Обнаружен Win32.TrojanSpy.Goldun. Не могу удалить, выключается комп.

[briand]

Все признаки заражения вирусом. 7 января сидел в интернете и я и жена, а на следующий день после включения компа, и выхода в Интернет, вдруг выскочило сообщение аутпоста о том, что процесс WinLogon запрашивает соединение по протоколу ТСР с адресом 58.65.237.65. Естественно, я сразу напрягся и понял, что комп заражен. После блокировки соединения, Winlogon снова запрашивал соединения с адресами www.distripharma.fr и www.iod2006.net

Соединения я блокировал, но вчера просмотрел логи аутпоста, в разрешенных соединениях есть соединения Internet Explorer с адресом 58.65.237.65. При каждом таком соединении исходящий трафик около 200 килобайт, входящего нет.

8 января я скачал новые базы для AVP, для AVZ и скачал последнюю версию HijackThis, все, как в Правилах.

Проверка Антивирусом Касперского ничего не дала, вирусы обнаружены не были.

Выполнил проверку по скриптам AVZ, она показала подозрение на троянскую программу или кейлоггер (логи и файл из карантина прилагаются).

Утилита HijackThis у меня не запустилась. Вообще. Ни родной файл, ни скачанный переименованный… Никак. Выдает сообщение «Приложению не удалось запуститься, поскольку MSVBVM60.dllне был найден».

Решил проверить с помощью Ad-Awareот LavaSoft. И вот тут начались приключения. После запуска сканирования в Ad-Aware, в аутпосте выскакивает сообщение «Ad-Aware.exe изменил область памяти процесса WinLogon.exe и поэтому соединение с Интернет для него будет заблокировано» и следом за ним такие же сообщения для процессов Outpost.exe, ALG.exe, SVCHOST.exe, ABBYYNEWSREADER.exe. После этого, тестирование проходит буквально несколько секунд (от 10 до 30) и комп выключается. При этом на мониторе появляется синий экран с абракадаброй иероглифов, из которой на английском написано только WindowsLogonProcess.

Пытался выключать Касперского, аутпост, все равно, тест идет иногда чуть дольше, иногда сразу вырубает… Единственный раз мне удалось прервать тестирование и посмотреть лог, там было обнаружено 18 записей со ссылкой на тот самый файл, который определился AVZ, его название regsd73u.dll (приложен в архиве карантинном) и был определен вирус Win32.TrojanSpy.Goldun. Больше я не смог ничего сделать, потому что с помощью Ad-Aware я не могу даже тест закончить, не говоря уж об удалении вируса.

Подскажите, что делать. Я так понимаю, что собранная трояном инфа уже была выслана наружу. Очень не хочется переустанавливать систему…

[pig]

AVZ - Файл - Выполнить скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('\C:\WINDOWS\system32\reg0x86a.sys','');
 QuarantineFile('C:\WINDOWS\system32\regsd73u.dll','');
 DeleteFile('C:\WINDOWS\system32\regsd73u.dll');
 ExecuteSysClean;
 RebootWindows(true);
end.

После перезагрузки пришлите карантин в соответствии с Приложением 2, начиная с пункта 5. Ссылка на тему: http://virusinfo.info/showthread.php?t=7450

[Numb]

В дополнение: Скачайте последнюю версию AVZ - 4.23 - http://z-oleg.com/avz4.zip
И, если возможно, сделайте лог Hijackthis

[pig]

У пана VB6-рантайм отсутствует Поэтому пока обойдёмся логами AVZ. Лучше, конечно, свежей версии и со свежими базами.

[briand]

Скрипт выполнил. Файл из карантина выслал строго в соответствии с Приложением 2. (Когда писал первый пост, то карантин высылал также, странно, что он не дошел)
Кстати, reg0x86a.sys по скрипту не был добавлен в карантин, мне пришлось его добавлять вручную

Спасибо.

Hijackthis сволочь так и не хочет запускаться...

Если нужны логи AVZ после удаления трояна, могу сделать и прислать. Нужно?

[briand]

Выполнил скрипты по проверке после удаления трояна, прикладываю.

Скажите, почему в обоих логах уже удаленная regsd73u.dll показана в разделе "Автозапуск"? Стартером в автозапуске ее не видно.
Троян-то удален? Можно дальше спокойно работать?

P.S. Удалял трояна и делал скрипты уже версией 4.23, базы от 9.01.2007.

[pig]

Главное, что злодея в памяти нет, это хорошо.
AVZ - Сервис - Менеджер автозапуска
Слева выбираете Winlogon, справа - regsd73u.dll, жмёте на кнопку "Удалить".

Попробуйте, скачайте отсюда. Разверните в c:\windows\system32\ или даже положите в одну папку с HijackThis. Поможет?

[briand]

AVZ - Сервис - Менеджер автозапуска
Слева выбираете Winlogon, справа - regsd73u.dll, жмёте на кнопку "Удалить".

Сделано.

Попробуйте, скачайте отсюда... или даже положите в одну папку с HijackThis. Поможет?

Помогло даже в одной папке с HijackThis. Новые логи привожу.

Прошу обратить внимание, что в модулях пространства ядра всё сидит reg0x86a.sys. Это нормально?

Также смутила строка лога HijackThis:
O20 - Winlogon Notify: regsd73u - C:\WINDOWS\

Простите мне мою дотошность, но уж лучше выспросить всё, чем сидеть в догадках.

[Numb]

Присланные файлы определяются DrWeb как Trojan.PWS.GoldSpy
Выполните следующее: в программе Hijackthis пофиксите следующие строчки:

Код:

O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O20 - Winlogon Notify: regsd73u - C:\WINDOWS\

Программа AVZ - файл - выполнить скрипт - выполните скрипт

Код:

begin
 BC_DeleteSvc('reg0x86a');
 BC_LogFile(GetAVZDirectory + 'bc.log');
 BC_Activate;
 RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки сделайте, пожалуйста, новые логи и добавьте файл bc.log из директории AVZ. А Касперский у вас легальный? Если да, то имеет смысл перейти с 5-го на 6-й

[briand]

Пофиксите... выполните скрипт... пришлите логи...

Ок, вечерком попробую сделать.

А Касперский у вас легальный? Если да, то имеет смысл перейти с 5-го на 6-й

<Густо покраснел> К сожалению, нелегальный...

Простите, может глупость спрошу
А после такой операции система нормально будет работать? Не собъется ничего? А то жене нужно будет в выходные работать, ей нужно, чтобы все работало как и раньше

Я просто не работал еще с Hijackthis... Да и AVZ пользуюсь только второй раз (но уже очень доволен ей)

[pig]

Не собьётся. Жить будет. Как и раньше, но без зверей

[briand]

Итак, пофиксил, выполнил скрипт в AVZ, логи собрал, прикладываю.

Вроде бы все сделал правильно, а вот bc.log почему-то создан не был... Поиском прогнал, не нашел его.

Что еще нужно сделать?

[Numb]

Я, вроде бы, ничего не вижу больше. В системе должен был остаться драйвер от AVZ. В принципе, он не должен мешать, но если хотите его убрать - выполните: программа AVZ - пункт AVZPM - удалить драйвер расширенного мониторинга процессов. На всякий случай, если есть возможность, скачайте утилиту CureIt! - ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
и просканируйте машину, лучше, загрузившись в безопасном режиме.

[briand]

В системе должен был остаться драйвер от AVZ. В принципе, он не должен мешать, но если хотите его убрать...

Он мне не мешает абсолютно, я так понимаю, что он не блокирует работу остальных приложений, поэтому я не буду его отключать.

На всякий случай, если есть возможность, скачайте утилиту CureIt!

Скачал, проверил, вроде всё чисто.

Спасибо ОГРОМНОЕ, всем! Олегу за что, что разработал классную программу, остальным за помощь оперативную и очень грамотную! О AVZ узнал случайно где-то на просторах инета, когда читал про предыдущего трояна, сидевшего еще в ноябре, скачал, проверил и удалил тогда самостоятельно, утилитка очень удобная и умная.

P.S.: чуть позже обращусь с еще одним вопросом, в другой теме, так сказать, прояснить для себя непонятки, которые были до НГ.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\regsd73u.dll - Trojan-Spy.Win32.Goldun.oo (DrWEB: Trojan.PWS.GoldSpy)
  2. c:\\windows\\system32\\reg0x86a.sys - Trojan-Spy.Win32.Goldun.oo (DrWEB: Trojan.PWS.GoldSpy)