Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] SFC.sys (http://forum.oszone.net/showthread.php?t=168497)

Цигане карлики 25-02-2010 14:19 1355641
SFC.sys
 
Вложений: 1
Примерно такая проблема, как и товарища тут http://forum.oszone.net/thread-167337.html
Только SP3 у меня. Доктор веб обнаружил sfc длл какую-то и убил при безопасном режиме. Все пришло в норму большое спасибо.

thyrex 25-02-2010 14:50 1355670
Скачайте AVZ 4.32, обновите его базы и сделайте новые логи

Цигане карлики 25-02-2010 15:26 1355686
При попытке обновить AVZ 4.32 Rus выдаёт ошибку.
Цитата:
Ошибка в ходе автоматического обновления. Ошибка загрузки файлов с описанием обновления avzupd.zip с http://www.z-oleg.com/secur/avz_up/ [21. 00002EFD]
На сайт зайти тоже не могу

Drongo 25-02-2010 15:53 1355708
Цигане карлики, Скачайте отсюда, база от 20 января 2010 года.

Цигане карлики 25-02-2010 16:27 1355734
Вложений: 1
Новые логи.

thyrex 25-02-2010 17:02 1355766
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\blphct8dj0eg4p.scr','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuw11.sys','');
 DeleteService('Winuw11');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuv55.sys','');
 DeleteService('Winuv55');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winuq11.sys','');
 DeleteService('Winuq11');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winte44.sys','');
 DeleteService('Winte44');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winqk11.sys','');
 DeleteService('Winqk11');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winkg33.sys','');
 DeleteService('Winkg33');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winft55.sys','');
 DeleteService('Winft55');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Windn00.sys','');
 DeleteService('Windn00');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winak88.sys','');
 DeleteService('Winak88');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winak88.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Windn00.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winft55.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkg33.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winqk11.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winte44.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuq11.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuv55.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winuw11.sys');
 DeleteFile('C:\WINDOWS\system32\blphct8dj0eg4p.scr');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Обновите базы AVZ (уже должно получиться)
Сделайте новые логи

Цигане карлики 25-02-2010 19:57 1355906
Вложений: 1
avz обновился

письмо
Цитата:
Hello,

This message has been generated by the automated submission tracking system. If we already detect these files, the message below tells you how we identify this threat. Your submission will be passed to a virus analyst.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini,
bcqr00011.ini,
bcqr00012.ini,
bcqr00013.ini,
bcqr00014.ini,
bcqr00015.ini,
bcqr00016.ini,
bcqr00017.ini,
bcqr00018.ini,
bcqr00019.ini,
bcqr00020.ini,
bcqr00021.ini,
bcqr00022.ini,
bcqr00023.ini,
bcqr00024.ini,
bcqr00025.ini,
bcqr00026.ini

These files are being processed.

Best regards, Kaspersky Lab

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com

thyrex 25-02-2010 22:07 1355998
Что с проблемой?

Цигане карлики 25-02-2010 23:38 1356079
sfc.sys при загрузке пропал, BSOD 0x1000008e тоже.
avz обновляет.
На сайты антивирусов и помощи тоже начал заходить (на Касперского заходил даже с проблемой).

Если больше ничего не видно, значит решено. Огромное спасибо!


З. Ы. Отличный у вас сайт, еще раз спасибо. Нигде не мог найти инфы про этот sfc.sys не то что помощи.

Drongo 25-02-2010 23:55 1356098
Цигане карлики, Пожалуйста. Все спасибы нашему уважаемому thyrex'у. А про этот файл sfc.sys написано везде где только можно, это уже классика. :)

Не забываем отмечать тему решённой - Отметить решенной


Время: 11:57.

Время: 11:57.
© OSzone.net 2001-