Показано с 1 по 10 из 10.

Вирус Win32/Spy.Goldun.GU: идентифицировано но не вылечено. (заявка № 6973)

  1. #1
    Junior Member Репутация
    Регистрация
    02.12.2006
    Сообщений
    5
    Вес репутации
    41

    Thumbs up Вирус Win32/Spy.Goldun.GU: идентифицировано но не вылечено.

    Здравствуйте.
    Проблема у меня в следующем: Nod32, сканируя оперативку выдает сообщение: модифицированный Win32/Spy.Goldun.GU троян найден в оперативной памяти. Файл может быть удален. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\xartcd5.dll. Дальнейшая очистка проблему не решает.
    Прошу помощи у знающих.
    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    Цитата Сообщение от Jarbon
    Здравствуйте.
    Проблема у меня в следующем: Nod32, сканируя оперативку выдает сообщение: модифицированный Win32/Spy.Goldun.GU троян найден в оперативной памяти. Файл может быть удален. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\xartcd5.dll. Дальнейшая очистка проблему не решает.
    Прошу помощи у знающих.
    Заранее спасибо.
    -для начала выполните в AVZ скрипт:
    begin
    QuarantineFile('C:\WINDOWS\system32\nutafun4.dll', '');
    QuarantineFile('C:\WINDOWS\Temp\JET6DA9.tmp','');
    QuarantineFile('H:\Program Files\ad\AdMunch.exe','');
    QuarantineFile('C:\WINDOWS\PowerS.exe','');
    QuarantineFile('H:\Program Files\ad\AdMunch.dll','');
    QuarantineFile('C:\WINDOWS\System32\xartcd5.dll',' ');
    QuarantineFile('c:\windows\powers.exe','');
    QuarantineFile('h:\program files\ad\admunch.exe','');
    QuarantineFile('\??\C:\WINDOWS\System32\xartcd7.sy s','');
    QuarantineFile('c:\documents and settings\andrey\Рабочий стол\inetaccess.exe','');
    end.
    -далее, выполните, начиная с пятого пункта
    Приложение 2. Поиск файлов при помощи AVZ.


    1. Выберите "Файл" - "Добавление в карантин по списку".
    2. В верхнем окне введите список файлов которые Вас просили прислать.
    3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
    4. Закройте текущее окно "Добавление в карантин по списку"
    5. Выберите из меню "Файл" - >"Просмотр карантина".
    6. Справа в списке файлов отметьте те файлы которые хотите выслать.
    7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
    8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
    -кроме того, пофиксить в HijackThis строки:
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
    Последний раз редактировалось Alex Plutoff; 02.12.2006 в 05:40.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Junior Member Репутация
    Регистрация
    02.12.2006
    Сообщений
    5
    Вес репутации
    41
    Выполнил все пункты. Файлы отправлены.
    Профиксил данные строки. После перезагрузки строка:
    O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) все еще висит в списке HijackThis.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Jarbon
    Выполнил все пункты. Файлы отправлены.
    Профиксил данные строки. После перезагрузки строка:
    O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) все еще висит в списке HijackThis.
    http://virusinfo.info/showpost.php?p=80604&postcount=2

  6. #5
    Junior Member Репутация
    Регистрация
    02.12.2006
    Сообщений
    5
    Вес репутации
    41
    Сделал все по ссылке. Hijack This выдает сообщение. The service 'PowerManager' is enabled and/or runing. Disable it firstt, using HijackThis itself (from the scan results) or SErvices.msc window.
    Че делать-не знаю.
    Извените, если вдруг туплю на ровном месте.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -мда... похоже, всё, что Вы нам прислали пойдёт на пополнение базы безопасных, а вот то что действительно хотелось бы пощупать в карантин AVZ и не попало...
    -давайте ещё попробуем так, выполните в AVZ скрипт:
    begin
    SearchRootkit(True, True);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\nutafun4.dll', '');
    QuarantineFile('C:\WINDOWS\Temp\JET6DA9.tmp','');
    QuarantineFile('C:\WINDOWS\System32\xartcd5.dll',' ');
    QuarantineFile('C:\WINDOWS\svchost.exe','');
    QuarantineFile('C:\WINDOWS\System32\xartcd7.sys',' ');
    DeleteFile('C:\WINDOWS\svchost.exe');
    ExecuteSysClean;
    RebootWindows(True);
    end.
    ...ну, а дальше Вы уже знаете, с пункта 5 Приложения 2.
    Последний раз редактировалось Alex Plutoff; 02.12.2006 в 20:20.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  8. #7
    Junior Member Репутация
    Регистрация
    02.12.2006
    Сообщений
    5
    Вес репутации
    41
    Сделано.
    Строка
    O23 - Service: Power Manager (PowerManager) - Unknown owner -C:\WINDOWS\svchost.exe (file missing)
    из реестра вроде исчезла.
    Строку
    O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
    профиксил кнопкой 'FixChecked', она помещена в раздел 'Backups'.Надо ли с ней делать еще что-то?
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -поскольку нам так и не удалось получить образцы вышеперечисленных объектов, а используемый вами NOD32 окончательно решить проблему не может, предлагаю:
    *сменить антивирус, хотя бы временно, ну, скажем на DrWeb, возможно он справится, измените в настройках SpIDer Guard`а режим проверки "на лету" из Оптимального на Другой (Запуск и открытие + Создание и запись) и перезагрузите ПК; (позже вернёте режим проверки "на лету" на Оптимальный, а то он может довольно заметно тормозить работу на Машине)
    **сменить все пароли - почтовые, ICQ и т.д. и т.п.;
    ***обновите ОС Windows XP SP1 до SP2 + несколько десятков обновлений(без этого никак не удастся добиться сколь нибудь стабильного положительного результата)
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  10. #9
    Junior Member Репутация
    Регистрация
    02.12.2006
    Сообщений
    5
    Вес репутации
    41

    Talking

    Ура! DrWeb справился моментально. Только закончил все обновления. Система в порядке(поплюем через оба плеча). ОГРОМНЕЙШЕЕ СПАСИБО за помощь и рекомендации!!!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -не помешает полная проверка Сканером всех дисков на ПК, лучше в Безопасном режиме (SafeMod, F8 до начала загрузки ОС)
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  • Уважаемый(ая) Jarbon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Троян Win32.Goldun.bst и подобные
      От Эдгар в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.02.2009, 13:32
    2. win32 spy.goldun
      От Neri в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 31.01.2009, 12:32
    3. Trojan-Spy.Win32.Goldun.axw
      От priv8v в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 30.09.2008, 20:39
    4. Trojan-Spy.Win32.Goldun.pw
      От NStorm в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 30.08.2007, 11:43
    5. Trojan-Spy.Win32.Goldun.no
      От Andrey M в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.11.2006, 01:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00196 seconds with 17 queries