Combofix e virus sfcfiles.dll

[mare2000]

Salve a tutti. Da alcuni giorni sono impelagato nella rimozione di vari virus dal mio pc. Non vorrei formattare perchè per la reinstallazione dei vari
programmi che utilizzo impiego diversi giorni. Ad oggi la rimozione è avvenuta abbastanza bene e la scannerizzazione con NOD32, Malwarebytes' Anti-Malware, SUPERAntiSpyware Free Edition non riporta alcun virus. Ma la scannerizzazione con Combofix da come risultato:

La copia infetta di c:\windows\system32\sfcfiles.dll è stata trovata e
disinfettata ripristinata copia da c:\windows\system32\dllcache\sfcfiles.dll

Se lancio nuovamente Combofix, stesso risultato, credo che la copia infetta
stia proprio in C:\WINDOWS\system32\dllcache e in
C:\WINDOWS\ServicePackFiles\i386.
Ho notato che la connessione ad internet (usb Key) è più lenta e altalenante di prima e la funzione di aggiornamento dei seeder in Utorrent non funziona come dovrebbe, come se qualche programma succhiasse risorse alla connessione.
I virus con cui ho avuto a che fare in questi giorni, rilevati da NOD32 e che
sembrano cancellati (minchia quanti):
Win32/Injector.TE
Win32/TrojanDownloader.FakeAlert.AFB
Win32/TrojanDownloader.FakeAlert.AAX
Win32/TrojanDownloader.Bredolab.AA
Win32/TrojanDownloader.Unruy.AA
Win32/TrojanDownloader.Small.NTQ
Win32/TrojanDownloader.Small.ORA
Win32/TrojanDownloader.Small.NTQ
Win32/TrojanClicker.VB.NIM
Win32/TrojanClicker.VB.NJB
Win32/TrojanDropper.Small.NJP
Win32/Adware.Coolezweb
Win32/Adware.SystemSecurity
Win32/Agent.PMG
Win32/Agent.PUH
Win32/Peerfrag.CF
Win32/Peerfrag.BL
Win32/Protector.B
Win32/Wigon.KQ
Win32/Rustock.NJB
Win32/Genetik
Win32/Agent.HXW
Win32/Small.NEK
Win32/Kryptic.ZE
+ un virus sull'autorun di pendrive e HD esterni rilevati da SUPERAntiSpyware e fixato con Flash_Disinfector.exe:
Trojan.Agent/Gen-FakeAlert[Firewall]

Grazie in anticipo agli eventuali aiutatori.

 

[JeanGrey]

Ciao e benvenuto.
Divresti allegare tutto il rapporto di combofix.

 

[mare2000]

Salve. Inanzitutto grazie per l'interesse. Sono nuovo del forum e spero di postare bene il txt di Combofix, è l'ultimo che ho effettuato.

 

[UlisseHGC]

Ciao, per favore puoi fare una scansione di c:\windows\system32\dllcache\services.exe ?

e c:\windows\system32\dllcache\wordpad.exe

non mi spiego il fatto di perchè siano stati modificati ultimamente.


la dllcache è una politica adottata su windows XP per la quale, se un file viene cancellato dalle directory di sistema, viene ripristinato automaticamente copiandolo da dllcache (una sorta di archivio apputno delle librerie e degli eseguibili di sistema)

per provare basta che ad esmepio in c:\windows rinomini il file regedit.exe in regedit2.exe e vedrai che dopo pochi secondi si ricrea da solo il regedit.exe originale.


cosa succede: se un virus si copia nella dllcache e successivamente cancella un file di sistema, il file di sistema viene ripristinato con la versione corrotta presente nella dllcache e idem tutte le volte che un antivirus lo cancella poichè il sistema oeprativo ha priorità su qualunque software (anche antivirus) installato.

per eliminare questo genere di virus occorre prima terminare i processi virali attivi e successivamente fare una scansione della dllcache e infine di tutto il sistema, ma PRIMA della dllcache.

combofix è un ottimo programma che risolve la maggior parte dei casi, però prova a scaricare questo tool: Index of /rescue_cd

trovi una recensione quì: Cos'è BitDefender RescueCD? - BitDefender Italia

Questo tool viene eseguito quando windows non è ancora avviato e dovrebberiuscire ad eliminare tutti i virus presenti senza che la politica di ripristino della dllcache li ricrei.

Saluti,
Ulisse.

 

[mare2000]

Ciao Ulisse. Scannerizzati services.exe e wordpad.exe con Nod32, Mbam e Superantispyware appena aggiornati. Nessuno rileva niente. Per quanto riguarda Bitdefender devo trovare un modo rapido per scaricarlo, ho la connessione con 3 a 100MB al giorno, andrò da un amico.
Tutti i file: sfcfiles.dll, services.exe e wordpad.exe sembrano essere proprietari microsoft, e dello stesso pacchetto di aggiornamento:Windows 5.1.2600 Service Pack 3; almeno nella descrizione della versione nelle proprietà del file.
Grazie per l'aiuto, cercherò di usare al più presto Bitdefender Rescue cd, ma non sarà dannoso se mi dovesse cancellare sfcfiles.dll e poi windows non può ripristinarlo? Ciao

 

[mare2000]

Ciao. Ho scaricato bitdefender rescue cd, estratto i files dall'immagine e creato il cd. Ho fatto il boot da cd ma mi dice drive non disponibile; ma i files ci sono (autorun.bat, autorun.inf, autorun.pif). Quindi credo niente bitdefender. Comunque ho chiesto aiuto nel loro forum e vediamo se ho sbagliato qualcosa.
Ho notato però che nel laptop di mia moglie (XP pro sp3), che ha avuto più o meno la stessa invasione virale, i files services.exe e wordpad.exe non sono in c:\windows\system32\dllcache ma in C:\WINDOWS\ServicePackFiles\i386 e sono ambedue della stessa versione di file: 5.1.2600.5512 (xpsp.080413-2111) di quelli che si trovano in c:\windows\system32
Nel mio computer ci sono invece discrepanze tra le versioni dei files che trovo in C:\WINDOWS\ServicePackFiles\i386 e quelli che sono in
in C:\WINDOWS\system32 e in C:\WINDOWS\system32\dllcache
ad esempio:

in C:\WINDOWS\system32 e in C:\WINDOWS\system32\dllcache
services.exe [ver. file - 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)]
in C:\WINDOWS\ServicePackFiles\i386
services.exe [ver. file - 5.1.2600.5512 (xpsp.080413-2111)]

in C:\WINDOWS\system32\dllcache
Wordpad.exe [ver.file - 5.1.2600.5584 (xpsp_sp3_gdr.080421-1413)
in C:\WINDOWS\ServicePackFiles\i386
Wordpad.exe [ver.file - 5.1.2600.5512 (xpsp.080413-2105)]

Mentre per il file sfcfiles.dll la versione è sempre
5.1.2600.5512 (xpsp.080413-2111)

E' vero che qualche giorno fa ho aggiornato windows sperando che mi sostituisse sfcfiles.dll ma mi chiedo se l'aggiornamento del SO non debba per forza passare da C:\WINDOWS\ServicePackFiles\i386 e se è normale che le versioni dei file operanti in system32 siano diverse da quelle che ci sono nella directory dei servicepack di aggiornamento.

Aggiungo che nel computer di mia moglie ho girato combofix solo una volta e gli ha eliminato files da recycler e c:\windows\Installer ma nessun problema con sfcfiles.dll
Nel mio, i primi due log di combofix (26/07) segnalano di aver cancellato vari files ma non sfcfiles.dll
Solo nel terzo log (27/07) compare il problema:
La copia infetta di c:\windows\system32\sfcfiles.dll è stata trovata e disinfettata
ripristinata copia da - c:\windows\ServicePackFiles\i386\sfcfiles.dll

Nel quarto log la copia del dll è stata ripristinata da altra directory:
La copia infetta di c:\windows\system32\sfcfiles.dll è stata trovata e disinfettata
ripristinata copia da - c:\windows\system32\dllcache\sfcfiles.dll

E se sostituissi il dll incriminato copiandolo dall'altro computer? Che forse non è infetto?
Grazie a presto