sfc.sys

Printable View

20.12.2009, 15:31
ddrop4

sfc.sys

Добрый день!
Помогите справиться с программой (возможно трояном) [B]sfc.sys[/B]
AVZ обнаружил что она мешает работе компьютера.
При запуске компьютера выскакивает BSOD.
Думаю что, как и в этой теме нужно прописать те же скрипты [url]http://virusinfo.info/showthread.php?t=50115[/url]
Заранее спасибо!
20.12.2009, 15:33
snifer67

[url]http://virusinfo.info/pravila.html[/url]
20.12.2009, 18:34
ddrop4

не понял смысла данной вами ссылки
20.12.2009, 21:02
thyrex

[QUOTE='ddrop4;540254']не понял смысла данной вами ссылки[/QUOTE]По ссылке - инструкции для выполнения.
20.12.2009, 22:28
ddrop4

Вот логи
[ATTACH]195667[/ATTACH]
[ATTACH]195668[/ATTACH]
[ATTACH]195669[/ATTACH]
20.12.2009, 22:32
Aleksandra

[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
[COLOR="Red"]Обновите базы AVZ и переделайте логи![/COLOR]
20.12.2009, 23:18
ddrop4

обновленные логи:
[ATTACH]195696[/ATTACH]
[ATTACH]195695[/ATTACH]
21.12.2009, 01:28
Aleksandra

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите файл quarantine.zip, используя ссылку [url]http://virusinfo.info/upload_virus.php?tid=64395[/url]

4. Повторите лог [B]virusinfo_syscheck.[/B]
21.12.2009, 14:32
ddrop4

карантин отправил.
вот новый лог:[ATTACH]195922[/ATTACH]
21.12.2009, 14:48
DefesT

В логе чисто. В карантине - [B]Trojan.Win32.Patched.fr[/B]
Проблема решена?
21.12.2009, 15:07
ddrop4

Да проблема решена BSOD не появляется.Огромнейшее спасибо Александре!
21.12.2009, 18:40
Aleksandra

Системный файл C:\WINDOWS\System32\sfcfiles.dll необходимо заменить. Скачайте аттач и распакуйте на место.
22.12.2009, 09:32
ddrop4

Я открыл папку windows, system32 но не обнаружил sfcfiles.dll
есть только sfc.dll, sfc_os.dll, sfcfiles.bak
меняя на имя sfc.dll не меняет
22.12.2009, 09:43
Aleksandra

Не нужно ничего менять! Закиньте этот файл в system32 и все!
23.12.2009, 09:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( AVAST4: Win32:Patched-KP [Trj] )[/LIST][/LIST]