Обнаружен Win32.TrojanSpy.Goldun. Не могу удалить, выключается комп.

[SIZE=3][FONT=Times New Roman]Все признаки заражения вирусом. 7 января сидел в интернете и я и жена, а на следующий день после включения компа, и выхода в Интернет, вдруг выскочило сообщение аутпоста о том, что процесс WinLogon запрашивает соединение по протоколу ТСР с адресом 58.65.237.65. Естественно, я сразу напрягся и понял, что комп заражен. После блокировки соединения, Winlogon снова запрашивал соединения с адресами [URL="http://www.distripharma.fr/"][COLOR=#0000ff]www.distripharma.fr[/COLOR][/URL] и [URL="http://www.iod2006.net/"][COLOR=#0000ff]www.iod2006.net[/COLOR][/URL][/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman]Соединения я блокировал, но вчера просмотрел логи аутпоста, в разрешенных соединениях есть соединения Internet Explorer с адресом 58.65.237.65. При каждом таком соединении исходящий трафик около 200 килобайт, входящего нет.[/FONT][/SIZE]

[FONT=Times New Roman][SIZE=3]8 января я скачал новые базы для AVP, для AVZ и скачал последнюю версию HijackThis, все, как в Правилах.[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]Проверка Антивирусом Касперского ничего не дала, вирусы обнаружены не были.[/SIZE][/FONT]

[FONT=Times New Roman][SIZE=3]Выполнил проверку по скриптам AVZ, она показала подозрение на троянскую программу или кейлоггер (логи и файл из карантина прилагаются).[/SIZE][/FONT]

[SIZE=3][FONT=Times New Roman]Утилита [COLOR=black]HijackThis у меня не запустилась. Вообще. Ни родной файл, ни скачанный переименованный… Никак. Выдает сообщение «Приложению не удалось запуститься, поскольку [/COLOR][COLOR=black]MSVBVM[/COLOR][COLOR=black]60.[/COLOR][COLOR=black]dll[/COLOR][COLOR=black]не был найден».[/COLOR][/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman][COLOR=black]Решил проверить с помощью [/COLOR][COLOR=black]Ad[/COLOR][COLOR=black]-[/COLOR][COLOR=black]Aware[/COLOR][COLOR=black]от [/COLOR][COLOR=black]LavaSoft[/COLOR][COLOR=black]. И вот тут начались приключения. [/COLOR][/FONT][/SIZE][SIZE=3][FONT=Times New Roman][COLOR=black]После запуска сканирования в [/COLOR][COLOR=black]Ad[/COLOR][COLOR=black]-[/COLOR][COLOR=black]Aware[/COLOR][COLOR=black], в аутпосте выскакивает сообщение «[/COLOR][COLOR=black]Ad[/COLOR][COLOR=black]-[/COLOR][COLOR=black]Aware[/COLOR][COLOR=black].[/COLOR][COLOR=black]exe[/COLOR][COLOR=black] изменил область памяти процесса [/COLOR][COLOR=black]WinLogon[/COLOR][COLOR=black].[/COLOR][COLOR=black]exe[/COLOR][COLOR=black] и поэтому соединение с Интернет для него будет заблокировано» и следом за ним такие же сообщения для процессов [/COLOR][COLOR=black]Outpost[/COLOR][COLOR=black].[/COLOR][COLOR=black]exe[/COLOR][COLOR=black], [/COLOR][COLOR=black]ALG[/COLOR][COLOR=black].[/COLOR][COLOR=black]exe[/COLOR][COLOR=black], [/COLOR][COLOR=black]SVCHOST[/COLOR][COLOR=black].[/COLOR][COLOR=black]exe[/COLOR][COLOR=black], [/COLOR][COLOR=black]ABBYYNEWSREADER[/COLOR][COLOR=black].[/COLOR][COLOR=black]exe[/COLOR][COLOR=black]. После этого, тестирование проходит буквально несколько секунд (от 10 до 30) и комп выключается. При этом на мониторе появляется синий экран с абракадаброй иероглифов, из которой на английском написано только [/COLOR][COLOR=black]Windows[/COLOR][COLOR=black]Logon[/COLOR][COLOR=black]Process[/COLOR][COLOR=black].[/COLOR][/FONT][/SIZE]

[SIZE=3][FONT=Times New Roman][COLOR=black]Пытался выключать Касперского, аутпост, все равно, тест идет иногда чуть дольше, иногда сразу вырубает… Единственный раз мне удалось прервать тестирование и посмотреть лог, там было обнаружено 18 записей со ссылкой на тот самый файл, который определился [/COLOR][COLOR=black]AVZ[/COLOR][COLOR=black], его название [/COLOR][B]regsd73u.dll ([/B]приложен в архиве карантинном) и был определен вирус[B] Win32.TrojanSpy.Goldun.[/B] Больше я не смог ничего сделать, потому что с помощью Ad-Aware я не могу даже тест закончить, не говоря уж об удалении вируса.[/FONT][/SIZE]

[FONT=Times New Roman][SIZE=3]Подскажите, что делать. Я так понимаю, что собранная трояном инфа уже была выслана наружу. Очень не хочется переустанавливать систему…[/SIZE][/FONT]

AVZ - Файл - Выполнить скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\C:\WINDOWS\system32\reg0x86a.sys','');
QuarantineFile('C:\WINDOWS\system32\regsd73u.dll','');
DeleteFile('C:\WINDOWS\system32\regsd73u.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7450[/url]

В дополнение: Скачайте последнюю версию AVZ - 4.23 - [url]http://z-oleg.com/avz4.zip[/url]
И, если возможно, сделайте лог Hijackthis

У пана VB6-рантайм отсутствует :? Поэтому пока обойдёмся логами AVZ. Лучше, конечно, свежей версии и со свежими базами.

Скрипт выполнил. Файл из карантина выслал строго в соответствии с Приложением 2. (Когда писал первый пост, то карантин высылал также, странно, что он не дошел)
Кстати, reg0x86a.sys по скрипту не был добавлен в карантин, мне пришлось его добавлять вручную ;)

Спасибо.

Hijackthis сволочь так и не хочет запускаться...

Если нужны логи AVZ после удаления трояна, могу сделать и прислать. Нужно?

Выполнил скрипты по проверке после удаления трояна, прикладываю.

Скажите, почему в обоих логах уже удаленная regsd73u.dll показана в разделе "Автозапуск"? Стартером в автозапуске ее не видно.
Троян-то удален? Можно дальше спокойно работать? :)

P.S. Удалял трояна и делал скрипты уже версией 4.23, базы от 9.01.2007.

Главное, что злодея в памяти нет, это хорошо.
AVZ - Сервис - Менеджер автозапуска
Слева выбираете Winlogon, справа - regsd73u.dll, жмёте на кнопку "Удалить".

Попробуйте, скачайте [url=http://www.lankgroup.ru/files/MS/msvbvm60.rar]отсюда[/url]. Разверните в c:\windows\system32\ или даже положите в одну папку с HijackThis. Поможет?

[QUOTE]AVZ - Сервис - Менеджер автозапуска
Слева выбираете Winlogon, справа - regsd73u.dll, жмёте на кнопку "Удалить".[/QUOTE]
Сделано.

[QUOTE]Попробуйте, скачайте [URL="http://www.lankgroup.ru/files/MS/msvbvm60.rar"]отсюда[/URL]... или даже положите в одну папку с HijackThis. Поможет?[/QUOTE]
Помогло даже в одной папке с HijackThis. Новые логи привожу.

Прошу обратить внимание, что в модулях пространства ядра всё сидит reg0x86a.sys. Это нормально?

Также смутила строка лога HijackThis:
O20 - Winlogon Notify: regsd73u - C:\WINDOWS\

Простите мне мою дотошность, но уж лучше выспросить всё, чем сидеть в догадках. :)

Присланные файлы определяются DrWeb как Trojan.PWS.GoldSpy
Выполните следующее: в программе Hijackthis [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/URL] следующие строчки: [code]O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: regsd73u - C:\WINDOWS\[/code]
Программа AVZ - файл - выполнить скрипт - [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] [code]begin
BC_DeleteSvc('reg0x86a');
BC_LogFile(GetAVZDirectory + 'bc.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Система будет перезагружена. После перезагрузки сделайте, пожалуйста, новые логи и добавьте файл bc.log из директории AVZ. А Касперский у вас легальный? Если да, то имеет смысл перейти с 5-го на 6-й

[quote]Пофиксите... выполните скрипт... пришлите логи...[/quote]Ок, вечерком попробую сделать.

[quote]А Касперский у вас легальный? Если да, то имеет смысл перейти с 5-го на 6-й[/quote]<Густо покраснел> К сожалению, нелегальный...

Простите, может глупость спрошу :)
А после такой операции система нормально будет работать? Не собъется ничего? А то жене нужно будет в выходные работать, ей нужно, чтобы все работало как и раньше :)

Я просто не работал еще с Hijackthis... Да и AVZ пользуюсь только второй раз (но уже очень доволен ей)

Не собьётся. Жить будет. Как и раньше, но без зверей :)

Итак, пофиксил, выполнил скрипт в AVZ, логи собрал, прикладываю.

Вроде бы все сделал правильно, а вот bc.log почему-то создан не был... Поиском прогнал, не нашел его.

Что еще нужно сделать? :)

Я, вроде бы, ничего не вижу больше. В системе должен был остаться драйвер от AVZ. В принципе, он не должен мешать, но если хотите его убрать - выполните: программа AVZ - пункт AVZPM - удалить драйвер расширенного мониторинга процессов. На всякий случай, если есть возможность, скачайте утилиту CureIt! - [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url]
и просканируйте машину, лучше, загрузившись в безопасном режиме.

[QUOTE]В системе должен был остаться драйвер от AVZ. В принципе, он не должен мешать, но если хотите его убрать...[/QUOTE]
Он мне не мешает абсолютно, я так понимаю, что он не блокирует работу остальных приложений, поэтому я не буду его отключать.

[QUOTE]На всякий случай, если есть возможность, скачайте утилиту CureIt![/QUOTE]
Скачал, проверил, вроде всё чисто.

[B][COLOR=blue]Спасибо ОГРОМНОЕ, всем![/COLOR][/B] Олегу за что, что разработал классную программу, остальным за помощь оперативную и очень грамотную! О AVZ узнал случайно где-то на просторах инета, когда читал про предыдущего трояна, сидевшего еще в ноябре, скачал, проверил и удалил тогда самостоятельно, утилитка очень удобная и умная.

P.S.: чуть позже обращусь с еще одним вопросом, в другой теме, так сказать, прояснить для себя непонятки, которые были до НГ.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\regsd73u.dll - [B]Trojan-Spy.Win32.Goldun.oo[/B] (DrWEB: Trojan.PWS.GoldSpy)[*] c:\\windows\\system32\\reg0x86a.sys - [B]Trojan-Spy.Win32.Goldun.oo[/B] (DrWEB: Trojan.PWS.GoldSpy)[/LIST][/LIST]