Вирус Win32/Spy.Goldun.GU: идентифицировано но не вылечено.
Здравствуйте.
Проблема у меня в следующем: Nod32, сканируя оперативку выдает сообщение: модифицированный Win32/Spy.Goldun.GU троян найден в оперативной памяти. Файл может быть удален. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\xartcd5.dll. Дальнейшая очистка проблему не решает.
Прошу помощи у знающих.
Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Здравствуйте.
Проблема у меня в следующем: Nod32, сканируя оперативку выдает сообщение: модифицированный Win32/Spy.Goldun.GU троян найден в оперативной памяти. Файл может быть удален. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\xartcd5.dll. Дальнейшая очистка проблему не решает.
Прошу помощи у знающих.
Заранее спасибо.
1. Выберите "Файл" - "Добавление в карантин по списку". 2. В верхнем окне введите список файлов которые Вас просили прислать. 3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен" 4. Закройте текущее окно "Добавление в карантин по списку" 5. Выберите из меню "Файл" - >"Просмотр карантина". 6. Справа в списке файлов отметьте те файлы которые хотите выслать. 7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив. 8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Выполнил все пункты. Файлы отправлены.
Профиксил данные строки. После перезагрузки строка:
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) все еще висит в списке HijackThis.
Выполнил все пункты. Файлы отправлены.
Профиксил данные строки. После перезагрузки строка:
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) все еще висит в списке HijackThis.
Сделал все по ссылке. Hijack This выдает сообщение. The service 'PowerManager' is enabled and/or runing. Disable it firstt, using HijackThis itself (from the scan results) or SErvices.msc window.
Че делать-не знаю.
Извените, если вдруг туплю на ровном месте.
-мда... похоже, всё, что Вы нам прислали пойдёт на пополнение базы безопасных, а вот то что действительно хотелось бы пощупать в карантин AVZ и не попало...
-давайте ещё попробуем так, выполните в AVZ скрипт:
Сделано.
Строка
O23 - Service: Power Manager (PowerManager) - Unknown owner -C:\WINDOWS\svchost.exe (file missing)
из реестра вроде исчезла.
Строку
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
профиксил кнопкой 'FixChecked', она помещена в раздел 'Backups'.Надо ли с ней делать еще что-то?
-поскольку нам так и не удалось получить образцы вышеперечисленных объектов, а используемый вами NOD32 окончательно решить проблему не может, предлагаю:
*сменить антивирус, хотя бы временно, ну, скажем на DrWeb, возможно он справится, измените в настройках SpIDer Guard`а режим проверки "на лету" из Оптимального на Другой (Запуск и открытие + Создание и запись) и перезагрузите ПК; (позже вернёте режим проверки "на лету" на Оптимальный, а то он может довольно заметно тормозить работу на Машине)
**сменить все пароли - почтовые, ICQ и т.д. и т.п.;
***обновите ОС Windows XP SP1 до SP2 + несколько десятков обновлений(без этого никак не удастся добиться сколь нибудь стабильного положительного результата)
Ура! DrWeb справился моментально. Только закончил все обновления. Система в порядке(поплюем через оба плеча). ОГРОМНЕЙШЕЕ СПАСИБО за помощь и рекомендации!!!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: