Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

странности после удаления trojan.pws.goldspy (заявка № 7521)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41

    Question странности после удаления trojan.pws.goldspy

    Здравствуйте ! Вчера Cure It во время проверки в безопаснм режиме нашел trojan.pws.goldspy в двух местах : экзешник в Local Settings/Temporary.../Content.IE5, который Cure It удалил и
    в c:/winnt/system32/msvcrl.dll, про который CureIt написал, что "будет исцелен". После перезагрузки я заметила странное поведение мыши. Когда ее указатель в виде стрелки, рядом со стрелкой мерцающие песочные часы, т.е. они практически не исчезают, очень напрягает. При вызове Диспетчера задач поверх него всплывает сообщение:"Приложению не удалось запуститься, т.к. msvcrl.dll не был найден. Повторная установка приложения может исправить эту проблему". То же самое сообщение появляется если нажать на значок Internet Explorer на рабочем столе. Но я обычно не пользуюсь IE, а пользуюсь MyIE, которое работает нормально. В Диспетчере задач буквально мечется со строки на строку процесс iexplore.exe из System размером 760 кБ. Виндоус заметно стал притормаживать, но не критично. Заранее большое спасибо за помощь !!!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Это становиться уже совсем интересно , Ха Ха...
    Попробуем так :
    Те файлы , которые попадут в карантин , пришлите по правилам .
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINNT\system32\svchost.exe:exe.exe:$DATA','');
     QuarantineFile('C:\WINNT\system32\thumbvw.dll','');
     QuarantineFile('C:\WINNT\system32\testtestt.exe','');
     QuarantineFile('C:\WINNT\bdoscandel.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
     QuarantineFile('iexplore.exe','');
    RebootWindows(true);
    end.

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41
    Эти файлы AVZ не нашел даже по метке:
    QuarantineFile('C:\WINNT\system32\svchost.exe:exe. exe:$DATA','');
    QuarantineFile('C:\WINNT\system32\thumbvw.dll','') ;
    QuarantineFile('C:\WINNT\system32\testtestt.exe',' ');
    QuarantineFile('C:\WINNT\bdoscandel.exe','');
    Эти выслала по e-mail, т.к. страничка для их загрузки не открывалась: "Сервер не найден"
    Код:
     
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll','');
     QuarantineFile('iexplore.exe','')
    iexplore.exe был найден в двух дирректориях - в Program Files (этот удалось выслать) и еще в c:winnt/system32/dllcache/iexplore.exe
    С последним что-то странное, добавляю его в карантин, но в просмотре карантина его нет. Поэтому отправить не удалось.

  5. #4
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41
    В ответ на мой e-mail c вложенным архивом получила ответ:
    Вам не резрешено отправлять сообщения в этот список рассылки, и ваше
    сообщение было автоматически отклонено. Если вы считаете это ошибкой,
    обратитесь к администратору списка рассылки по адресу
    virus-owner@virusinfo.info.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1640
    Карантин нужно высылать в соответствии с приложением 2 правил обращения, выполнять с пятого пункта. ссылка на вашу тему - http://virusinfo.info/showthread.php?t=7521

  7. #6
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41
    Карантин нужно высылать в соответствии с приложением 2 правил обращения, выполнять с пятого пункта. ссылка на вашу тему -
    Я так и сделала, но дело в том, что у меня не открывается эта страничка
    http://virusinfo.info/upload_virus.php
    Тогда, как указанно на крайний случай, я отправила по почте, но все вернулось назад.
    P.S. Попробовала еще раз загрузить страничку, теперь нормально все отправилось.
    Еще хочу добавить, что запустила сейчас Ad-Aware и через минуту вылетел синий экран с текстом, что-то про память, испугалась, нажала reset.
    Скажите, а восстановление системы уже можно включать обратно ?
    Последний раз редактировалось Olha; 17.01.2007 в 00:16.

  8. #7
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41
    После скрипта еще раз отправила файл из Карантина
    Файл сохранён как 070116_160116_virus2_45ad4b2c7bcf7.zip
    Размер файла 12500
    MD5 f069a42d452d524073ae63ddf3a3dfa1

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll по классификации DrWeb является BackDoor.Uragan.origin
    - скачайте утилиту DrWebCureIT! и пролечите ПК, лучше в Safe Mode (Безопасный режим, F8 до загрузки Windows)
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1640
    Цитата Сообщение от Alex Plutoff Посмотреть сообщение
    C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll по классификации DrWeb является BackDoor.Uragan.origin
    - скачайте утилиту DrWebCureIT! и пролечите ПК, лучше в Safe Mode (Безопасный режим, F8 до загрузки Windows)
    не пойдёт, *.origin только в beta, с куритом надо ждать пока добавят.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    Цитата Сообщение от Shu_b Посмотреть сообщение
    не пойдёт, *.origin только в beta, с куритом надо ждать пока добавят.
    - а если не в моготу тогда можно средствами нынешнего релиза всё же попробовать, там эвристик как будто что-то видит:
    winsys2f.dll packed by UPACK
    В файле >winsys2f.dll возможно обнаружен вирус BACKDOOR.Trojan
    ...ну или ручками, с помощью инструментария AVZ
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  12. #11
    Geser
    Guest
    Да тут, похоже сразу 2 руткита. Сейчас попробую написать инструкцию для лечения

  13. #12
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41
    Цитата Сообщение от Alex Plutoff Посмотреть сообщение
    C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll по классификации DrWeb является BackDoor.Uragan.origin
    - скачайте утилиту DrWebCureIT! и пролечите ПК, лучше в Safe Mode (Безопасный режим, F8 до загрузки Windows)
    Так я это и проделала в самом начале (см. мой post №1), в безопасном же режиме после исцеления msvcrl.dll сразу появились мерцающие песочные часы возле стрелки. После чего все странности и начались. А вирус был trojan.pws.goldspy, причем нашел его Cure It от 15.01.07 (поначалу я запустила версию от 12.01.07, которая этот trojan не обнаружила). Никаких Backdoor CureIt не нашел
    Последний раз редактировалось Olha; 17.01.2007 в 11:36. Причина: пропуск буквы

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Olha , а что со скриптом , который Гeсер предложил ? Выполнила ? где новые логи после операции и лог boot_clr.log?

  15. #14
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41
    Выполнить скрипт. После перегрузки повторить логи и добавить boot_clr.log который появится в директории АВЗ
    Geser, большое спасибо ! Приду вечером с работы, попробую.
    А логи сохранятся в директории АВЗ под новым именем или мне надо удалить старые ?
    А что же делать с iexplore.exe, который так и остался бегать со строки на строку с бешенной скоростью в Диспетчере , а также с часами у стрелки мыши ?
    И еще, как это могло попасть - с почтой или торрентами ? Мне вообще не приходит спам, даже не представляю, откуда столько гадости.

  16. #15
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41
    Цитата Сообщение от drongo Посмотреть сообщение
    Olha , а что со скриптом , который Гeсер предложил ? Выполнила ? где новые логи после операции и лог boot_clr.log?
    Смогу только после 19.00

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Цитата Сообщение от Olha
    как это могло попасть - с почтой или торрентами ?
    Local Settings/Temporary.../Content.IE5 - это кэш Internet Explorer. Значит, на какой-то web-странице подцепили.

  18. #17
    Geser
    Guest
    Вот подсказали, видимо, более правильный скрипт

    Код:
    begin
     // Нейтрализация руткитов
     SearchRootkit(true, true);
     // Активация AVZGuard
     SetAVZGuardStatus(True);
     // Отложенное удаление файлов
     DeleteFile('c:\winnt\system32\svchost.exe:exe.exe:$DATA');
     DeleteFile('c:\winnt\system32\svchost.exe:exe.exe');
     DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\winsys2f.dll');
     // Импорт списка удаленных файлов в настройки Boot Cleaner 
     BC_ImportDeletedList; 
     // Чистка ссылок на удаленные файлы 
     ExecuteSysClean;  
     //Удаление драйвера PE386
     BC_DeleteSvc('PE386');
     // Активация BootCleaner и перезагрузка 
     BC_LogFile(GetAVZDirectory + 'boot_clr.log'); 
     BC_Activate;  
     RebootWindows(true); 
    end.

  19. #18
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41
    Вот подсказали, видимо, более правильный скрипт
    Спасибо ! Только подскажите пожалуйста (чтобы чего не того не сделала), после скрипта и перезагрузки для получения логов, мне надо опять сделать Скрипт лечения и карантина и т.п. с пункта 8 ? Или эти логи в директории AVZ изменятся автоматически ?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    972
    Цитата Сообщение от Olha Посмотреть сообщение
    Спасибо ! Только подскажите пожалуйста (чтобы чего не того не сделала), после скрипта и перезагрузки для получения логов, мне надо опять сделать Скрипт лечения и карантина и т.п. с пункта 8 ? Или эти логи в директории AVZ изменятся автоматически ?
    Нужно новые сделать самой И прикрепить новые нужно , старые мы уже видели

  21. #20
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    16
    Вес репутации
    41
    Скрипт выполнила. После перзагрузки песочные часы у стрелки пропали, и процесс iexplore.exe из Диспетчера - тоже. Но при нажатии на значок IE на рабочем столе выдает ту же ошибку, что не найдено msvcrl.dll
    Прикрепляю логи
    Вложения Вложения

  • Уважаемый(ая) Olha, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 16
      Последнее сообщение: 22.02.2009, 01:52
    2. Не лечится Trojan.PWS.GoldSpy
      От doorstuck в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 01:45
    3. Замучили Trojan.Proxy и Trojan.PWS.GoldSpy
      От AndyLey в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:38
    4. Trojan.PWS.GoldSpy и BackDoor.Haxdoor.363
      От Rogoff в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.04.2007, 11:55
    5. Trojan.PWS.GoldSpy невозможно удалить
      От greenie в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.02.2007, 22:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00498 seconds with 17 queries