после загрузки windows комп. мертво зависает [Trojan.Win32.TDSS.istk ]

Добрый день. Очень прошу помочь мне! Во время работы антивируса MSE был обнаружен trojan win32/Bumat.rts. Потребовалась перезагрузка и после нее после загрузки Windows не работают клавиатура и мышь! Сейчас загружаюсь с CD. Касперский и Др Веб не запускаются. Очень прошу помощи! Необходимые файлы в приложении.

Уважаемый(ая) [B]pem[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Логи с LiveCD бесполезны

[QUOTE=thyrex;924974]Логи с LiveCD бесполезны[/QUOTE] Спасибо за то,что откликнулись! А что же делать?? Карантин пуст.Запускала АВЗ и так и этак. Пусто! Подскажите, что сделать!

Не припомните, в каком файле был найден вирус?

Троян был, по-моему, в C:\Windows\ System32\drivers\xqgdgi\setup.exe. MSE нашла 2 вируса и троян Bumat!rts, вирусы пометила как неопасные и предложила их удалить, а троян в карантин. Предложения эти были в то время, когда сканирование еще продплжалось! Мне это показалось подозрительным, но я -таки на это согласилась! Потом мне предложили перезагрузиться и все мои проблемы и начались! Где были вирусы я не записала. По-моему это были драйверы. Я знаю примерное время,когда это произошло.Потом я попыталась по этому признаку найти эти файлы. Мне не хватает знаний, чтобы сделать правильный анализ. Я прошу помощи!!

В безопасном режиме с поддержкой командной строки тоже не загружается?

[QUOTE=Techno;925643]В безопасном режиме с поддержкой командной строки тоже не загружается?[/QUOTE]

У меня не получилось. Клавиатура не работает. Хотя, возможно, я что-то не учла.
Буду очень благодарна за инструкцию.

И еще . Вчера во второй половине дня у меня не было доступа к сайту virusinfo. По запросу я попадала в какое-то левое английское меню с веселой барышней на фото. Это была какая-то одиночная "зловредь",или такое еще у кого=то было?

windows то у Вас запускается или нет?

[QUOTE=Techno;925751]windows то у Вас запускается или нет?[/QUOTE] Techno,спасибо за внимание. Запускается. В безопасном режиме с поддержкой командной строки. Но больше ничего запустить невозможно - клавиатура не работает. Нужно восстановить сначала именно это.

[quote="pem;925836"]запустить невозможно - клавиатура не работает.[/quote]
Она точно рабочая?

Сбросьте BIOS.

Клавиатура точно рабочая. А с БИОСом буду разбираться.
Комп мне достался по случаю и кто там что перепрошивал или нет - неизвестно.
Сначала все работало нормально. Спасибо за подсказку.))

БИОС сбросила нормально, заодно почистила, все настройки проверила - кроме даты и 2-х позиций
в последнем пункте,связанном со скоростью, все идентично. К сожалению, не помогло.
При загрузке в защищен.реж. с ком. строкой - тоже клавиатура не дышит.
Но,что интересно упоминаний о мышке в Advanced BIOS Features, там, где оно в интернете описано,
что-нибудь вроде PS/2 Mouse Function Control - нет вообще. Т.е. никакого упоминания о мыши кроме как
Usb Mouse Sapport... Может внешнюю через USB? Или дописать как-то? У меня что-то не получилось.
И еще у меня полГига на С: "гуляет" то 310Мб свободно, то 832МБ. Без малейших усилий с моей стороны!
Сегодня загружаюсь оно так, а завтра этак. Возможно это вопрос не очень... но я просто тону в информации,
хоть подскажите ,где почитать!. Очень Жду ответа!!

Мышь с клавиатурой у Вас ps/2 или usb. Может порты ps/2 накрылись?...

[QUOTE=Techno;927347]Мышь с клавиатурой у Вас ps/2 или usb. Может порты ps/2 накрылись?...[/QUOTE]

Обе ps/2. Думаю,что проблема программная, т.к. с LiveCD - то все работает! Включенные в те же порты.

[quote="pem;927606"]т.к. с LiveCD - то все работает![/quote]
С livecd проверялись на вирусы?

[QUOTE=Techno;927730]С livecd проверялись на вирусы?[/QUOTE]

Долго я с ним возилась, но все-таки сделала
Результаты проверки с LiveCD диска С:\
Dr.Web сканер(вир база 2010г)
1. вирус Win32.HLLW.Autoruner.based
в файлах: \Doc. and Set.\All Users\Документы\jbhxmr.exe и
\Doc. and Set.\All Users\Документы\mnfukh.exe
2."возможно троян" DLOADER trojan
в файле: \Doc. and Set.\Админ-р\Local Set.\Temp\fpb.tmt
3. ?? Tool.Product.Key.2
\Windows\Wind.32\PKey.exe
Все 4-е файла переименованы и перемещены

Eset NOD 4.0
4.угроза троян BAT/DelFiles.NAG на C:\WINDOWS\Finish.exe
Удален НОДом (сам файл остался).

Затем уже получилось с рекомендованными:
5. Dr.Web CureIt! от «Доктор Веб»:
winrarview.exe;C:\Documents and Settings\Администратор\Application Data\winxzip;Trojan.SMSSend.239;Удален.;
winzip.exe;C:\Documents and Settings\Администратор\Application Data\winxzip;Trojan.SMSSend.270;Удален.;
multibar.exe;C:\Documents and Settings\Администратор\Local Settings\Temp\~zm_{B4A73574-A6FD-4378-8B76-097CE82E8298};Tool.InstallToolbar.57;Переименован.;
Dc1019.exe;C:\RECYCLER\S-1-5-18;Adware.Downware.144;Переименован.;
Dc1036.exe;C:\RECYCLER\S-1-5-18;Adware.Downware.139;Переименован.;
Dc1046.exe;C:\RECYCLER\S-1-5-18;Tool.SMSSend.244;Переименован.;
Dc1067.exe;C:\RECYCLER\S-1-5-18;Trojan.SMSSend.1277;Удален.;
Dc1096.exe;C:\RECYCLER\S-1-5-18;Adware.Downware.144;Переименован.;
Dc1129.exe;C:\RECYCLER\S-1-5-18;Adware.Downware.144;Переименован.;
setup.exe;C:\WINDOWS\Temp\opjrin;Trojan.MulDrop3.32525;Переименован.;
setup.exe;C:\WINDOWS\Temp\xvgoan;Trojan.MulDrop3.57681;Переименован.;
Dd1071.exe;D:\RECYCLER\S-1-5-18;Adware.Downware.144;Переименован.;
Dd1125.exe;D:\RECYCLER\S-1-5-18;Trojan.SMSSend.1277;Удален.;
Dd1133.exe;D:\RECYCLER\S-1-5-18;Adware.Downware.144;Переименован.;
Dd1139.exe;D:\RECYCLER\S-1-5-18;Adware.Downware.144;Переименован.;
Dd1140.exe;D:\RECYCLER\S-1-5-18;Adware.Downware.139;Переименован.;
Dd1144.exe;D:\RECYCLER\S-1-5-18;Tool.SMSSend.244;
а также
6.Trojan.MulDrop3.32525 и Trojan.MulDrop3.57681, которые я не решилась сама лечить.

AVPTool от "Лаборатория Касперского"
7.нашел HEUR:Trojan.Script.Iframe в 20 файлах

В связи с чем у меня вопросы:

1) Могу ли я обращаться за помощью в этом разделе, не смотря на то,что
(к моему огромному счастью !!!) меня приняли на курс?
Хотя бы пока не заработает комп без Livecd?
Если да,то

2) Как мне поступить с зловредами из пп. 6 и 7?
Правильно ли я поступила с остальными?

3) Пока клава и мышь не дышат, что еще можно предпринять?

4) После всех проверок диск С: забит кучей новых файлов,
большая часть из которых LOG-и, а также hiberfil.sys и pagefile.sys 523МБ и 786МБ соответственно...
Но самое интересное то, что время изменения(появления?) этих файлов
на 3 часа РАНЬШЕ, чем я ВКЛЮЧИЛА комп!!??
Получается ЧТО-ТО может работать на невключенной машине??
Гуглила,но ничего не нашла. Правда можно также неправильно поставить
время изменения файла...Но зачем? Может кто-то уже сталкивался с таким?
Очень прошу помощи!

[quote="pem;929873"]1) Могу ли я обращаться за помощью в этом разделе, не смотря на то,что
(к моему огромному счастью !!!) меня приняли на курс?[/quote]
Можете обращаться.

[quote="pem;929873"]2) Как мне поступить с зловредами из пп. 6 и 7?[/quote]
В каких файлах обнаружены зловреды? И какие варианты действий возможны (лечить, удалить...)?

[quote="pem;929873"]Правильно ли я поступила с остальными?[/quote]
Можно было взять в карантин и удалить их.

[quote="pem;929873"]3) Пока клава и мышь не дышат, что еще можно предпринять?[/quote]
Для начала всё вылечить с LiveCD.


[quote="pem;929873"]4) После всех проверок диск С: забит кучей новых файлов,
большая часть из которых LOG-и, а также hiberfil.sys и pagefile.sys 523МБ и 786МБ соответственно...
Но самое интересное то, что время изменения(появления?) этих файлов
на 3 часа РАНЬШЕ, чем я ВКЛЮЧИЛА комп!!??
Получается ЧТО-ТО может работать на невключенной машине??[/quote]
hiberfil.sys и pagefile.sys - это системные файлы, первый для спящего режима, второй - это файл подкачки. LOG-и это от антивирусных утилит. На невключенной машине ничего работать не может.

[quote="pem;929873"]Dr.Web сканер(вир база [B]2010г[/B])[/quote]
[quote="pem;929873"]Eset NOD [B]4.0[/B][/quote]
AVPTool - тоже такой же свежести использовали ? с такими базами больше половины вирусов можно не заметить ;).

[quote="pem;929873"]1) Могу ли я обращаться за помощью в этом разделе,[/quote]
да, можете.


с лайва мышка и клавиатура работали нормально ? попробуйте через диспетчер устройств драйвер от них удалить и перезагрузиться.

+ посмотрите напротив них никакой ошибки не написано ?

Уважаемые Мастера, извините за длинную паузу – мне надо было подразобраться Я очень благодарна всем, помогавшим мне. Я использовала каждый совет. Пожалуйста извините мне мое молчание- проделанная работа для меня сейчас важнее быстрого решения проблемы.

ERDC показал, что проблемы начались в сети, затем были ошибки во время обновлений Windows, на это наложилась работа антивируса MSE и в какой-то момент система перестала видеть мышь и клавиатуру.
При последующих загрузках появлялись новые ошибки. Здесь я привожу краткий их перечень, а также сводный список всех найденных зловредов.

Именно первая ошибка вызывала постоянные зависания., повторяясь чаще всего,но после обновлений исчезла.При этом запускают NLA 3 пользователя: SYSTEM, S-1-5-21-2025429265-2146788909-527237240-500 и N\A, причем зависала она только у N\A, т.е.на входе в домен
1.Служба "Служба сетевого расположения (NLA)" завершена из-за ошибки Не найдена указанная процедура. код ошибки 7023
2.Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений. код события 4226
3. Компьютеру не удалось обновить адрес, полученный от DHCP-cервера, для сетевого адаптера с сетевым адресом 000021007DF0. Превышен таймаут семафора. Компьютер продолжит попытки получить свой собственный адрес от DHCP-cервера. код события 1003
4. Компьютер автоматически настроил IP-адрес для сетевого адаптерас адресом 000021007DF0. Используется IP-адрес 169.254.112.66. код события 1007
5.Сервер не смог установить привязку к транспорту \Device\NetBT_Tcpip_{38B44044-4DD9-4B56-A2AB-F19D8D395D07} код события 2504.
6 Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{38B44044-4DD9-4B56-A2AB-F19D8D395D07} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена. Если сетевой адаптер не был отключен, то возможно, что он неисправен. Чтобы получить обновленные драйверы, обратитесь к вендору. код события 4202
7. Драйвер обозревателя сети инициировал выборы в сети \Device\NetBT_Tcpip_{38B44044-4DD9-4B56-A2AB-F19D8D395D07}, так как был остановлен основной обозреватель сети. код события 8033
8. Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{38B44044-4DD9-4B56-A2AB-F19D8D395D07} был подключен к сети,и инициировала нормальную работу через этот сетевой адаптер. код события 4201

Затем наложились установка обновлений и работа антивир. MSE. Установлены были такие обновления:
Уведомление о результатах проверки подлинности Windows (KB905474),Обновление для Windows XP (KB2718704), которое сначала дало ошибку 0x80070643 код 20, но потом все же нормально установилось. Обновление для системы безопасности .NET Framework 1.1 с SP1 в Windows XP, Windows Vista и 32-разрядной (x86) версии Windows Server 2008 (KB2656370).Обновление для системы безопасности Windows XP (KB2685939). Накопительное обновление системы безопасности для Internet Explorer 8 в Windows XP (KB2699988).Средство удаления вредоносных программ: июнь 2012 г. (KB890830)-

Обновление для системы безопасности Windows XP (KB2707511), . Ошибка установки: не удается установить следующее обновление из-за ошибки 0xd0000005: Обновление для системы безопасности Windows XP (KB2707511). код ошибки 20
Затем система запросила перезагрузку Я перезагрузилась и система перестала видеть мышь и клавиатуру. В журнале висит предупреждение: Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений. код события 4226. но при след загрузках оно отсутствует

При последующих попытках Windows загружается, загорается красное предупреждение MSE о серьезной угрозе, но мышь и клавиатура не отвечают. А журнал дает новые ошибки:
. Microsoft Antimalware has removed history of malware and other potentially unwanted software. Time: 15.06.2012 18:34:58 User: NT AUTHORITY\SYSTEM Код инф 1013
10.Microsoft Antimalware has encountered an error trying to update signatures. Error description: An unexpected problem occurred while checking for updates. For information on installing or troubleshooting updates, see Help and Support.Код ошибки: 0x8024402C
11Обнаружена внутренняя ошибка в структуре данных драйвера для. Sours – sptd .код 4,
12.Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: sptd код ошибки 7025
13. Ошибка DCOM "%1084" при попытке запуска службы EventSystem с аргументами ""для запуска сервера: {1BE1F766-5536-11D1-B726-00C04FB926AF}} код ошибки 10005
14.Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: Fips MpFilter код ошибки 7026
15 Сбой при загрузке драйвера(ов) перезагрузки или запуска системы: AFD, Fips, IPSec, MpFilter, MRxSmb, NetBIOS, NetBT, RasAcd, Rdbss, Tcpip код ошибки 7026
16 Ошибка подключения: не удается подключиться к службе автоматического обновления, загрузка и установка обновлений по заданному расписанию невозможна. Будут предприняты попытки установить соединение. код ошибки 16

К сожалению, восстановить систему с помощью отката на контрольную точку до краха невозможно - Cлужба восстановления системы была отключена и контрольных точек нет. Конечно можно переустановить Windows. Но очень хочется распутать эту ситуацию вручную.
Буду очень благодарна за любой совет.

EVEREST v5.30.2009 Beta/ru
Операционная система Microsoft Windows XP Professional 5.1.2600 (WinXP RTM) Service Pack 3
Имя пользователя SYSTEM
Вход в домен NT AUTHORITY
Тип ЦП Intel Celeron-S, 933 MHz
Системная плата MSI 815E(P)T Pro (MS-6337 v5.x) / MS-6337 LE5
Тип BIOS Award Modular (01/11/02)
Сеть:
Первичный адрес IP 93.73.22.153
Первичный адрес MAC 00-00-21-00-7D-F0
Сетевой адаптер SURECOM EP-428X 32-bit 100/10M CardBus PC Card (93.73.22.153)
Тип интерфейса Ethernet
Маска IP / Подсети 93.73.22.153 / 255.255.240.0
Шлюз 93.73.16.1
[ Сеть PCI / PnP ]- Realtek RTL8139 PCI Fast Ethernet Adapter [A/B/C] PCI
Описание драйвера Realtek RTL8139 Family PCI Fast Ethernet NIC
Дата драйвера 01.07.2001
Версия драйвера 5.398.613.2003
Поставщик драйвера Microsoft
Аппаратный ID PCI\VEN_10EC&DEV_8139&SUBSYS_813910EC&REV_10
PCI-устройство Realtek RTL8139 PCI Fast Ethernet Adapter [A/B/C]
Сетевые платы (для всех плат дата драйвера 01.07.2001, версия 5.1.2535.0, поставщик Microsoft):
/ Минипорт WAN (IP) ]: Аппаратный ID ms_ndiswanip
/ Минипорт WAN (L2TP) ] Аппаратный ID ms_l2tpminiport
/ Минипорт WAN (PPPoE) Аппаратный ID ms_pppoeminiport
/ Минипорт WAN (PPTP) ] Аппаратный ID ms_pptpminiport
/ Прямой параллельный порт ] Аппаратный ID ms_ptiminiport
Мышь и клавиатура определяются как неизвестные устройства
Список зловредов
1. trojan win32/Bumat.rts! C:\Windows\ System32\drivers\xqgdgi\setup.exe. Карантин
2. Win32.HLLW.Autoruner.based \Doc. and Set.\All Users\Документы\jbhxmr.exe Переименован.
\Doc. and Set.\All Users\Документы\mnfukh.exe Переименован
3."возможно троян" DLOADER trojan \Doc. and Set.\Админ-р\Local Set.\Temp\fpb.tmt Переим.
4. Tool.Product.Key.2 \Windows\Wind.32\PKey.exe Переименован
5.угроза троян BAT/DelFiles.NAG C:\WINDOWS\Finish.exe Удален (сам файл остался).
6. Trojan.SMSSend.239 winrarview.exe;C:\Documents and Settings\Администратор\Application Data\winxzip;;Удален.;
7. Tool.SMSSend.244 Dc1046.exe;C:\RECYCLER\S-1-5-18;;Переименован.;
Dd1144.exe;D:\RECYCLER\S-1-5-18;
8. Trojan.SMSSend.270 winzip.exe;C:\Documents and Settings\Администратор\Application Data\winxzip;;Удален.;
9. Trojan.SMSSend.1277 Dc1067.exe;C:\RECYCLER\S-1-5-18;;Удален.;
Dd1125.exe;D:\RECYCLER\S-1-5-18;;Удален.;
10. Tool.InstallToolbar.57 multibar.exe;C:\Documents and Settings\Администратор\Local Settings\Temp\~zm_{B4A73574-A6FD-4378-8B76-097CE82E8298};;Переименован.;
11.Adware.Downware.139 .Dc1036.exe;C:\RECYCLER\S-1-5-18;;Переименован.;
Dd1140.exe;D:\RECYCLER\S-1-5-18;;Переименован.;
12. Adware.Downware.144 Dc1019.exe;C:\RECYCLER\S-1-5-18;;Переименован.;
. Dc1096.exe;C:\RECYCLER\S-1-5-18; 144;Переименован.;
Dc1129.exe;C:\RECYCLER\S-1-5-18Переименован.;
Dd1071.exe;D:\RECYCLER\S-1-5-18;Переименован.;
Dd1133.exe;D:\RECYCLER\S-1-5-18;Переименован.;
Dd1139.exe;D:\RECYCLER\S-1-5-18; Переименован.;
13. Trojan.MulDrop3.32525 setup.exe;C:\WINDOWS\Temp\opjrin;;Переименован.;
14. Trojan.MulDrop3.57681 setup.exe;C:\WINDOWS\Temp\xvgoan;;Переименован.;
15.HEUR:Trojan.Script.Iframer C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\X9MDK3VK\index[9].htm
…\index[8]. [7] [6] [5] [4][2] [11][10], CAVSM6H4. CAOO08YD, CAIMVVCX, CA8CA3EV.htm
…\Content.IE5\4C2ZMYOA\index[7] [3]. [4]..htm