вирус SFC.SYS

Printable View

13.05.2009, 10:20
Mishgun

Вложений: 3

вирус SFC.SYS

Добрый день!
Такая проблема - на компьютере при каждой перезагрузке возникает сообщение от нашего антивирусника Dr.Web о вирусном файле:
[I]13-05-2009 11:18:56 [CL] (PID = 0360) C:\WINDOWS\system32\drivers\sfc.sys - инфицирован Trojan.NtRootKit.2713
13-05-2009 11:19:01 [CL] (PID = 0360) C:\WINDOWS\system32\drivers\sfc.sys - удален[/I]

Удаляем его, а при загрузке, в следующий раз, он опять создается и вылазит сообщение от Dr.Web.
Всю систему проверили при помощи свежего CureIt. Ничего.
Также отсоединяли винтчестер и проверяли его Dr.Web с базами от 12 мая. Ничего не обнаруживается, всё чисто.
В реестре в автозагрузке тоже ничего подозрительного не видим.

Думаю что сидит и грузится с системой какая-нибудь DLL, которую Др.Веб не "видит" и она создает SFC.SYS.

Как удалить данный вирус?

PS Да, еще ставили файервол ZoneAlarm, он показал, что в инет сразу же при загрузке ломится файл winlogon.exe по портам 1025-1030.
13.05.2009, 12:04
light59

Отключитесь от сети и выгрузите ваш фаервол и антивирус.

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
Begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

Понаблюдайте за проблемой.
13.05.2009, 15:16
Mishgun

Спасибо. Сделал.
Вроде помогло, посмотрю в ближайшее время.

По факту: эта DLL полностью совпадает по размеру с оригинальной (из папки dllcache), но в ней нет подписи Микрософт.
А так - до байта размер совпадает. И имя соответственно.
Ни один из антивирусников ее не сечёт, пока что, как вирус.
13.05.2009, 15:28
Bratez

[QUOTE=Mishgun;401023]Ни один из антивирусников ее не сечёт, пока что, как вирус.[/QUOTE]
А нам копию не пришлете? ;)
Пожалуйста, по правилам, используя ссылку для загрузки карантина.
14.05.2009, 09:14
Mishgun

Отправил.

[QUOTE]Результат загрузкиФайл сохранён как 090514_091113_sfcfiles_4a0ba7f1947f5.zip
Размер файла 185598
MD5 fcdfbc6223f54ea1bc03d6d5740236bb
Файл закачан, спасибо![/QUOTE]

Вчера на VirusTotal эта DLL обнаруживалась только 4-мя антиврусами из 40.
Сегодня - уже 8 из 40 антивирусов ее видят.
Хотя такие, как Касперский, Др.Веб и НОД пока что не секут ее.
Хотя я им всем ее отправил еще вчера.
14.05.2009, 09:34
PavelA

Это дело надо было через карантин AVZ присылать. ЛК Ваш запрос может и не обработать.
15.05.2009, 09:34
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \sfcfiles.dll - [B]Trojan.Win32.Patched.gs[/B] ( BitDefender: Trojan.Generic.1339854 )[/LIST][/LIST]