Вирус Win32/Spy.Goldun.GU: идентифицировано но не вылечено.
Здравствуйте.
Проблема у меня в следующем: Nod32, сканируя оперативку выдает сообщение: модифицированный Win32/Spy.Goldun.GU троян найден в оперативной памяти. Файл может быть удален. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\xartcd5.dll. Дальнейшая очистка проблему не решает.
Прошу помощи у знающих.
Заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-для начала выполните в AVZ скрипт:Сообщение от Jarbon
-далее, выполните, начиная с пятого пунктаbegin
QuarantineFile('C:\WINDOWS\system32\nutafun4.dll', '');
QuarantineFile('C:\WINDOWS\Temp\JET6DA9.tmp','');
QuarantineFile('H:\Program Files\ad\AdMunch.exe','');
QuarantineFile('C:\WINDOWS\PowerS.exe','');
QuarantineFile('H:\Program Files\ad\AdMunch.dll','');
QuarantineFile('C:\WINDOWS\System32\xartcd5.dll',' ');
QuarantineFile('c:\windows\powers.exe','');
QuarantineFile('h:\program files\ad\admunch.exe','');
QuarantineFile('\??\C:\WINDOWS\System32\xartcd7.sy s','');
QuarantineFile('c:\documents and settings\andrey\Рабочий стол\inetaccess.exe','');
end.-кроме того, пофиксить в HijackThis строки:Приложение 2. Поиск файлов при помощи AVZ.
1. Выберите "Файл" - "Добавление в карантин по списку".
2. В верхнем окне введите список файлов которые Вас просили прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"
5. Выберите из меню "Файл" - >"Просмотр карантина".
6. Справа в списке файлов отметьте те файлы которые хотите выслать.
7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
Последний раз редактировалось Alex Plutoff; 02.12.2006 в 05:40.
С уважением,
Alex Plutoff
А. ПЛАТОВ
Выполнил все пункты. Файлы отправлены.
Профиксил данные строки. После перезагрузки строка:
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing) все еще висит в списке HijackThis.
http://virusinfo.info/showpost.php?p=80604&postcount=2
Сделал все по ссылке. Hijack This выдает сообщение. The service 'PowerManager' is enabled and/or runing. Disable it firstt, using HijackThis itself (from the scan results) or SErvices.msc window.
Че делать-не знаю.
Извените, если вдруг туплю на ровном месте.
-мда... похоже, всё, что Вы нам прислали пойдёт на пополнение базы безопасных, а вот то что действительно хотелось бы пощупать в карантин AVZ и не попало...
-давайте ещё попробуем так, выполните в AVZ скрипт:...ну, а дальше Вы уже знаете, с пункта 5 Приложения 2.begin
SearchRootkit(True, True);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nutafun4.dll', '');
QuarantineFile('C:\WINDOWS\Temp\JET6DA9.tmp','');
QuarantineFile('C:\WINDOWS\System32\xartcd5.dll',' ');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\xartcd7.sys',' ');
DeleteFile('C:\WINDOWS\svchost.exe');
ExecuteSysClean;
RebootWindows(True);
end.
Последний раз редактировалось Alex Plutoff; 02.12.2006 в 20:20.
С уважением,
Alex Plutoff
А. ПЛАТОВ
Сделано.
Строка
O23 - Service: Power Manager (PowerManager) - Unknown owner -C:\WINDOWS\svchost.exe (file missing)
из реестра вроде исчезла.
Строку
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
профиксил кнопкой 'FixChecked', она помещена в раздел 'Backups'.Надо ли с ней делать еще что-то?
-поскольку нам так и не удалось получить образцы вышеперечисленных объектов, а используемый вами NOD32 окончательно решить проблему не может, предлагаю:
*сменить антивирус, хотя бы временно, ну, скажем на DrWeb, возможно он справится, измените в настройках SpIDer Guard`а режим проверки "на лету" из Оптимального на Другой (Запуск и открытие + Создание и запись) и перезагрузите ПК; (позже вернёте режим проверки "на лету" на Оптимальный, а то он может довольно заметно тормозить работу на Машине)
**сменить все пароли - почтовые, ICQ и т.д. и т.п.;
***обновите ОС Windows XP SP1 до SP2 + несколько десятков обновлений(без этого никак не удастся добиться сколь нибудь стабильного положительного результата)
С уважением,
Alex Plutoff
А. ПЛАТОВ
Ура! DrWeb справился моментально. Только закончил все обновления. Система в порядке(поплюем через оба плеча). ОГРОМНЕЙШЕЕ СПАСИБО за помощь и рекомендации!!!
-не помешает полная проверка Сканером всех дисков на ПК, лучше в Безопасном режиме (SafeMod, F8 до начала загрузки ОС)
С уважением,
Alex Plutoff
А. ПЛАТОВ
Уважаемый(ая) Jarbon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
