-
Junior Member
- Вес репутации
- 52
Firefox не запускается из-за Rootkit.Winb32.Hodprot.ds
Здравствуйте!
После каждого запуска Windows Касперский 2009 находит и удаляет Rootkit.Winb32.Hodprot.ds (см. фото).
При следующей загрузке системы ситуация повторяется.
Также в первый день появления проблемы был замечен Trojan.Win32.Genome.bnjd.
Firefox не загружается и не появляется в Процессах. Также Internet Explorer первое время также не запускался.
Очень надеюсь на Вашу помощь!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
if CheckFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll') = 3 then
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 52
После выполненного скрипта Касперский 2009 перестал находить после загрузки Rootkit.Winb32.Hodprot.ds.
Однако Firefox до сих пор не запускается (кстати, нет никаких Extentions, из-за которых Firefox мог сбоить).
Карантин прислал. Новый лог приложил.
-
C:\WINDOWS\system32\overlapp32.dll - Trojan.PWS.Ibank.20
Банк-клиент на компьютере, случайно, не установлен?
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-
-
Junior Member
- Вес репутации
- 52
Нет, банк-клиент не установлен. Скрипт выполнил. Новый лог приложил.
Касперский нашел еще один подозрительный файл (см. фото)
-
Этот файл можно удалить.
В логе чисто.
Последний раз редактировалось AndreyKa; 04.02.2010 в 14:42.
-
-
Junior Member
- Вес репутации
- 52
В последнем логе все ок? Скриптов больше не будет?
-
Да. Да.
Если нет проблем с Интернет-трафиком, проведите процедуру, описанную в первом сообщении тут: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 52
Большое спасибо! Firefox теперь запускается.
Процедуру, о которой Вы писали, провел!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\overlapp32.dll - Trojan-Spy.Win32.Hascha.by ( DrWEB: Trojan.PWS.Ibank.20, NOD32: Win32/Spy.Delf.OAH trojan, AVAST4: Win32:Spyware-gen [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-