Win32/Hodprot.AO троян

Printable View

Показывать 40 сообщений этой темы на одной странице

25.03.2011, 15:08
Irina Enigma

Вложений: 1

Win32/Hodprot.AO троян

Добрый день!
Установлен антивирус NOD32, два дня назад при загрузке он начал ругаться на файл: C:\WINDOWS\system32\sfcfiles.dll.
Вирус определяется как: Win32/Hodprot.AO троянская программа.
Удаление и лечение данного файла невозможно.
В системе установлено два браузера: Opera 11.00 1156 и Google Chrome (стоял по умолчанию). Начались проблемы с выходом в Интернет через Chrome...,блокирует все открываемые старницы и при этом антивирус постоянно ругается на указанный выше файл.
Opera работает без проблем.
Помогите, пожалуйста, вылечить данный вирус.
Заранее спасибо.

Ниже логи, полученные в процессе диагностики:
25.03.2011, 17:15
Nikkollo

Здравствуйте.

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Пофиксите в HijackThis:
[CODE]
R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
[/CODE]

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует');
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
begin
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует');
end;
end;
//sfcfiles.log сохранится в папке, из которой был запущен AVZ
SaveLog('sfcfiles.log');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\sfcfiles.bak');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

Файл sfcfiles.log из папки AVZ приложите в теме.
25.03.2011, 18:23
Irina Enigma

Вложений: 1

Файл quarantine.zip отправлен.
Ниже - запрашиваемые логи:
25.03.2011, 18:41
Nikkollo

virusinfo_syscheck.zip старый приложили.
Выполните снова пункт 2 раздела "Диагностика" Правил и приложите здесь virusinfo_syscheck.zip.
25.03.2011, 18:58
Irina Enigma

ок, во вложении
26.03.2011, 11:10
Irina Enigma

Логи обновила, они во вложении выше.
26.03.2011, 13:32
Nikkollo

Такое впечатление, что скрипт не выполнялся... Все осталось там где было.
И в sfcfiles.log пусто... Странно...
Может скрипт неправильно выполняли.
Скрипт проверил, ошибок нет.
Как выполнить скрипт здесь:
[url]http://virusinfo.info/showthread.php?t=7239[/url]
Или NOD32 перед выполнением не отключили.
Как отключить здесь:
[url]http://virusinfo.info/showthread.php?t=57441[/url]
Отключите NOD32 и выполните пожалуйста скрипт в AVZ еще раз.
После этого приложите снова sfcfiles.log.
Затем повторите пункт 2 раздела Диагностика правил и приложите здесь virusinfo_syscheck.zip
26.03.2011, 14:27
Irina Enigma

Ну да, и правда странно...
Еще раз всё обновила. Скрипт и отключение выполнила всё точно по инструкции.
А в sfcfiles.log опять пусто почему то...
26.03.2011, 15:26
Nikkollo

Мдя... все опять осталось там где было...
Беру небольшой тайм-аут, мне нужно поразмыслить...
26.03.2011, 16:07
Irina Enigma

Окей, спс ))
Буду ждать, надеяться и верить:) :)
27.03.2011, 12:52
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
27.03.2011, 13:26
Irina Enigma

День добрый.

При данном сканировании (МВАМ) - Интернет и антивирус (NOD32) должны быть включены?? Или их нужно отключить?
27.03.2011, 14:20
Nikkollo

Лучше отключить. Так быстрей будет.
27.03.2011, 18:28
Irina Enigma

Запрашиваемый лог прилагаю..
27.03.2011, 21:51
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
QuarantineFile('%windir%\system32\mssfc.dll','');
DeleteFile('%windir%\system32\drivers\sfc.sys');
DeleteFile('%windir%\system32\mssfc.dll');
if FileExists ('%windir%\system32\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
begin
AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
end
else
begin
AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end
else
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end
else
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
end
else
begin
AddToLog('файл sfcfiles.dll отсутствует в %windir%\system32\');
if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
begin
if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
end
else
begin
AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end
else
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end
else
begin
AddToLog('Файл sfcfiles.dll отсутствует в кеше');
if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
begin
if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
begin
CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
AddToLog('Замена sfcfiles.dll успешно произведена из i386');
end
else
AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
end
else
AddToLog('Файл sfcfiles.dll отсутствует в i386');
end;
end;
DeleteFile('%windir%\system32\sfcfiles.bak');
SaveLog('sfcfiles.log');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('%windir%\System32\sfcfiles.bak');
BC_DeleteSvc('sfc');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
- файл [COLOR="Blue"][B]sfcfiles.log[/B][/COLOR] прикрепите к сообщению
28.03.2011, 21:28
Irina Enigma

quarantine.zip - отправлен по указанной ссылке.
Запрашиваемые логи прилагаю.
И еще вопрос: после того как MBAM выполнил сканирование, он выдает список инфецированных объектов. Их нужно удалять с помощью этой программы или этого категорически самим делать нельзя?? Там кнопочка есть такая "Удалить объекты"...так прям хочется ее нажать :D
29.03.2011, 02:42
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [code]c:\программы\avz4\quarantine\2011-03-27\avz00001.dta (Trojan.Patch) -> No action taken.
d:\documents and settings\Admin\local settings\Temp\jar_cache7861584970215629486.tmp (Heuristics.Shuriken) -> No action taken.[/code]Проблема решена?
29.03.2011, 07:09
polword

- Восстановите файл C:\WINDOWS\System32\sfcfiles.dll из [URL="http://virusinfo.info/showthread.php?t=51654"]дистрибутива[/URL] или [URL="http://virusinfo.info/attachment.php?attachmentid=264140&d=1282796159"]отсюда[/URL]
29.03.2011, 22:52
Irina Enigma

Указанные 2 кода в МВАМ удалены.
Лог прилагаю ниже.
Теперь NOD при загрузке не ругается)) Инет работает хорошо, Chrome тоже заработал, никаких ошибок не выдает, страницы не блокирует. Это здорово. Спасибо вам огромное, ребята. Моя благодарность не знает границ)))
А вот еще подскажите пжл, остальные файлы, которые МВАМ выдает в списке как инфецированные, их как то нужно лечить? или удалять? или вообще не трогать, пусть будут? ))
И еще момент касательно восстановления файла \WINDOWS\System32\sfcfiles.dll - из дистрибутива как-то сразу сложновато мне показалось, нужно будет посидеть, разобраться...:D а вот если восстанавливать "отсюда" - то нужно просто извлечь файл в C:\WINDOWS\System32\ ?? и всё? этого достаточно будет?
Огромное спасибо за помощь!!! ;)
30.03.2011, 01:54
thyrex

[QUOTE='Irina Enigma;778911']а вот если восстанавливать "отсюда" - то нужно просто извлечь файл в C:\WINDOWS\System32\ ?? и всё?[/QUOTE]Именно так

Показывать 40 сообщений этой темы на одной странице