Win32/Hodprot.AO

Printable View

15.03.2011, 15:24
sweet_honey_boy

Win32/Hodprot.AO

Добрый день!
Сегодня при загрузке NOD32 ругнулся на файл: C:\WINDOWS\system32\sfcfiles.dll.
Вирус определяется как: Win32/Hodprot.AO троянская программа.
Удаление и лечение данного файла невозможно.
Помогите, пожалуйста, с данной проблемой.
15.03.2011, 15:55
Acidorum

Здравствуйте.
Отключите:
-ПК от интернета
-Все защитные приложения
Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
QuarantineFile('c:\windows\system32\drivers\explorer22.bat','');
QuarantineFile('c:\windows\system32\drivers\explorer.bat','');
QuarantineFile('C:\WINDOWS\system32\fmutrx.exe','');
QuarantineFile('C:\WINDOWS\system32\1c4d8a56.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\WINDOWS\system32\1c4d8a56.exe');
DeleteFile('C:\WINDOWS\system32\fmutrx.exe');
DeleteFile('c:\windows\system32\drivers\explorer.bat');
DeleteFile('c:\windows\system32\drivers\explorer22.bat');
DelBHO('29B9C184-62A2-48A2-ACC1-3E1E38CB696A');
DelBHO('20457A2B-64E5-4D52-8D9B-645243C0540F');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinampAgent');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinampAgent5');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinampAgent3');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinampAgent2');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).
Какие браузеры у Вас установлены в системе?
Откройте все установленные браузеры и сделайте повторные логи.
15.03.2011, 18:04
sweet_honey_boy

В системе установлены следующие браузеры: IE7, Opera 11.01, Opera 11.00 beta build 1111, Google Chrome.
Файл карантина отправлен.
Ниже находятся логи.
15.03.2011, 21:21
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
16.03.2011, 01:10
sweet_honey_boy

Лог полного сканирования МВАМ
16.03.2011, 01:44
thyrex

c:\WINDOWS\system32\sfcfiles.dll восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url] или скопируйте с аналогичной системы

Сделайте лог virusinfo_syscure.zip
17.03.2011, 01:44
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\sfcfiles.dll - [B]Trojan.Win32.Patched.lq[/B] ( DrWEB: Trojan.WinSpy.997, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:WinSpy-HH [Trj] )[/LIST][/LIST]