Показано с 1 по 8 из 8.

Как вылечить shell.exe от Trojan.Win32.StartPage.auv? (заявка № 19407)

  1. #1
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    4
    Вес репутации
    38

    Thumbs up Как вылечить shell.exe от Trojan.Win32.StartPage.auv?

    Много почистил на машине всякой дряни, но вот от этого избавиться самостоятельно не получается. Заражены, как я понимаю, критически важные модули shell.exe и wininet.exe. Не знаю, как быть. Найти "читые" модули и заменить ими мои зараженные?
    Перехват функций тоже беспокоит, так до конца и не разобрался, плохо это или нет...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('msupdate', 4);
     SetServiceStart('FCI', 4);
     SetServiceStart('protect', 4);
     StopService('FCI');
     StopService('msupdate');
     StopService('protect');
     QuarantineFile('C:\WINDOWS\system32\shell.exe','');
     QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
     QuarantineFile('C:\Program Files\SXR Software\StatWin Pro\SWHOOKKM.DLL','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
     QuarantineFile('C:\PROGRA~1\INSTAL~1\{BBE2F~1\setup.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('mnmsrvc.sys','');
     QuarantineFile('FCI.sys','');
     QuarantineFile('c:\windows\system32\mssrv32.exe','');
     QuarantineFile('C:\WINDOWS\system32\mplink.dll','');
     QuarantineFile('C:\WINDOWS\system32\powermgmt.sys','');
      DeleteFile('C:\WINDOWS\system32\shell.exe');
     DeleteFile('C:\WINDOWS\system32\powermgmt.sys');
     DeleteFile('C:\WINDOWS\system32\mplink.dll');
     DeleteFile('c:\windows\system32\mssrv32.exe');
     DeleteFile('FCI.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
     DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\wininet.exe');
     DeleteService('FCI');
     DeleteService('msupdate');
     DeleteService('protect');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19407

    Добавлено через 1 минуту

    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    	O20 - Winlogon Notify: mplink - C:\WINDOWS\SYSTEM32\mplink.dll
    Повторите логи
    Последний раз редактировалось akoK; 08.03.2008 в 23:05. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    4
    Вес репутации
    38
    Остался только подозрительный shell.exe в Program Files.
    Вложения Вложения

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    C:\Program Files\Common Files\Microsoft Shared\Web Folders\shell.exe - Trojan.Win32.StartPage.aom
    C:\WINDOWS\system32\shell.exe - Trojan.Win32.StartPage.aom
    C:\WINDOWS\system32\wininet.exe - Backdoor.Win32.Small.cvx
    C:\WINDOWS\system32\mplink.dll - Backdoor.Win32.Agent.eqw
    C:\WINDOWS\system32\powermgmt.sys - Trojan.Win32.Agent.fiw
    C:\WINDOWS\system32\ntos.exe - свежий

    Добавлено через 9 минут

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\shell.exe','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
     QuarantineFile('C:\Program Files\Opera 8\zip.dll','');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\Web Folders\shell.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19407
    Последний раз редактировалось akoK; 09.03.2008 в 01:03. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    4
    Вес репутации
    38
    done

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55


    Какие проблемы еще остались?
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    08.03.2008
    Сообщений
    4
    Вес репутации
    38
    Вроде все ОК. Спасибо за помощь.

  9. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    955

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 42
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\common files\\microsoft shared\\web folders\\shell.exe - Trojan.Win32.StartPage.boh (DrWEB: Trojan.StartPage.20233)
      2. c:\\windows\\system32\\mplink.dll - Backdoor.Win32.Agent.eqw (DrWEB: Trojan.PWS.GoldSpy)
      3. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.apt
      4. c:\\windows\\system32\\powermgmt.sys - Trojan.Win32.Agent.fiw (DrWEB: Trojan.Spambot.3101)
      5. c:\\windows\\system32\\shell.exe - Trojan.Win32.StartPage.boh (DrWEB: archive: Trojan.StartPage.20233)
      6. c:\\windows\\system32\\wininet.exe - Backdoor.Win32.Small.cvx (DrWEB: BackDoor.Kiddy)


  • Уважаемый(ая) Dude, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. need help with trojan.win32.generic.wcd and root shell
      От rb10 в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 03.09.2010, 04:30
    2. Trojan.win32.startpage.air
      От smersh в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:42
    3. Trojan.Win32.StartPage.cyk
      От drserg в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 09.11.2008, 03:29
    4. Trojan.Win32.StartPage.amd
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 13.11.2006, 22:11
    5. Trojan.Startpage.Q
      От SDA в разделе Вредоносные программы
      Ответов: 2
      Последнее сообщение: 02.10.2005, 21:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00501 seconds with 17 queries