Junior Member
Вес репутации
59
Как вылечить shell.exe от Trojan.Win32.StartPage.auv?
Много почистил на машине всякой дряни, но вот от этого избавиться самостоятельно не получается. Заражены, как я понимаю, критически важные модули shell.exe и wininet.exe. Не знаю, как быть. Найти "читые" модули и заменить ими мои зараженные?
Перехват функций тоже беспокоит, так до конца и не разобрался, плохо это или нет...
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('msupdate', 4);
SetServiceStart('FCI', 4);
SetServiceStart('protect', 4);
StopService('FCI');
StopService('msupdate');
StopService('protect');
QuarantineFile('C:\WINDOWS\system32\shell.exe','');
QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
QuarantineFile('C:\Program Files\SXR Software\StatWin Pro\SWHOOKKM.DLL','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
QuarantineFile('C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('mnmsrvc.sys','');
QuarantineFile('FCI.sys','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\mplink.dll','');
QuarantineFile('C:\WINDOWS\system32\powermgmt.sys','');
DeleteFile('C:\WINDOWS\system32\shell.exe');
DeleteFile('C:\WINDOWS\system32\powermgmt.sys');
DeleteFile('C:\WINDOWS\system32\mplink.dll');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('FCI.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\wininet.exe');
DeleteService('FCI');
DeleteService('msupdate');
DeleteService('protect');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19407
Добавлено через 1 минуту
Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: mplink - C:\WINDOWS\SYSTEM32\mplink.dll
Повторите логи
Последний раз редактировалось akoK; 08.03.2008 в 23:05 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
59
Остался только подозрительный shell.exe в Program Files.
Вложения
C:\Program Files\Common Files\Microsoft Shared\Web Folders\shell.exe - Trojan.Win32.StartPage.aom
C:\WINDOWS\system32\shell.exe - Trojan.Win32.StartPage.aom
C:\WINDOWS\system32\wininet.exe - Backdoor.Win32.Small.cvx
C:\WINDOWS\system32\mplink.dll - Backdoor.Win32.Agent.eqw
C:\WINDOWS\system32\powermgmt.sys - Trojan.Win32.Agent.fiw
C:\WINDOWS\system32\ntos.exe - свежий
Добавлено через 9 минут
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\shell.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\Program Files\Opera 8\zip.dll','');
DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\shell.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19407
Последний раз редактировалось akoK; 09.03.2008 в 01:03 .
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
59
Какие проблемы еще остались?
Microsoft Most Valuable Professional in Consumer Security
Junior Member
Вес репутации
59
Вроде все ОК. Спасибо за помощь.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 42 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\common files\\microsoft shared\\web folders\\shell.exe - Trojan.Win32.StartPage.boh (DrWEB: Trojan.StartPage.20233) c:\\windows\\system32\\mplink.dll - Backdoor.Win32.Agent.eqw (DrWEB: Trojan.PWS.GoldSpy) c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.apt c:\\windows\\system32\\powermgmt.sys - Trojan.Win32.Agent.fiw (DrWEB: Trojan.Spambot.3101) c:\\windows\\system32\\shell.exe - Trojan.Win32.StartPage.boh (DrWEB: archive: Trojan.StartPage.20233) c:\\windows\\system32\\wininet.exe - Backdoor.Win32.Small.cvx (DrWEB: BackDoor.Kiddy)