Компьютерный форум NoWa.cc Здесь может быть Ваша реклама
Правила Форума
редакция от 22.06.2020
Форум .::NoWa.cc::.
Вернуться   Компьютерный форум NoWa.cc > Компьютеры и Интернет > Скорая помощь > Архив

Уважаемые пользователи nowa.cc. Мы работаем для вас более 20 лет и сейчас вынуждены просить о финансовой помощи по оплате за сервер.
Окажите посильную поддержку, мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney WMZ: Z021474945171 Webmoney WME: E159284508897 Webmoney WMUSDT: T206853643180
Кошелёк для вашей помощи YooMoney 4100117770549562
YooMoney Спасибо за поддержку!

Закрытая тема
 
Опции темы Опции просмотра Language
Старый 10.02.2008, 22:47   #1
Пользователь
 
Аватар для StayeR
 
Пол:Мужской
Регистрация: 18.05.2007
Сообщений: 117
Репутация: 233
Exclamation Выручайте! Вирус Win32/Spy.Goldun.SX

Здравствуйте! Тут такая нехорошая ситуация сложилась - по всей видимости, вцепил такую гадость на свой ноутбук... Ситуация такая:
Бук у меня используется в главном офисе, дома, и на выездах...
В моем распоряжении есть 2 сервера, которые я администрирую.
Один из них дома - одно название , а вот второй действительно сервер. Как проявляется - на обоих серваках и на ноуте стоят антивирусники Nod 32 Lan версия 2.70.39. Развернуто 2 зеркала - в офисе обновляется с инета - зеркалит на ноут - ноут зеркалит "домашний сервак". Инет раздается Traffic inspector - там же стоит функция перехвата HTTP трафика на прокси сервер, Nod в свою очередь перехватывает его и прежде чем отдать в сеть сканирует...
Дома все работает по такой схеме, но вот на работе я отключил принудительный роутинг на прокси... В общем, короче, прихожу я 3 дня назад на работу - вылазию в инет выскакивает сообщение об угрозе - я ему говорю - ЗАБЛОКИРОВАТЬ! Следом вылазит сообщение о том что объект найден в папке Windows\temp. Я ему удалить. Проходит минута - опять тоже самое!!! И так до бесконечности! КАЖДУЮ МИНУТУ! Сначала вылазит угроза - потом Temp. Лечится отключением запроса - с выбором действия... Сегодня - прихожу домой, дома стоит перехват трафика "серваком" , подключил ноут в сеть - дальше не надо лишних слов, я просто выложу лог нода:

Лог

Я в ужасе! Пересмотрел все службы, сделал локальный тест - ничего подозрительного! Все чисто! Я сначала грешил что может на работе кто то атакует, там сервак с белым IP. Но за аппаратным фаерволом + софтовым фаерволом. Но дома то обычный "серый инет", за роутером провайдера, так что думаю версия о централизованной атаке отпадает! Что посоветуете???
P.S: какое то странное совпадение! Как только начались эти проблемы - у меня на ноуте сдохла АКБ! Сначала разряжался за 3 минуты - теперь вообще не включается! Странно...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"!
StayeR вне форума
 
Вверх
Здесь может быть Ваша реклама
Здесь может быть Ваша реклама


Реклама: Магазин бытовой техники: eob8s39z - переходи на сайт ТАЙМТВ!Магазин бытовой техники: pozis орб 1п - переходи на сайт ТАЙМТВ!панель управления частотным преобразователем danfossсергей катышев культурное пространствоМебельный магазин: стулья для кухни из массива - Переходи на сайт!


Старый 10.02.2008, 22:56   #2
Witaly
Guest
 
Сообщений: n/a
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Так, я думаю первое что стоит сделать,это сменить антвирус. Для сервера можно поставить Symantec Corporate Edition,Kaspersky или DrWeb для серверов.
Лечится мы будем в safe mode, а поэтому заранее качаем следующие программы
Антивирусная утилита AVZ:
AVZ
Антивирусная утилита CureIt!:
CureIt!
И напоследок SpyBot:
SpyBot
Начинаем лечение:
Грузимся в Safe Mode,cканируем полностью весь компьютер AVZ,ставим в настройках "действий" удалять Трояны,черви,спайваре,кейлогеры и.т.д.
После этого сканируем все полностью SpyBot, что найдет - удаляем.
И напоследок запускаем DrWeb CureIt! и делаем ПОЛНУЮ! проверку,а не БЫСТРУЮ. Что находит - удаляем.
Последнее действие, ставим вместо НОДА Касперского,DrWeb или Symantec Corporate.

Последний раз редактировалось Witaly; 10.02.2008 в 23:02..
  Вверх
Старый 10.02.2008, 23:04   #3
StayeR
Пользователь
 
Аватар для StayeR
 
Пол:Мужской
Регистрация: 18.05.2007
Сообщений: 117
Репутация: 233
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Ну менять антивирусник это уже крайняя мера! Лично меня НОД никогда не подводил... Если конечно не в этот раз... Первое что пришло в голову - это как раз CureIt! Сейчас попробую...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"!
StayeR вне форума
 
Вверх
Старый 10.02.2008, 23:06   #4
Witaly
Guest
 
Сообщений: n/a
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Цитата:
Сообщение от StayeR Посмотреть сообщение
Ну менять антивирусник это уже крайняя мера! Лично меня НОД никогда не подводил... Если конечно не в этот раз... Первое что пришло в голову - это как раз CureIt! Сейчас попробую...

Ты сперва AVZ и SpyBot`oм просканируй все, на компьютере может быть кейлогер или spy какойнибудь. CureIt! на последок.
Если НОД устраивает,смени его на 3-ий хотябы...
  Вверх
Старый 11.02.2008, 07:29   #5
StayeR
Пользователь
 
Аватар для StayeR
 
Пол:Мужской
Регистрация: 18.05.2007
Сообщений: 117
Репутация: 233
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Хм... Интересный поворот событий произошел...

Вот лог скана AVZ

Ну самое интересное что здесь:

[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,AppInit_DLLs,C:\WINDOWS\ system32\rserver30\r3god.dll

Это Radmin... Причем вылеченный от жадности, разумеется... Скачанный с этого форума... После удаления этого файла, радмин остался работоспособным... Кхм...

И второе -
>>> C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем Trojan.Win32.Banker (высокая степень вероятности)
>>> C:\WINDOWS\system32\ntos.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)

Вот, похоже оно! Открыл реестр - нашел ключи автозапуска... Удалить не получалось - файл запускал Winlogon.exe. Через параметр "Userinit".
Дальше разблокировал Unlocker - ом, вырезал на рабочий стол и о ЧУДО! Nod заверищал! Вероятно модифицированный Win32/obfuscated!

Все, будем ждать результат... Тему пока не закрываем...

P.S: CureIt в этом файле ничего криминального не нашел... И оба нашли много безобидного...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"!
StayeR вне форума
 
Вверх
Старый 11.02.2008, 09:48   #6
Skiminok06
Постоялец
 
Аватар для Skiminok06
 
Пол:Мужской
Регистрация: 16.01.2007
Сообщений: 530
Репутация: 125
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Цитата:
Сообщение от StayeR Посмотреть сообщение
Ну менять антивирусник это уже крайняя мера! Лично меня НОД никогда не подводил... Если конечно не в этот раз... Первое что пришло в голову - это как раз CureIt! Сейчас попробую...

А ты NOD32 с фиксом пользуешься?
Если да то он работает как демо версия и обновляется демо базами.
Удали фикс и нод и переустанови нод без фикса. найди альтернативный сайт обновлений. и обновляйся с него. настрой нод на максимальную эфективость. тормозов нет, а работает на все 100.
каспер отдыхает.
Skiminok06 вне форума
 
Вверх
Старый 11.02.2008, 10:25   #7
StayeR
Пользователь
 
Аватар для StayeR
 
Пол:Мужской
Регистрация: 18.05.2007
Сообщений: 117
Репутация: 233
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Да... ОТКУДА ТАКАЯ ИНФА???
На сервер в офисе - совсем недавно фикс поставил... Ну он же вроде и отлавливал нормально...
А на бук, и дома почти сразу фикс поставил...

Я тоже солидарен, что нод - рулит! Главное прямые руки и светлая голова... Он у меня прекрасно настроен на работе - там само все вертится, сканирует, никого не о чем не спрашивает, и ресурсы не жрет! Супер вещь! Не подскажешь альтернативный источник???
ЗЫ: Сервер на работе перезагружать низзяяя...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"!
StayeR вне форума
 
Вверх
Старый 11.02.2008, 12:01   #8
Witaly
Guest
 
Сообщений: n/a
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Так как твоя проблема решена? Удалил бы AVZ ntos.exe и посмотрел бы на результат.
И если ты так любишь НОД поставь 3-юю версию, а чтобы ключик не банил деактивируй функцию Threat Sense.
  Вверх
Старый 11.02.2008, 12:03   #9
Skiminok06
Постоялец
 
Аватар для Skiminok06
 
Пол:Мужской
Регистрация: 16.01.2007
Сообщений: 530
Репутация: 125
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Вот пробуй отсюда. Всегда свежие базы
http://nod.madbadjack.com/
Skiminok06 вне форума
 
Вверх
Старый 11.02.2008, 18:39   #10
StayeR
Пользователь
 
Аватар для StayeR
 
Пол:Мужской
Регистрация: 18.05.2007
Сообщений: 117
Репутация: 233
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Цитата:
Сообщение от Witaly Посмотреть сообщение
Так как твоя проблема решена? Удалил бы AVZ ntos.exe и посмотрел бы на результат.
И если ты так любишь НОД поставь 3-юю версию, а чтобы ключик не банил деактивируй функцию Threat Sense.

Ну вроде не донимает больше... Но я еще толком не работал в сети с ноута... Avz его не смог удалить! Я же описал - я вручную удалил... Вернее - доступа не было, я разлочил Unlockerom, удалил из реестра все ссылки на файл ntos.exe. Дальше ВЫРЕЗАЛ файл на рабочий стол, и вот только тогда, когда тот оказался на рабочем столе - Nod определил его, что тот вирус... А пока ntos.exe, сидел в папке System32 - я на него "палцем тыкал" - сканил его единственного - ТОТ В УПОР ЕГО НЕ ВИДЕЛ! Кстати CureIt! - тоже пропустил этот файл...

P.S: Еще очень интересный момент - в диспетчере задач НИЧЕГО ПОДОЗРИТЕЛЬНОГО НЕ БЫЛО...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"!
StayeR вне форума
 
Вверх
Старый 11.02.2008, 19:43   #11
Witaly
Guest
 
Сообщений: n/a
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Цитата:
Сообщение от StayeR Посмотреть сообщение
Ну вроде не донимает больше... Но я еще толком не работал в сети с ноута... Avz его не смог удалить! Я же описал - я вручную удалил... Вернее - доступа не было, я разлочил Unlockerom, удалил из реестра все ссылки на файл ntos.exe. Дальше ВЫРЕЗАЛ файл на рабочий стол, и вот только тогда, когда тот оказался на рабочем столе - Nod определил его, что тот вирус... А пока ntos.exe, сидел в папке System32 - я на него "палцем тыкал" - сканил его единственного - ТОТ В УПОР ЕГО НЕ ВИДЕЛ! Кстати CureIt! - тоже пропустил этот файл...

P.S: Еще очень интересный момент - в диспетчере задач НИЧЕГО ПОДОЗРИТЕЛЬНОГО НЕ БЫЛО...

Действительно интересный случай...
Хорошо то,что хорошо кончается.
Пользуйтесь утилитой AVZ - может много полезного найти.
+ Просканируй еще SpyBot S&D - тоже много гадости найдет,уверен на 75 %.
  Вверх
Старый 11.02.2008, 20:16   #12
Rampant
Постоялец
 
Аватар для Rampant
 
Пол:Мужской
Регистрация: 25.08.2005
Адрес: Новосибирск
Сообщений: 579
Репутация: 339
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Вот по теме http://www.viruslist.com/ru/viruses/...virusid=164339 , а название виря: Virus.Win32.Gpcode.ai
Rampant вне форума
 
Вверх
Старый 12.02.2008, 19:27   #13
StayeR
Пользователь
 
Аватар для StayeR
 
Пол:Мужской
Регистрация: 18.05.2007
Сообщений: 117
Репутация: 233
По умолчанию Ответ: Выручайте! Вирус Win32/Spy.Goldun.SX

Епт! Во попадалово! Жесть! А если бы закриптовал файло?????? Да уж... Спасибо за ссылку! Я очень много поисковик юзал на эту тему, но ничего не нашел...
P.S: За 14 лет моего компьютерного стажа - это 3 заражение вирусом... Первые 2 были на 2 - 4 году... 10 лет, я знал что да как, и тут такое... Раньше всегда юзал касперского, перед ним Dr.web.
На NOD пересел когда был вынужден разворачивать корпоративный сервер, тогда то мне его и подсоветовали... Теперь ломаю голову, когда же я его пропустил... Есть предположение - думал что работаю через своего прокси, который сканит трафик, и вырубил локальный антивирус. А на самом деле, на прокси, давно отключил проверку группы Sysadmin... Вот так и словил... Сейчас вроде все нормально. Ура!

Добавлено через 17 минут
Цитата с Viruskist:
Цитата:
Также вирус создает в системном каталоге Windows скрытый каталог с именем «wsnpoem», в котором находятся два пустых файла — «video.dll» и «audio.dll».

ЭЭЭ... Я немного в шоке.... Мягко говоря...
Я сейчас посмотрел в своем каталоге Windows такую папку и файлы......
Дата создания 31.10.2007... 3 месяца у меня висел этот троянец... Жесть...
Заметьте - проявился только сейчас...
__________________
Не говорите сисадмину: "Заходи, гостем будешь". Дайте ему зайти либо "админом", либо "пользователем"!

Последний раз редактировалось StayeR; 12.02.2008 в 19:49.. Причина: Добавлено сообщение
StayeR вне форума
 
Вверх
Закрытая тема


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как удалить с компа вирус - worm.win32.autorun.cnw marina sp Интернет партизаны 24 25.07.2010 10:28
Люди выручайте matros77777 Архив 3 05.02.2009 22:01
Подхватил вирус Win32/Expiro.C не знаю что и делать? langoliers Антихакинг 10 24.05.2007 18:40
Вирус Backdoor.Win32.Medbot - что за гадость такая хитрая SanchoDer Безопасность 11 06.05.2007 09:11

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 23:39. Часовой пояс GMT +3.


Copyright ©2004 - 2026 NoWa.cc

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2026, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.07217 секунды с 13 запросами