Вирус sfc.sys

Доброго времени суток!

Помогите справиться с трояном(?) в sfc.sys.

При каждой перезагрузке NOD сообщает :
c:\windows\system32\drivers\sfc.sys
a variant of Win/Agent.PHC trojan
Event occurred on a new file created by the application: \??\C:\WINDOWS\system32\winlogon.exe. The file was moved to quarantine.


Нашёл на форуме описание аналогичной проблемы и удалил из файла хостов всё, что там было и вписал :

127.0.0.1 localhost


Помимо сообщений NOD'а, виндоуз в безопасном режиме не загружается - синий экран после загрузки файлов : SPTD.sys и Vax347b.sys


Быстрая проверка [B]не в безопастном режиме[/B] Dr.Web CureIt! v.5 показала наличие трояна (имя не запомнил, логи не сохранил) в winlogon.exe и удалила его.


После этого в файл хостов после перезагрузок ничего не вписывается (остаётся запись : 127.0.0.1 localhost)

Но NOD продолжает ругаться на троян в c:\windows\system32\drivers\sfc.sys

И при попытке загрузить винду в сейфмоде - всё равно возникает синий экран.

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в [U]Hijackthis[/U]:[CODE]R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в [U]AVZ[/U]:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
DeleteService('msupdate');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('c:\windows\system32\mssrv32.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('msupdate');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Очистите временные папки интернета.
Сделайте новые логи по правилам.

Карантин отправил :
[LEFT] [B]Файл сохранён как[/B] : 090716_230747_virus_4a5f7a830d3ac.zip
[/LEFT]
[B]Размер файла[/B] : 821735
[B]MD5[/B] : c0ca5a5999a21f86834c90cac9edbcb2


Новые логи :

Что с проблемой, безопасный режим работает?
выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak',' ');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин [/B][/COLOR]вверху темы.
Сделайте новые логи по правилам

Карантин отправил:
[B]Файл сохранён как[/B] 090717_133437_virus_4a6045ad92306.zip
[B]Размер файла[/B] 1175
[B]MD5[/B] 48f0b7ff6af5e2a87359296d49a75ccb

По описанному [URL="http://virusinfo.info/showthread.php?t=10025"]здесь способу[/URL] очистил кэш FIREFOX'а и выполнил действия описанные в части [B]Рутина cleanmgr[/B]. Потом выполнил предложенный Вами скрипт в AVZ. После этого во время перезагрузки сработал скандиск на диск D. Проверял долго, судя по записям восстанавливал некоторые файлы. Но сейчас вроде всё работает нормально.

Виндоуз теперь может загружаться в сейфмоде. Быстрая проверка в сейфмоде [B]Dr. Web CureIt![/B] ничего не находит. NOD перестал ругаться при запуске.


Похоже, что это всё. Спасибо!

логи:

Ничего зловредного в логах нет.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]