Лікування та Одмінський блог
Блог про технології, технократію та методики боротьби з граблями
Лікування sfcfiles.dll та sfc.sys
Зіткнувся з капосним вірусом який сидить у двох файлах %SysWin%System32/sfcfiles.dll і %SysWin%System32/drivers/sfc.sys, причому обидва бачаться NOD32 який кричить що їх треба видалити і точка, після чого машина перевантажується і NOD бачить їх знову. Сам він у логах трактує їх як троян програми Win32/Asent.PHC та Win32/Patched FR, за dr.web'івською класифікацією це Trojan.Siggen.1342 та Trojan.WinSpy.184 відповідно.
Комп'ютер у своїй дурить, провідник до ладу не відкривається, т.к. залипає на розгортці дисків, все дико гальмує, і немає до ладу не працює, т.к. живе після перезавантаження хвилину-півтори, після чого вичерпується, як іссик-куль, т.ч. ставити програми, що вимагають стабільного з'єднання, prevx та Spybot Serch&Destroy довелося з безпечного режиму з підтримкою мережевих інтерфейсів.
sfcfiles.dll це файл, що відповідає за перевірку системних файлів (Windows System File Checker Library), sfc.sys мається на увазі що те, що відноситься до System File Checker, але по ходу справи його можна спокійно гримнути. Найдивніше, що AVZ їх не бачив (до речі, і всі перепробовані антивіри: prevX, Dr.web), т.ч. довелося робити відкладене видалення за допомогою вбудованого функціоналу AVZ (також потрібно знести, якщо є файл system32\drivers\grande48.sys). Відновити sfcfiles.dll файл можна або завантаживши з інета, витягнувши з диска з віндою (скопіювавши та перейменувавши файл sfcfiles.dl_) або з папки %SysWin%\system32\dllcache.
На жаль після виконання цих процедур машина хоч і швидше шаруділа, але все одно повільно, т.ч. довелося її прогнати через Spybot Serch&Destroy і Malwarebytes' Anti-Malware, як було описано в постіпро Spam-bot, а потім почистити всі хвости через HijackThis.