\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

Можете удалить в МВАМ.

Что с проблемой?

**helen borodina** · 06.08.2010, 20:42

Куда вставить этот код? Я уже удалила лог, который отправила. В МВАМ ничего не удаляла.

**Никита Соловьев** · 06.08.2010, 20:45

Их вставлять никуда не надо.

как удалить в МВАМ

**helen borodina** · 06.08.2010, 21:57

Все сделала,удалила то, что указано, вот отправляю лог. Спасибо большое! Будте здоровы!
Проблем-то нет, мне кажется... Все делаю, что вы мне пишете!

**polword** · 06.08.2010, 22:22

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.

**helen borodina** · 06.08.2010, 22:49

Пожалуйста, ответьте! Пока понять сложно для меня... Скопировать весь текст кроме шапки этого файла и вставить в поле "выполнить скрипт"? Или определенный текст? Help!!!

**polword** · 06.08.2010, 23:00

Сообщение от helen borodina

Скопировать весь текст кроме шапки этого файла и вставить в поле "выполнить скрипт"

- да

**helen borodina** · 07.08.2010, 00:50

Спасибо огромное!

Добавлено через 1 час 23 минуты

Все получилось, установила все обновления, проверила!

Мне очень радостно!

Спасибо, что вы есть!

**CyberHelper** · 08.08.2010, 00:50

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bigl ( DrWEB: Trojan.WinSpy.921, BitDefender: Gen:Variant.Patched.1, AVAST4: Win32:Patched-OT [Trj] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Помогите, файл mssfc.dill не лечится и не удаляется (заявка № 84344)

Опции темы

Помогите, файл mssfc.dill не лечится и не удаляется

Итог лечения

Похожие темы

Не могу вылечить файл mssfc.dll

Не лечится,не удаляется (заявка №51154)

Он вообще не лечится и не удаляется. (заявка №31343)

Не удаляется mssfc.dll

svchost.exe Не удаляется и не лечится!

Ваши права в разделе