Win32/Hodprot.AO

**sweet_honey_boy** · 15.03.2011, 15:24

Добрый день!
Сегодня при загрузке NOD32 ругнулся на файл: C:\WINDOWS\system32\sfcfiles.dll.
Вирус определяется как: Win32/Hodprot.AO троянская программа.
Удаление и лечение данного файла невозможно.
Помогите, пожалуйста, с данной проблемой.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Acidorum** · 15.03.2011, 15:55

Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('c:\windows\system32\drivers\explorer22.bat','');
QuarantineFile('c:\windows\system32\drivers\explorer.bat','');
QuarantineFile('C:\WINDOWS\system32\fmutrx.exe','');
QuarantineFile('C:\WINDOWS\system32\1c4d8a56.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\1c4d8a56.exe');
DeleteFile('C:\WINDOWS\system32\fmutrx.exe');
DeleteFile('c:\windows\system32\drivers\explorer.bat');
DeleteFile('c:\windows\system32\drivers\explorer22.bat');
DelBHO('29B9C184-62A2-48A2-ACC1-3E1E38CB696A');
DelBHO('20457A2B-64E5-4D52-8D9B-645243C0540F');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinampAgent');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinampAgent5');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinampAgent3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinampAgent2');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Какие браузеры у Вас установлены в системе?
Откройте все установленные браузеры и сделайте повторные логи.

**sweet_honey_boy** · 15.03.2011, 18:04

В системе установлены следующие браузеры: IE7, Opera 11.01, Opera 11.00 beta build 1111, Google Chrome.
Файл карантина отправлен.
Ниже находятся логи.

**thyrex** · 15.03.2011, 21:21

Сделайте лог полного сканирования МВАМ

**sweet_honey_boy** · 16.03.2011, 01:10

Лог полного сканирования МВАМ

**thyrex** · 16.03.2011, 01:44

c:\WINDOWS\system32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы

Сделайте лог virusinfo_syscure.zip

**CyberHelper** · 17.03.2011, 01:44

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 15
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.997, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:WinSpy-HH [Trj] )

Win32/Hodprot.AO (заявка № 99334)

Опции темы

Win32/Hodprot.AO

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Win32/Hodprot.AO троян

Hodprot.AA (заявка №48414)

Вирус Win32/Hodprot.AA невозможно удалить с помощью антивируса (заявка №46164)

HodProt.AA Слетают все загрузки и.т.д

Обнаружен Rootkit.Win32.Hodprot.ds

Ваши права в разделе