-
Junior Member
- Вес репутации
- 50
SysFader:iexplore.exe
Здравствуйте, уважаемые вирусологи.
Мне выдали ноутбук со словами необходимо переустановить IE и желательно обновить антивирус. Я разумеется взялся за это дело, ведь дело плевое.
В итоге, включаю ноутбук и при открытии IE получаю сообщение:
"SysFader:iexplore.exe"
Инструкция по адресу "0x4334102d" обратилась к пямяти по адресу "0xdb62f37a". Память не может быть "written"
Иногда, не понятно от чего, появляется идентичное сообщение но вместо "written" - "read".
На компьютере также была установлена Opera, при запуске ее выводит сообщение Opera.exe - "Точка входа не найдена"
Точка входа в процедуру SetupDiDestroyDeviceInfoList не найдена в библиотеке DLL SETUPAPI.dll. После нажатия ОК в данном сообщение выводится аналогичное как при открытии IE.
AVZ по началу не открывалось, пришлось запускать в защищенном режиме AVZ. Открыл AVZ просканировал,увидел, что программа рушнулась на тот де файл SETUPAPI.dll. Псоле сканировал другими программами, ну не суть. Витоге я от безисходности или от тупости своей удалил тот как казалось бы на первый взгляд безобидный системный файлик SETUPAPI.dll(при помощи AVZ разумеется, т.к. даже на переименование файла он ругается), что привело к падению ОС.
ОС не запускалась ни в одном режиме, но эту проблему я решил через Лайв СД, т.е. снова закинул файл SETUPAPI.dll, скачанный отсюда http://virusinfo.info/showthread.php?t=16590, предложенный любезным господином MAXIM, за что ему огромная благодарность. Извиняюсь за столь долгое описание проблемы, просто думал, что что-то может из этого пригодиться.
Теперь в безопасном режиме не могу запустить AVP Tool, он просто напросто не запускается, также как и HijackThis(что обычный, что переименнованный).
Могу лишь прикрепить логи от AVZ.
Можно было бы переустановить ОС, но этот выход слишком прост и тривиален. Прошу помогите.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C1626E66-C26B-C628-E1DF-CDACCFA26EE1}');
QuarantineFile('C:\Program Files\Common Files\goskdl.dll','');
QuarantineFile('C:\WINDOWS\system32\ozfifr.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\rksldk.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Man-ager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\ozfifr.exe');
DeleteFile('C:\Program Files\Common Files\goskdl.dll');
DeleteFile('C:\Program Files\Internet Explorer\rksldk.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сделал и отослал лог AVZ, согласно инструкции.
при запуске ComboFix происходит следующее:
ComboFix ругается на Lava Soft Ad-Aware Live Scaner, хотя я его полностбю удалил, но несмотря на предупреждения ComboFix, я все равно продолжил работу.
Затем появляется окно в котором выводится следующее:
"Please wait
ComboFix is preparing to run
System file is infected!! Attempting to restore
C:\Windows\system32\sfcfiles.dll"
После этого сообщения появляется синий экран смерти и компьютер перезагруается.
В итоге IE заработал, с Opera тоже все впорядке, но вот Google Chrome не работает. Незамедлительно скачал Eset NOD32, он запросил обновления WINDOWS, я их установил, затем Eset NOD32 нашел это: "Win32.Hardpot.AA троянская программа sfcfiles.dll Удаление невозможно".
Прошу помогите.
Последний раз редактировалось Albert B; 16.11.2010 в 12:16.
-
C:\Windows\system32\sfcfiles.dll замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654
Логи новые по правилам сделайте + пробуйте сделать лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
В инструкции если быть четсным, мне непонятно, что написано. Могу ли я просто копипастом заменить? А если через консоль восстановления, то там непонятно как процесс копирования делать. в интернете нашел какие-то патчи на sfcfiles.dll, скачал, установил все вслепую как маленький котенок...плохо не разбираться в чем - либо, но увы безопастность не моя стезя.(
Кажется консоль восстановления у меня не установлена. Скчал патч с сайта, активировал его, теперь NOD32 не ругается на файл sfcfiles.dll. Патч скачал с этого сайта http://forum.oszone.net/thread-86074.html
Все работает прекрасно ошибка не вылезает, браузеры работают. Скачал обновления.
Запустил ComboFix, теперь он выполнился без проблем.
-
Junior Member
- Вес репутации
- 50
После ComboFix'a к моему удивлению обновился IEдо 8ой версии, хотя до этого никак не получалось, кажется небо становится чище, темный лес расступается, все благодоря Вам.
-
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Прошу прощения за свою неосведомленность, но где этот великий и могучий дистрибутив находится? Читал инструкцию, я так понял, что необходимо найти аналогичную ОС с одинаковым ServicePack'ом, скопировать оттуда файл и поместить его в папку c:\windows\System32\. Верно ли это?
Мне, к сожалению не очень понятна инструкция по восстановлению системных файлов при помощи консоли восстановления. При проверке ComboFix обнаружил, что у меня отсутствует консоль восстановления и предложил мне ее установить, на что я ответил нет(если я опять же все правильно понял).
Блиииин, повторно, вдУМчиво прочитал инструкцию, понял что не посмотрел здесь. Приду домой проверю, извините за неумение писать лаконичные сообщения. Все будет сделано, я надеюсь в скором времени, т.е. завтра.
С уважением, Albert B.
Последний раз редактировалось Albert B; 19.11.2010 в 00:33.
Причина: исправление текста
-
Сообщение от
Albert B
найти аналогичную ОС с одинаковым ServicePack'ом, скопировать оттуда файл и поместить его в папку c:\windows\System32\. Верно ли это?
Можно и так, если уверены, что "донор" здоров.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Заменил дистрибутив, все браузеры установленные на компьютере раотают без проблем, ошибка обращения к памяти, появлявшаеся ранее, теперь отсутствует. Огромная благодарность Всем кто помог мне в данной ситуации. Вы очень отзывчивые и благородные люди, спасибо.
С благодарностью Albert.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ozfifr.exe - Backdoor.Win32.Shiz.aco ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.40705, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
-