-
Junior Member
- Вес репутации
- 55
Зависание при срабатывании MBAM на файл sfc.sys
При загрузке срабатывает Malwarebytes' Anti-Malware с жалобой на sfc.sys.
В безопасном режиме отключил MBAM, работоспособность системы возобновилась, но есть подзрение, что трафик использует какая-то программа несанкционированно, и плюс возможно кто-то перехватывает мои пароли на сайтах.
Прошу помощи от спецов.
Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\GPU-Z.sys','');
QuarantineFile('c:\program files\mozilla firefox\setupapi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
DeleteFile('c:\program files\mozilla firefox\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Установлена ли у Вас Opera?
- Сделайте лог МВАм
-
-
Junior Member
- Вес репутации
- 55
Опера не установлена, пользуюся мозиллой и в редком случае IE.
-
Ждем лог МВАМ
Сообщение от
andy_rzd
Опера не установлена,
Проверьте на всякий случай, нет ли в системе этого файла c:\program files\Opera\setupapi.dll
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Сделал лог MBAM.
Папки c:\program files\opera нет, но setupapi.dll находится в c:\windows\system32 и в E:\ во многих местах.
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
end else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Файл avz.log из папки с АВЗ прикрепите к следующему сообщению
-
-
Junior Member
- Вес репутации
- 55
После выполнения скрипта пошла перезагрузка, но прервалась синим экраном. Сделал резет, после загрузки антивирь ругался на sfc.sys. Антивирь я отключил.
-
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Возьмите у меня файл из вложений, распакуйте и поместите по следующим путям - C:\WINDOWS\System32\ и C:\WINDOWS\System32\dllcache\
Последний раз редактировалось olejah; 29.10.2010 в 18:16.
-
-
Junior Member
- Вес репутации
- 55
Файл из вложения заменил.
-
Выполните скрипт в АВЗ -
Код:
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных') else
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
AddToLog('%windir%\system32\dllcache\sfcfiles.dll прошел по базе безопасных') else
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
SaveLog(GetAVZDirectory + 'avz2.log');
end.
- Файл avz2.log из папки с АВЗ прикрепите к следующему сообщению
-
-
Junior Member
- Вес репутации
- 55
-
Сейчас беспокоит что-нибудь?
-
-
Junior Member
- Вес репутации
- 55
Ну попробую перезагрузку, прогоню все.
По первым ощущениям - вроде пошустрее стало.
Все нормализовалось, спасибо за содействие.
Последний раз редактировалось andy_rzd; 12.09.2010 в 22:43.
Причина: Проверено после лечения.
-
Junior Member
- Вес репутации
- 55
Думаю можно поставить статус вылечено.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\sfcfiles.bak - Trojan-Spy.Win32.Agent.bjwk ( DrWEB: Trojan.WinSpy.925, BitDefender: Gen:Variant.Kazy.5984, NOD32: Win32/Hodprot.AA trojan, AVAST4: Win32:Small-NTF [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-