Показано с 1 по 7 из 7.

Вирус sfc.sys (заявка № 50115)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    3
    Вес репутации
    31

    Exclamation Вирус sfc.sys

    Доброго времени суток!

    Помогите справиться с трояном(?) в sfc.sys.

    При каждой перезагрузке NOD сообщает :
    c:\windows\system32\drivers\sfc.sys
    a variant of Win/Agent.PHC trojan
    Event occurred on a new file created by the application: \??\C:\WINDOWS\system32\winlogon.exe. The file was moved to quarantine.


    Нашёл на форуме описание аналогичной проблемы и удалил из файла хостов всё, что там было и вписал :

    127.0.0.1 localhost


    Помимо сообщений NOD'а, виндоуз в безопасном режиме не загружается - синий экран после загрузки файлов : SPTD.sys и Vax347b.sys


    Быстрая проверка не в безопастном режиме Dr.Web CureIt! v.5 показала наличие трояна (имя не запомнил, логи не сохранил) в winlogon.exe и удалила его.


    После этого в файл хостов после перезагрузок ничего не вписывается (остаётся запись : 127.0.0.1 localhost)

    Но NOD продолжает ругаться на троян в c:\windows\system32\drivers\sfc.sys

    И при попытке загрузить винду в сейфмоде - всё равно возникает синий экран.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Пофиксите в Hijackthis:
    Код:
    R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
     DeleteService('msupdate');
     DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
     DeleteFile('c:\windows\system32\mssrv32.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('msupdate');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузиться!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
    Сделайте новые логи по правилам.

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    3
    Вес репутации
    31
    Карантин отправил :
    Файл сохранён как : 090716_230747_virus_4a5f7a830d3ac.zip
    Размер файла : 821735
    MD5 : c0ca5a5999a21f86834c90cac9edbcb2


    Новые логи :
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    270
    Что с проблемой, безопасный режим работает?
    выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys ',' ');
    QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak',' ');
    DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys ');
    RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
    CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(10);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузиться!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы.
    Сделайте новые логи по правилам
    Последний раз редактировалось DefesT; 17.07.2009 в 10:08. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    16.07.2009
    Сообщений
    3
    Вес репутации
    31
    Карантин отправил:
    Файл сохранён как 090717_133437_virus_4a6045ad92306.zip
    Размер файла 1175
    MD5 48f0b7ff6af5e2a87359296d49a75ccb

    По описанному здесь способу очистил кэш FIREFOX'а и выполнил действия описанные в части Рутина cleanmgr. Потом выполнил предложенный Вами скрипт в AVZ. После этого во время перезагрузки сработал скандиск на диск D. Проверял долго, судя по записям восстанавливал некоторые файлы. Но сейчас вроде всё работает нормально.

    Виндоуз теперь может загружаться в сейфмоде. Быстрая проверка в сейфмоде Dr. Web CureIt! ничего не находит. NOD перестал ругаться при запуске.


    Похоже, что это всё. Спасибо!

    логи:
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,705
    Вес репутации
    2833
    Ничего зловредного в логах нет.
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 12
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Den1984, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01164 seconds with 16 queries