Лечение sfcfiles.dll и sfc.sys

03 Dec 2009 | Автор: dd |

Столкнулся с пакостным вирусом который сидит в двух файлах %SysWin%System32/sfcfiles.dll и %SysWin%System32/drivers/sfc.sys, причем оба видятся NOD32 который кричит что их надо удалить и точка, после чего машина перегружается и NOD видит их снова. Сам он в логах трактует их как троян программы  Win32/Asent.PHC и Win32/Patched FR, по dr.web’овской классификации это Trojan.Siggen.1342 и Trojan.WinSpy.184 соответственно.

Компьютер при этом дуркует, проводник толком не открывается, т.к. залипает на развертке дисков, все дико тормозит, инет толком не работает, т.к. живет после перезагрузки минуту-полторы, после чего иссякает, как иссык-куль, т.ч. ставить программы, требующие стабильного соединения, prevx и Spybot Serch&Destroy пришлось из безопасного режима с поддержкой сетевых интерфейсов.

sfcfiles.dll это файл отвечающий за проверку системных файлов (Windows System File Checker Library), sfc.sys подразумевается что то относящееся к System File Checker, но по ходу дела его можно спокойно грохнуть. Самое странное, что AVZ их не видел (кстати ка и все перепробованные антивири: prevX, Dr.web), т.ч. пришлось делать отложенное удаление с помощью встроенного функционала AVZ (также нужно снести, если имеются файл system32\drivers\grande48.sys). Восстановить sfcfiles.dll  файл можно либо закачав из инета, вытащив с диска с виндой (скопировав и переименовав файл sfcfiles.dl_) либо из папки %SysWin%\system32\dllcache.

К сожалению после выполнения этих процедур машина хоть и побыстрее шуршала, но все равно медленно, т.ч. пришлось её прогнать через Spybot Serch&Destroy  и Malwarebytes’ Anti-Malware, как было описано в посте про Spam-bot, а потом почистить все хвосты через HijackThis.

VN:F [1.9.21_1169]
Rating: 7.5/10 (13 votes cast)
VN:F [1.9.21_1169]
Rating: +4 (from 10 votes)
Лечение sfcfiles.dll и sfc.sys, 7.5 out of 10 based on 13 ratings

Теги: ,

Отзывов: 11 на «Лечение sfcfiles.dll и sfc.sys»

  1. Автор: Able на 17 Mar 2010

    Недавно столкнулся с такой же проблемой,
    комп стал тормоза ловить. Пока не решил проверить
    на вирусы. Каспер обнаружил вирус Trojan.Win32.Patched.fr и поделетил мне файл sfcfiles.dll и потребовал ребут.
    После ребута тормоза пропали, однако менеджер устройств стал матюгать про Windows не удается загрузить программу для установки hdc. Обратитесь к поставщику.
    Скачал с нета sfcfiles.dll запихнул в систем32
    все ок!

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 3.5/5 (2 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 2 votes)

  2. Автор: ackviLibrium на 19 Apr 2010

    Такая же шняга..((((
    Но почему то не могу его удалить или заменить, так как говорит что ипользуется кокойто прогой, типа закройте её и повторите ещё раз удалить!
    Какая прога модет использовать этот файл????
    sfcfiles.dll
    Помогите плиз!!!
    Комп тормозит жуть и жёский мальца не так работает, т.к. токо купил а дрова не устанавливаются на него!

    [Reply]

    anchous Reply:
    April 19th, 2010 at 1:21 pm

    для удаления файла есть несколько способов:
    воспользоваться утилитами для так называемого отложенного удаления, т.е. удаления файла при перезагрузке: HackJack или AvZ;
    перегрузить комп в безопасном режиме и попробовать удалить оттуда;
    загрузиться с любого Live CD, и удалить из под неё – это Bart PE, Knoppix Linux Boot CD или любой другой;

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 5.0/5 (3 votes cast)
    VN:F [1.9.21_1169]
    Rating: +3 (from 5 votes)

  3. Автор: Newbie на 29 Jul 2010

    у меня тоже доктор веб обнаружил этот больной файл sfcfiles
    тока у мну не тем трояном был инфицирован))
    инфицирован Trojan.WinSpy.921

    [Reply]

    anchous Reply:
    August 4th, 2010 at 10:22 pm

    это не новость что различные вири пользуют одни и те же библиотеки- уязвимость то одна.

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 5.0/5 (2 votes cast)
    VN:F [1.9.21_1169]
    Rating: +2 (from 4 votes)

  4. Автор: миша на 26 Jan 2011

    у меня в файле sfcfiles.dll висит вирус.ESET Smart Security 4 распознает его как модифицированный win32\Hadprot.AA троянская программа.Не запускается ни одна игра или выкидывает(до этого ничего подобного)

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 4.5/5 (2 votes cast)
    VA:F [1.9.21_1169]
    Rating: +1 (from 1 vote)

  5. Автор: миша на 26 Jan 2011

    Как от него избавиться подскажите))))

    [Reply]

    anchous Reply:
    January 27th, 2011 at 7:50 pm

    ну а прочитать то что написано выше не получилось тоже из-за вируса? ;)
    перегружаешься в safemode (я уже не помню, залочен ли он в сейфе или нет, так что попробовать можно) или грузишься с лайвCD и копируешь старые версии файлов из папки: %SysWin%\system32\dllcache

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 5.0/5 (3 votes cast)
    VN:F [1.9.21_1169]
    Rating: +2 (from 2 votes)

  6. Автор: юрий на 09 Jul 2011

    фигня. сейчас и dllcache заражается.
    тупо замена с дистрибутива или с другой системы

    [Reply]

    anchous Reply:
    July 10th, 2011 at 2:27 pm

    обожаю такие категоричные заявы- то есть вы утверждаете что в 100% заражений происходит заражение кэша?
    на каком количестве систем тестировали?
    как в случае одного домашнего компа вы будите вытаскивать с другой системы- чисто погодите я с флехой по соседям похожу?

    [Reply]

    VN:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VN:F [1.9.21_1169]
    Rating: 0 (from 0 votes)

  7. Автор: Alex на 18 Jul 2012

    Спасибо за статью, добавление файла из дистрибутива помогло!

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)

Ваш отзыв