Trojan-Spy.Win32.Goldun.no

Printable View

10.11.2006, 23:09
Andrey M

Вложений: 3

Trojan-Spy.Win32.Goldun.no

Удаляю как умею,включая чистку реестра,а он(троян) чере 15 минут восстанавливается.Что мне делать?
С уважением А.М.
10.11.2006, 23:37
MOCT

virusinfo_cure.zip пустой, прикрепите правильный файл.

пофиксите с помощью HijackThis следующие строки:
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file)
O2 - BHO: InstaFinder_K - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - (no file)
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini
O8 - Extra context menu item: &Search - [url]http://kn.bar.need2find.com/KN/menusearch.html?p=KN[/url]
O20 - AppInit_DLLs: C:\WINDOWS\system32\systf.dll
O21 - SSODL: MemMan - {523455E4-ABCD-ABCD-1114-D709ADD3DDAB} - C:\WINDOWS\system32\MemMan.dll

пришлите по правилам форума файлы:
C:\DOCUME~1\86A9~1\APPLIC~1\BITSRO~1\beepnoun.exe
C:\WINDOWS\system32\systf.dll
C:\WINDOWS\system32\MemMan.dll
C:\WINDOWS\system32\ipv6monk.dll
C:\Documents and Settings\All Users\Application Data\peak five noun platform\window body.exe
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\desktop(2).ini
c:\docume~1\86a9~1\applic~1\bitsro~1\MeetDashSect.exe
C:\WINDOWS\system32\CsdDriver.sys
10.11.2006, 23:40
drongo

Прислать на анализ :

D:\DISTRIB\DISTRIB!!\Смен.обоев\SBRunScr\SBRunScr.exe
c:\program files\Часы-пуск\flashbtn.exe
C:\WINDOWS\system32\ipv6monk.dll
C:\Documents and Settings\All Users\Application Data\peak five noun platform\window body.exe
C:\DOCUME~1\86A9~1\APPLIC~1\BITSRO~1\beepnoun.exe
C:\WINDOWS\system32\systf.dll
C:\WINDOWS\system32\MemMan.dll
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\desktop(2).ini
C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
C:\WINDOWS\system32\systf.dll
c:\docume~1\86a9~1\applic~1\bitsro~1\MeetDashSect.exe

И лог первый от авз пустой :(
10.11.2006, 23:43
drongo

Мост, чуть опаздал :) А C:\WINDOWS\system32\CsdDriver.sys должен быть удалён AVZ , разве нет ?
11.11.2006, 07:29
MOCT

[QUOTE=drongo]А C:\WINDOWS\system32\CsdDriver.sys должен быть удалён AVZ , разве нет ?[/QUOTE]
надо читать первоисточники:
[quote]
а он(троян) чере 15 минут восстанавливается
[/quote]
поэтому на всякий случай приписал и его.
11.11.2006, 08:24
MOCT

ни один из присланных файлов Касперским не детектируется... но:

C:\WINDOWS\system32\MemMan.dll - новая версия троянца Goldun. шпионит за посещением сайта e-gold.com. Обращается к файлам avp.exe, svhost.exe, csddriver.sys (носит в себе и создает этот файл на диске). Поищите на компьютере папку C:\3erinaged (видимо анаграмма слова "renigade3") и renegade.dll.

C:\WINDOWS\system32\ipv6monk.dll - троян из той же оперы. Использует c:\2.txt. Помимо e-gold.com следит еще за парой сайтов.

C:\DOCUME~1\86A9~1\APPLIC~1\BITSRO~1\beepnoun.exe
c:\docume~1\86a9~1\applic~1\bitsro~1\MeetDashSect.exe
C:\Documents and Settings\All Users\Application Data\peak five noun platform\window body.exe
тоже какие-то покриптованные трояны.
другие антивирусы говорят про эти файлы:
CAT-QuickHeal 8.00 11.10.2006 (Suspicious) - DNAScan
Fortinet 2.82.0.0 11.11.2006 suspicious
а на "window body.exe" даже так:
DrWeb 4.33 11.11.2006 BackDoor.Hufer

все эти файлы удаляйте через отложенное удаление в AVZ.
11.11.2006, 16:54
Andrey M

Спасибо Вам!!!Трояну "кирдык"!!!С меня причитается!Будете в наших краях......,подарю любой офорт [url]http://eau-forte.narod.ru/other.htm[/url]
Это мои работы.Ну вот и всё.Ещё раз спасибо!С Богом!
11.11.2006, 20:08
MOCT

[QUOTE=Andrey M]Спасибо Вам!!!Трояну "кирдык"!!!
[/QUOTE]
ну и хорошо. если пользуетесь платежной системой e-gold - на всякий случай поменяйте пароль.

[QUOTE=Andrey M]
С меня причитается!Будете в наших краях......,подарю любой офорт [url]http://eau-forte.narod.ru/other.htm[/url]
Это мои работы.[/QUOTE]
красиво :thumbsup:
21.11.2006, 23:31
AndreyKa

DrWeb классифицировал троянов так:
C:\WINDOWS\system32\ipv6monk.dll - Trojan.PWS.Tanspy
C:\WINDOWS\system32\MemMan.dll - Trojan.PWS.GoldSpy
судя по именам, они воруют пароли. Вам необходимо сменить [b]все[/b] пароли, использовавшиеся на зараженном компьютере. (почта, ICQ и т.д.)
22.11.2006, 01:55
MOCT

[QUOTE=AndreyKa]DrWeb классифицировал троянов так:
C:\WINDOWS\system32\ipv6monk.dll - Trojan.PWS.Tanspy
C:\WINDOWS\system32\MemMan.dll - Trojan.PWS.GoldSpy
судя по именам, они воруют пароли. Вам необходимо сменить [b]все[/b] пароли, использовавшиеся на зараженном компьютере. (почта, ICQ и т.д.)[/QUOTE]
судя по именам, они воруют банковские аккаунты ;) (E-Gold, internet banking). так что в первую очередь поменяйте пароли на электронные кошельки.