Вирус в C:\WINDOWS\system32\sfcfiles.dll

[Amadeus]

Антивирус ESET NOD при включении системы видит этот вирус, а при сканировании игнорирует. Проблема в следующем: 1)не включается ни один файл, который стоит не впервом ряду в папке или на рабочем столе; 2) на екране появляются разноцветные горизонтальные полоски в виде столбиков; 3) постоянно антивирус показывает три вируса в одинаковой последовательности; 4) при выполнении chkdsk/f при перезагрузке системы не выполняется исправление, останавливаясь на полпути.

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 TerminateProcessByName('c:\documents and settings\all users\application data\svchоst.exe');  
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('mojgvswt.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\svchоst.exe','');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\svchоst.exe');
 DeleteFile('mojgvswt.dll');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');  
 DeleteFile('%system32%\mojgvswt.dll');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Какие браузеры, кроме ИЕ установлены?

[Amadeus]

Выполнил скрипты, но не могу найти в начале темы Прислать запрошенный карантин. Кроме IE пользуюсь Opera и есть Mozilla Firefox и Google Grome.

[olejah]

Файл C:\WINDOWS\system32\sfcfiles.dll замените чистым с дистрибутива.

В папках Opera и Mozilla Firefox, поищите файл setupapi.dll, если найдёте - удалите.

Сделайте новые логи

[thyrex]

А также

Сделайте лог ComboFix

[Amadeus]

В папках Opera и Mozilla Firefox, файла setupapi.dll не нашлось, он нашелся в карантине Dr. Web CureIt. Воспользоватся дистрибутивом мне не удалось, так как: 1. на системном диске папок %systemroot%\system32\dllcache или %systemroot%\ServicePackFiles\i386 не обнаружено., 2. нет возможности найти аналогичной здоровой системы, в силу того, что не очень уверен, что система-донор имеет тот же самый язык и тот же самый установленный сервис пак, что и больная система., 3. (Замену файла можно иногда произвести в безопасном режиме. Если это невозможно - то с любого Live CD (BartPE, Knoppix) либо в консоли восстановления) и воспользоваться дистрибутивом системы- эти варианты для меня слишко сложны. Если можно поподробней. Пожалуйста!!!dash3:

[Bratez]

Нужный файл в приложенном архиве.

%systemroot% - это в Вашем случае C:\WINDOWS.

[thyrex]

И лог ComboFix не забудьте сделать

[Amadeus]

Извините за опоздание! Я проделал все, что здесь мне посоветовали, сообщений о вирусах NOD уже не выдавал, но проблема с полосками на экране и бегающие ярлыки остались. На сервисе проблему с полосками на экране и бегающими ярлыками устранили путем замены видеокарты, хотя я это приписывал вирусам. Не знаю, может “развели”, но компютер стал заметно тише работать. Ну, и для полного спокойствия поменяли ОС. Жаль многих программ, но... Спасибо всем за помощь!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\all users\\application data\\svchоst.exe - Trojan-Clicker.Win32.Delf.eqk ( DrWEB: Trojan.Click1.34303, BitDefender: Trojan.Generic.5115215, AVAST4: Win32:Dropper-gen [Drp] )