Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Win32/Hodprot.AO троян (заявка № 99803)

  1. #1
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21

    Thumbs up Win32/Hodprot.AO троян

    Добрый день!
    Установлен антивирус NOD32, два дня назад при загрузке он начал ругаться на файл: C:\WINDOWS\system32\sfcfiles.dll.
    Вирус определяется как: Win32/Hodprot.AO троянская программа.
    Удаление и лечение данного файла невозможно.
    В системе установлено два браузера: Opera 11.00 1156 и Google Chrome (стоял по умолчанию). Начались проблемы с выходом в Интернет через Chrome...,блокирует все открываемые старницы и при этом антивирус постоянно ругается на указанный выше файл.
    Opera работает без проблем.
    Помогите, пожалуйста, вылечить данный вирус.
    Заранее спасибо.

    Ниже логи, полученные в процессе диагностики:
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Здравствуйте.

    Отключите интернет.
    Выгрузите/отключите антивирус/файрволл.

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
    O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
    O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
     DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
     QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\sfcfiles.dll','');
        if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
          begin
          RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
           CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
           AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
          end
         else
          begin
           AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует');
            if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                begin
                RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
                 CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                 AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                end
               else
                begin
                 AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует');
                end;
      end;
      //sfcfiles.log сохранится в папке, из которой был запущен AVZ
      SaveLog('sfcfiles.log');
      DeleteFile('%windir%\system32\drivers\sfc.sys');
      DeleteFile('%windir%\system32\sfcfiles.bak');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Запустите/включите антивирус/файрволл.
    Подключите интернет.

    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

    Файл sfcfiles.log из папки AVZ приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  4. #3
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21
    Файл quarantine.zip отправлен.
    Ниже - запрашиваемые логи:
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    virusinfo_syscheck.zip старый приложили.
    Выполните снова пункт 2 раздела "Диагностика" Правил и приложите здесь virusinfo_syscheck.zip.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  6. #5
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21
    ок, во вложении
    Вложения Вложения
    Последний раз редактировалось Irina Enigma; 26.03.2011 в 11:09.

  7. #6
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21
    Логи обновила, они во вложении выше.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Такое впечатление, что скрипт не выполнялся... Все осталось там где было.
    И в sfcfiles.log пусто... Странно...
    Может скрипт неправильно выполняли.
    Скрипт проверил, ошибок нет.
    Как выполнить скрипт здесь:
    http://virusinfo.info/showthread.php?t=7239
    Или NOD32 перед выполнением не отключили.
    Как отключить здесь:
    http://virusinfo.info/showthread.php?t=57441
    Отключите NOD32 и выполните пожалуйста скрипт в AVZ еще раз.
    После этого приложите снова sfcfiles.log.
    Затем повторите пункт 2 раздела Диагностика правил и приложите здесь virusinfo_syscheck.zip
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21
    Ну да, и правда странно...
    Еще раз всё обновила. Скрипт и отключение выполнила всё точно по инструкции.
    А в sfcfiles.log опять пусто почему то...
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Мдя... все опять осталось там где было...
    Беру небольшой тайм-аут, мне нужно поразмыслить...
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21
    Окей, спс ))
    Буду ждать, надеяться и верить

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. #12
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21
    День добрый.

    При данном сканировании (МВАМ) - Интернет и антивирус (NOD32) должны быть включены?? Или их нужно отключить?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Лучше отключить. Так быстрей будет.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  15. #14
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21
    Запрашиваемый лог прилагаю..
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
     QuarantineFile('%windir%\system32\mssfc.dll','');
     DeleteFile('%windir%\system32\drivers\sfc.sys');
     DeleteFile('%windir%\system32\mssfc.dll');
     if FileExists ('%windir%\system32\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
           begin
             AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
           end
          else
           begin
             AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
             if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
               begin
                if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
                  begin
                   CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                   AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
                  end
                 else
                  begin
                   AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
                   if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                     begin
                      if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                        begin
                         CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                         AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                        end
                       else
                         AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                     end
                    else
                      AddToLog('Файл sfcfiles.dll отсутствует в i386');
                  end;
               end
              else
               begin
                AddToLog('Файл sfcfiles.dll отсутствует в кеше');
                if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                  begin
                   if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                     begin
                      CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                      AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                     end
                   else
                      AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                  end
                 else
                   AddToLog('Файл sfcfiles.dll отсутствует в i386');
               end;
           end;
       end
      else
       begin
         AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                 end
                else
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
              end
             else
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
           end;
       end;
     DeleteFile('%windir%\system32\sfcfiles.bak');
     SaveLog('sfcfiles.log');
     BC_ImportALL;
     ExecuteSysClean;
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте лог MBAM
    - файл sfcfiles.log прикрепите к сообщению

  17. #16
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21
    quarantine.zip - отправлен по указанной ссылке.
    Запрашиваемые логи прилагаю.
    И еще вопрос: после того как MBAM выполнил сканирование, он выдает список инфецированных объектов. Их нужно удалять с помощью этой программы или этого категорически самим делать нельзя?? Там кнопочка есть такая "Удалить объекты"...так прям хочется ее нажать
    Вложения Вложения

  18. #17
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Удалите в МВАМ
    Код:
    c:\программы\avz4\quarantine\2011-03-27\avz00001.dta (Trojan.Patch) -> No action taken.
    d:\documents and settings\Admin\local settings\Temp\jar_cache7861584970215629486.tmp (Heuristics.Shuriken) -> No action taken.
    Проблема решена?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива или отсюда

  20. #19
    Junior Member Репутация
    Регистрация
    25.03.2011
    Сообщений
    11
    Вес репутации
    21
    Указанные 2 кода в МВАМ удалены.
    Лог прилагаю ниже.
    Теперь NOD при загрузке не ругается)) Инет работает хорошо, Chrome тоже заработал, никаких ошибок не выдает, страницы не блокирует. Это здорово. Спасибо вам огромное, ребята. Моя благодарность не знает границ)))
    А вот еще подскажите пжл, остальные файлы, которые МВАМ выдает в списке как инфецированные, их как то нужно лечить? или удалять? или вообще не трогать, пусть будут? ))
    И еще момент касательно восстановления файла \WINDOWS\System32\sfcfiles.dll - из дистрибутива как-то сразу сложновато мне показалось, нужно будет посидеть, разобраться... а вот если восстанавливать "отсюда" - то нужно просто извлечь файл в C:\WINDOWS\System32\ ?? и всё? этого достаточно будет?
    Огромное спасибо за помощь!!!
    Вложения Вложения

  21. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,650
    Вес репутации
    2918
    Цитата Сообщение от Irina Enigma Посмотреть сообщение
    а вот если восстанавливать "отсюда" - то нужно просто извлечь файл в C:\WINDOWS\System32\ ?? и всё?
    Именно так
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Irina Enigma, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32/Hodprot.AO
      От sweet_honey_boy в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 17.03.2011, 01:44
    2. Hodprot.AA (заявка №48414)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 4
      Последнее сообщение: 18.01.2011, 21:03
    3. Вирус Win32/Hodprot.AA невозможно удалить с помощью антивируса (заявка №46164)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 08.01.2011, 03:00
    4. HodProt.AA Слетают все загрузки и.т.д
      От Дмитрий356 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.12.2010, 06:49
    5. Обнаружен Rootkit.Win32.Hodprot.ds
      От Obsidian в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 24.05.2010, 14:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00920 seconds with 22 queries