Руткит sfc.sys

Здравствуйте!
Почистил на машине temporary internet files и после этого машина стала постоянно вываливаться в BSOD. Анализ краш-дампа показал на недовольство файлом \system32\drivers\sfc.sys, который я удалил и BSOD вроде как прекратились. Машина была жутко провирусована и я ее чистил подручными средствами. Вычистил вроде все, кроме этого: в пространстве ядра постоянно мелькает этот злосчастный sfc.sys, которого на диске нет нигде. соответственно, удалять нечего. снял дамп этого файла, отправил на вирустотал - определился как руткит. помимо него, там же появляется зверь с произвольным набором символов в имени (в логах есть).

Сегодня позвонили и опять жаловались на BSODы. Краш-дампы пока недоступны, но подозреваю, дело опять в sfc.sys

К сожалению, машина не под рукой, доступна мне только вечером. Работоспособность машины - критичная. Пэтому, по возможности, прошу дать совет более развернутый, ибо пошагово проблема будет решаться очень длительно :(

В AVZ Файл -- Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\system32\wrZ2tokl.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\services.exe');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=47610[/url]

Попробую сходить на обеде. Заранее прошу уточнить пару моментов:

1. Щас посмотрел на своей машине, у меня нет файла sfcfiles.dll в dllcache. Если и на той машине его не будет, то такое переименование не сделает систему неработоспособной? Это очень критично.

2. Возможно ли, в случае чего, выполнить "sfc.exe /scannow" с дистрибутива WinXP SP3 Rus, если на машине стоит WinXP SP2 (предположительно Eng с языковым пакетом)?


P.S. Залил дампы файлов sfc.sys и uze4odkx.sys

uze4odkx.sys - это хороший файл.

Если нет sfcfiles.dll в dllcache, то можно вытащить его из дистрибутива. Вообще-то там он должен быть. В AVZ поиск по диску можно так проверить.

Почистилось :)

Теперь подозрение вызывает только IsDrv122.sys, которого также нет по указанному пути, а в пространстве ядра болтается...

Карантин залил. Логи только от AVZ, хайджеком забыл прогнать :(

Это драйвер IceSword

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\wrZ2tokl.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.

Вот

Логи чистые.
Рекомендуется установить SP3 и последующие обновления.

Было удалено:
.ex - Trojan-Clicker.Win32.Delf.cky

Детектирование файла будет добавлено в следующее обновление.

sfcfiles.bak - Trojan.Win32.Patched.fr,
wrZ2tokl.dll - Email-Worm.Win32.Bagle.adw

Огромное спасибо за помощь! :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\nimecd.ex - [B]Trojan-Clicker.Win32.Delf.cky[/B] ( DrWEB: Trojan.Click.22118 )[*] c:\windows\system32\sfcfiles.bak - [B]Trojan.Win32.Patched.fr[/B][*] c:\windows\system32\wrz2tokl.dll - [B]Email-Worm.Win32.Bagle.adw[/B] ( DrWEB: Trojan.DownLoad.38404 )[/LIST][/LIST]