Обнаружен Win32.TrojanSpy.Goldun. Не могу удалить, выключается комп.
Все признаки заражения вирусом. 7 января сидел в интернете и я и жена, а на следующий день после включения компа, и выхода в Интернет, вдруг выскочило сообщение аутпоста о том, что процесс WinLogon запрашивает соединение по протоколу ТСР с адресом 58.65.237.65. Естественно, я сразу напрягся и понял, что комп заражен. После блокировки соединения, Winlogon снова запрашивал соединения с адресами www.distripharma.fr и www.iod2006.net
Соединения я блокировал, но вчера просмотрел логи аутпоста, в разрешенных соединениях есть соединения Internet Explorer с адресом 58.65.237.65. При каждом таком соединении исходящий трафик около 200 килобайт, входящего нет.
8 января я скачал новые базы для AVP, для AVZ и скачал последнюю версию HijackThis, все, как в Правилах.
Проверка Антивирусом Касперского ничего не дала, вирусы обнаружены не были.
Выполнил проверку по скриптам AVZ, она показала подозрение на троянскую программу или кейлоггер (логи и файл из карантина прилагаются).
Утилита HijackThis у меня не запустилась. Вообще. Ни родной файл, ни скачанный переименованный… Никак. Выдает сообщение «Приложению не удалось запуститься, поскольку MSVBVM60.dllне был найден».
Решил проверить с помощью Ad-Awareот LavaSoft. И вот тут начались приключения. После запуска сканирования в Ad-Aware, в аутпосте выскакивает сообщение «Ad-Aware.exe изменил область памяти процесса WinLogon.exe и поэтому соединение с Интернет для него будет заблокировано» и следом за ним такие же сообщения для процессов Outpost.exe, ALG.exe, SVCHOST.exe, ABBYYNEWSREADER.exe. После этого, тестирование проходит буквально несколько секунд (от 10 до 30) и комп выключается. При этом на мониторе появляется синий экран с абракадаброй иероглифов, из которой на английском написано только WindowsLogonProcess.
Пытался выключать Касперского, аутпост, все равно, тест идет иногда чуть дольше, иногда сразу вырубает… Единственный раз мне удалось прервать тестирование и посмотреть лог, там было обнаружено 18 записей со ссылкой на тот самый файл, который определился AVZ, его название regsd73u.dll (приложен в архиве карантинном) и был определен вирус Win32.TrojanSpy.Goldun. Больше я не смог ничего сделать, потому что с помощью Ad-Aware я не могу даже тест закончить, не говоря уж об удалении вируса.
Подскажите, что делать. Я так понимаю, что собранная трояном инфа уже была выслана наружу. Очень не хочется переустанавливать систему…
Последний раз редактировалось briand; 11.01.2007 в 17:56.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скрипт выполнил. Файл из карантина выслал строго в соответствии с Приложением 2. (Когда писал первый пост, то карантин высылал также, странно, что он не дошел)
Кстати, reg0x86a.sys по скрипту не был добавлен в карантин, мне пришлось его добавлять вручную
Спасибо.
Hijackthis сволочь так и не хочет запускаться...
Если нужны логи AVZ после удаления трояна, могу сделать и прислать. Нужно?
Выполнил скрипты по проверке после удаления трояна, прикладываю.
Скажите, почему в обоих логах уже удаленная regsd73u.dll показана в разделе "Автозапуск"? Стартером в автозапуске ее не видно.
Троян-то удален? Можно дальше спокойно работать?
P.S. Удалял трояна и делал скрипты уже версией 4.23, базы от 9.01.2007.
Главное, что злодея в памяти нет, это хорошо.
AVZ - Сервис - Менеджер автозапуска
Слева выбираете Winlogon, справа - regsd73u.dll, жмёте на кнопку "Удалить".
Попробуйте, скачайте отсюда. Разверните в c:\windows\system32\ или даже положите в одну папку с HijackThis. Поможет?
begin
BC_DeleteSvc('reg0x86a');
BC_LogFile(GetAVZDirectory + 'bc.log');
BC_Activate;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки сделайте, пожалуйста, новые логи и добавьте файл bc.log из директории AVZ. А Касперский у вас легальный? Если да, то имеет смысл перейти с 5-го на 6-й
А Касперский у вас легальный? Если да, то имеет смысл перейти с 5-го на 6-й
<Густо покраснел> К сожалению, нелегальный...
Простите, может глупость спрошу
А после такой операции система нормально будет работать? Не собъется ничего? А то жене нужно будет в выходные работать, ей нужно, чтобы все работало как и раньше
Я просто не работал еще с Hijackthis... Да и AVZ пользуюсь только второй раз (но уже очень доволен ей)
Последний раз редактировалось anton_dr; 13.01.2007 в 09:00.
Я, вроде бы, ничего не вижу больше. В системе должен был остаться драйвер от AVZ. В принципе, он не должен мешать, но если хотите его убрать - выполните: программа AVZ - пункт AVZPM - удалить драйвер расширенного мониторинга процессов. На всякий случай, если есть возможность, скачайте утилиту CureIt! - ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
и просканируйте машину, лучше, загрузившись в безопасном режиме.
В системе должен был остаться драйвер от AVZ. В принципе, он не должен мешать, но если хотите его убрать...
Он мне не мешает абсолютно, я так понимаю, что он не блокирует работу остальных приложений, поэтому я не буду его отключать.
На всякий случай, если есть возможность, скачайте утилиту CureIt!
Скачал, проверил, вроде всё чисто.
Спасибо ОГРОМНОЕ, всем! Олегу за что, что разработал классную программу, остальным за помощь оперативную и очень грамотную! О AVZ узнал случайно где-то на просторах инета, когда читал про предыдущего трояна, сидевшего еще в ноябре, скачал, проверил и удалил тогда самостоятельно, утилитка очень удобная и умная.
P.S.: чуть позже обращусь с еще одним вопросом, в другой теме, так сказать, прояснить для себя непонятки, которые были до НГ.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: