SysFader:iexplore.exe

**Albert B** · 27.10.2010, 21:39

Здравствуйте, уважаемые вирусологи.

Мне выдали ноутбук со словами необходимо переустановить IE и желательно обновить антивирус. Я разумеется взялся за это дело, ведь дело плевое.
В итоге, включаю ноутбук и при открытии IE получаю сообщение:
"SysFader:iexplore.exe"
Инструкция по адресу "0x4334102d" обратилась к пямяти по адресу "0xdb62f37a". Память не может быть "written"
Иногда, не понятно от чего, появляется идентичное сообщение но вместо "written" - "read".
На компьютере также была установлена Opera, при запуске ее выводит сообщение Opera.exe - "Точка входа не найдена"
Точка входа в процедуру SetupDiDestroyDeviceInfoList не найдена в библиотеке DLL SETUPAPI.dll. После нажатия ОК в данном сообщение выводится аналогичное как при открытии IE.
AVZ по началу не открывалось, пришлось запускать в защищенном режиме AVZ. Открыл AVZ просканировал,увидел, что программа рушнулась на тот де файл SETUPAPI.dll. Псоле сканировал другими программами, ну не суть. Витоге я от безисходности или от тупости своей удалил тот как казалось бы на первый взгляд безобидный системный файлик SETUPAPI.dll(при помощи AVZ разумеется, т.к. даже на переименование файла он ругается), что привело к падению ОС.

ОС не запускалась ни в одном режиме, но эту проблему я решил через Лайв СД, т.е. снова закинул файл SETUPAPI.dll, скачанный отсюда http://virusinfo.info/showthread.php?t=16590, предложенный любезным господином MAXIM, за что ему огромная благодарность. Извиняюсь за столь долгое описание проблемы, просто думал, что что-то может из этого пригодиться.
Теперь в безопасном режиме не могу запустить AVP Tool, он просто напросто не запускается, также как и HijackThis(что обычный, что переименнованный).

Могу лишь прикрепить логи от AVZ.
Можно было бы переустановить ОС, но этот выход слишком прост и тривиален.

Прошу помогите.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 27.10.2010, 23:41

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C1626E66-C26B-C628-E1DF-CDACCFA26EE1}');
 QuarantineFile('C:\Program Files\Common Files\goskdl.dll','');
 QuarantineFile('C:\WINDOWS\system32\ozfifr.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\rksldk.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Man-ager\AppCertDlls','DefaultVerifier');
 DeleteFile('C:\WINDOWS\system32\ozfifr.exe');
 DeleteFile('C:\Program Files\Common Files\goskdl.dll');
 DeleteFile('C:\Program Files\Internet Explorer\rksldk.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог ComboFix

**Albert B** · 16.11.2010, 12:10

Сделал и отослал лог AVZ, согласно инструкции.

при запуске ComboFix происходит следующее:

ComboFix ругается на Lava Soft Ad-Aware Live Scaner, хотя я его полностбю удалил, но несмотря на предупреждения ComboFix, я все равно продолжил работу.
Затем появляется окно в котором выводится следующее:
"Please wait
ComboFix is preparing to run

System file is infected!! Attempting to restore
C:\Windows\system32\sfcfiles.dll"
После этого сообщения появляется синий экран смерти и компьютер перезагруается.

В итоге IE заработал, с Opera тоже все впорядке, но вот Google Chrome не работает. Незамедлительно скачал Eset NOD32, он запросил обновления WINDOWS, я их установил, затем Eset NOD32 нашел это: "Win32.Hardpot.AA троянская программа sfcfiles.dll Удаление невозможно".

Прошу помогите.

**thyrex** · 16.11.2010, 20:52

C:\Windows\system32\sfcfiles.dll замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654

Логи новые по правилам сделайте + пробуйте сделать лог ComboFix

**Albert B** · 17.11.2010, 21:39

В инструкции если быть четсным, мне непонятно, что написано. Могу ли я просто копипастом заменить? А если через консоль восстановления, то там непонятно как процесс копирования делать. в интернете нашел какие-то патчи на sfcfiles.dll, скачал, установил все вслепую как маленький котенок...плохо не разбираться в чем - либо, но увы безопастность не моя стезя.(
Кажется консоль восстановления у меня не установлена. Скчал патч с сайта, активировал его, теперь NOD32 не ругается на файл sfcfiles.dll. Патч скачал с этого сайта http://forum.oszone.net/thread-86074.html
Все работает прекрасно ошибка не вылезает, браузеры работают. Скачал обновления.
Запустил ComboFix, теперь он выполнился без проблем.

**Albert B** · 17.11.2010, 21:46

После ComboFix'a к моему удивлению обновился IEдо 8ой версии, хотя до этого никак не получалось, кажется небо становится чище, темный лес расступается, все благодоря Вам.

**thyrex** · 18.11.2010, 02:25

c:\windows\System32\sfcfiles.dll восстановите с дистрибутива

**Albert B** · 19.11.2010, 00:32

Прошу прощения за свою неосведомленность, но где этот великий и могучий дистрибутив находится? Читал инструкцию, я так понял, что необходимо найти аналогичную ОС с одинаковым ServicePack'ом, скопировать оттуда файл и поместить его в папку c:\windows\System32\. Верно ли это?
Мне, к сожалению не очень понятна инструкция по восстановлению системных файлов при помощи консоли восстановления. При проверке ComboFix обнаружил, что у меня отсутствует консоль восстановления и предложил мне ее установить, на что я ответил нет(если я опять же все правильно понял).
Блиииин, повторно, вдУМчиво прочитал инструкцию, понял что не посмотрел здесь. Приду домой проверю, извините за неумение писать лаконичные сообщения. Все будет сделано, я надеюсь в скором времени, т.е. завтра.

С уважением, Albert B.

**Bratez** · 19.11.2010, 02:44

Сообщение от Albert B

найти аналогичную ОС с одинаковым ServicePack'ом, скопировать оттуда файл и поместить его в папку c:\windows\System32\. Верно ли это?

Можно и так, если уверены, что "донор" здоров.

**Albert B** · 24.11.2010, 11:35

Заменил дистрибутив, все браузеры установленные на компьютере раотают без проблем, ошибка обращения к памяти, появлявшаеся ранее, теперь отсутствует. Огромная благодарность Всем кто помог мне в данной ситуации. Вы очень отзывчивые и благородные люди, спасибо.
С благодарностью Albert.

**thyrex** · 24.11.2010, 12:35

Удалите ComboFix

**CyberHelper** · 25.11.2010, 12:35

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 15
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\ozfifr.exe - Backdoor.Win32.Shiz.aco ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.40705, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Rootkit-gen [Rtk] )