sfc.sys trojan

Printable View

13.07.2009, 02:49
evgeniyk

Вложений: 2

sfc.sys trojan

Пожалуйста помогите избавится от sfc.sys

После каждой перезагрузки НОД выдает окно со следующим:
c:\windows\system32\drivers\sfc.sys
a variant of Win/Agent.PHC trojan
Event occurred on a new file created by the application: \??\C:\WINDOWS\system32\winlogon.exe. The file was moved to quarantine.

Кроме этого какая-то программа посылает запрос на подключение к интернету - конкретно к local-port-connect.com

Так же я удалил из файла хостов следующее (после того как увидел эти записи в virusinfo_syscure.htm)

94.198.53.165 vkontakte.ru
94.198.53.165 [URL="http://www.vkontakte.ru"]www.vkontakte.ru[/URL]
94.198.53.165 win.mail.ru
94.198.53.165 [URL="http://www.win.mail.ru"]www.win.mail.ru[/URL]
94.198.53.165 odnoklassniki.ru
94.198.53.165 [URL="http://www.odnoklassniki.ru"]www.odnoklassniki.ru[/URL]
94.198.53.165 passport.yandex.ru
94.198.53.165 [URL="http://www.passport.yandex.ru"]www.passport.yandex.ru[/URL]
94.198.53.165 mail.yandex.ru
94.198.53.165 [URL="http://www.mail.yandex.ru"]www.mail.yandex.ru[/URL]

Спасибо!
13.07.2009, 07:12
Bratez

Вместо [I]virusinfo_cure.zip [/I]должен быть [I]virusinfo_[B]syscure[/B].zip[/I].
13.07.2009, 20:57
evgeniyk

Вложений: 1

добавляю файл
13.07.2009, 20:59
evgeniyk

кроме этого в безопасном режиме виндоус вообще не загружается - синий экран
13.07.2009, 21:10
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfc.sys','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\System32\kernel32.dll','');
DeleteFile('C:\WINDOWS\System32\sfc.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
13.07.2009, 21:30
evgeniyk

090713_212823_virus_4a5b6eb800f28.zip
13.07.2009, 22:27
evgeniyk

Вложений: 3

свежие логи
(нод уже не ругается и я могу загрузаться в безопасном режиме! :) )
13.07.2009, 22:54
evgeniyk

а почему нужно было удалять sfcfiles.dll - в логах его не нашел.. это из личного опыта? или есть список связанных файлов вирусов?
спасибо
13.07.2009, 23:38
thyrex

sfc.sys тоже в логах не было, но это точно не был системный файл

Детект моего Касперского
[QUOTE]C:\WINDOWS\System32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B][/QUOTE]

Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Установите Adobe Acrobat 9.1 или удалите старый
Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java[/URL]
16.07.2009, 00:36
evgeniyk

Большое спасибо за быструю помощь и пояснения
17.07.2009, 00:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B][/LIST][/LIST]