Троянцы ввели компьютер в полный BSOD!!! help

Добрый вечер уважаемые борцы с вирусами!
Помогите пожалуйста восстановить убитую напрочь систему.
Сразу скажу - правила [B]читал[/B], только уже поздно пить боржоми (см. далее), уже даже ничего и снять не могу, ибо слишком поздно набрел на ваш замечательный сайт.

Рассказываю по порядку:
WinXP Professional SP3 (System resore отключено), IE8. Стояла Avira.
Пошел на сайт (вполне пристойный сайт [URL="http://xxx.xxxxxx.ru"]xxx.xxxxxx.ru[/URL]) - стали выскакивать из авиры сообщения про троянцев, я как всегда выбирал то что она по умолчанию предлагала - deny access. После очередного deny access видимо какому-то трояну все-таки удалось прорваться, последнее что я видел - это что запустился сам какой-то файл и комп моментально сам пошел в ребут.
Из которого он уже не вышел - BSOD 0x7e без объяснения причин! При попытке загрузки в safe mode - тоже самое :(

Благо у меня в компе был установлен старый винт со старой XP, оттуда я загрузился, скачал свежий DrWeb CureIt, натравил его на винт с убитой системой - он нашел семь больных файлов (с тремя разными вирусами), которые успешно удалил (я к сожалению лоханулся и не записал какие это были файлы, а лог эта прога не делает походу :( ).
Затем я радостно стал перезагружаться и получил тот же BSOD.

Далее я полез со старой системы в простора интернета, узнал что такое "консоль восстановления" и пр., но толку никакого.
Что имеем: в консоли делал и fixboot и fixmbr - пофигу. Копировал из папки \system32\dllcache все файлы в \system32\ - не помогает.
Даже включил лог загрузки винды - в boot.ini добавил в строчку multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect [COLOR=red][B]/sos /bootlog[/B][COLOR=black] тоже толку нет - лог даже не появляется!!! (хотя по ключу /sos видно что драйверы какие-то система грузит и много).[/COLOR][/COLOR]
[COLOR=red][COLOR=black]И самое противное - что BSOD тоже выскакивает абсолютно без информации - только несколько цифр после 0x7e и больше никаких указаний на больные драйверы и пр. Вообщем система рубится на самом начале, опять же в safe mode не зайти, лог никакой не снять, полный аут. Но файлы все на винте на месте, вроде бы все цело.[/COLOR]
[/COLOR]
К сожалению своему бэкап реестра не делал, и акронис не успел поставить, вообщем как говорится - конечно сам дурак и будет мне наука, но систему хочется восстановить т.к. много программ в ней поставлено.
Не знаю насколько это поможет, но перед своим позорным провалом и концом Avira успела в свой лог занести данные по первым троянам с этого сайта, лог прилагаю (см. в самом конце). Но я думаю ее вынес как раз тот троян, которого она и не заметила...
Какие либо аппаратные проблемы с компом (сдохла память и пр.) исключены т.к. случилось все моментально после того злополучного сайта, и вторая старая система со старого винта - вроде бы работает без проблем.

Вообщем, помогите!!! Готов снять с тушки убитой системы какую еще нужно информацию, только скажите что и как и где.
Заранее благодарен!!!

PS Бред какой-то: не могу разархивировать скаченный AVZ по ссылке с вашего сайта, винрар выдает какой-то бред (см. скриншот его лога). Качал три раза - те же яйца. Уж не сидит ли впридачу еще и в старой системе какое-то дерьмо???

Попробуйте сделать логи полиморфным AVZ

[QUOTE=serg_sol;444245]
Пошел на сайт (вполне пристойный сайт)[/QUOTE]Ваш [I]пристойный[/I] сайт был на моём ПК немеделенно заблокирован, как атакующий. Не постите активных ссылок с сомнительных сайтов!!!

[QUOTE=thyrex;444256]Попробуйте сделать логи полиморфным AVZ[/QUOTE]
ОК, лог сделал: AVZ был запущен на системе со старым WinXP (который вроде как работает, хотя тоже как-то стремно, особенно после предыдущей попытки разархивировать AVZ) и сделан скан диска F: - диска где стояла убитая вирусом винда.

Спасибо за помощь.

[QUOTE=Rene-gad;444428]Ваш [I]пристойный[/I] сайт был на моём ПК немеделенно заблокирован, как атакующий. Не постите активных ссылок с сомнительных сайтов!!![/QUOTE]

Извините если что сделал не так. Ссылку на сайт я опубликовал не для того чтобы все подряд в нее щелкали (я писал что сайт заражен!), а для того чтобы опытные борцы с вирусами могли его просканировать и посмотреть - какая же именно зараза там сидела, что убила мою систему, ну и соответственно - понять как ее лечить.

PS Онлайновые проверяльщики сайтов типа Symantec safeweb и пр. из вашего FAQ однако не нашли этот сайт опасным...

PPS Под термином "пристойный" я имел в виду, что этот сайт не какой-то "подозрительный сайт" с порнухой, креками или варезом, а сайт одной уважаемой и серьезной промышленной компании.

Прочтите еще раз [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL] и выложите нужные файлы, а не то, что Вам вздумается

[QUOTE=thyrex;445186]Прочтите еще раз [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL] и выложите нужные файлы, а не то, что Вам вздумается[/QUOTE]

Извините пожалуйста. Выкладываю нужные файлы. Еще раз обращу ваше внимание что AVZ и Hijack запущены на второй системе (диск C:) с которой я сейчас и работаю, а больная система находится на диске F:. При запуске скриптов отмечал оба этих диска.

У Вас и здесь нашлись звери :)

Пофиксить в HiJack
[code] F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,
[/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\rnjvzvrn.sys','');
DeleteService('rnjvzvrn');
DeleteFile('C:\WINDOWS\system32\drivers\rnjvzvrn.sys');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('c:\windows\system32\ntos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

[B]thyrex[/B],
карантин отослал, новый комплект логов прилагаю (лог от hijack я назвал hijackthis2.log т.к. иначе он не загружался-писал что такой файл уже есть).
После запуска вашего скрипта старой системе стало намного лучше - стали запускаться программы, которые ранее почему-то перестали запускаться.

Удалось ли определить, что за троян поразил мою новую систему (рискнул ли кто-нибудь посетить тот самый сайт с которого все началось?).

[QUOTE=serg_sol;445968]лог от hijack я назвал hijackthis2.log т.к. иначе он не загружался-писал что такой файл уже есть)[/QUOTE]Ну и где он?

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('asplg');
QuarantineFile('C:\WINDOWS\system32\asplg.sys','');
QuarantineFile('C:\WINDOWS\system32\asplug.dll','');
DeleteFile('C:\WINDOWS\system32\asplug.dll');
DeleteFile('C:\WINDOWS\system32\asplg.sys');
QuarantineFile('C:\Documents and Settings\Administrator.HOME\Local Settings\Temp\i_setup\816.tmp','');
DeleteFile('C:\Documents and Settings\Administrator.HOME\Local Settings\Temp\i_setup\816.tmp');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ultradfg.sys','');
DeleteService('asplg');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('asplg');
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
-
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

[QUOTE=serg_sol;445552]При запуске скриптов отмечал оба этих диска.[/QUOTE]Отметить можете хоть все диски: поиск руткитов и логи релевантны [COLOR="Red"]только для активной системы[/COLOR].

Здравствуйте уважаемый [B]Rene-gad[/B],
спешу вас огорчить: мой младший брат, зная что я мучаюсь с вирусами, сегодня пока я на работе был, позвал какого-то своего одноклассника-"компьютерного гения", который пришел со своим USB-винтом и запустившись с него (уж не знаю как!) с помощью заранее припасенного CureIt "пролечил" мою старую систему. Хорошо что хоть они записали результаты лечения: вы оказались правы, в файле asplug.dll по данным антивируса сидел Trojan.pws.goldspy.2308. Вирус был "удален" (уж не знаю вместе с файлом или только вирус из файла). Брат получил люлей, однако дело уже сделано :(
Ну вот вообщем так, поэтому я заранее извиняюсь что невольно сбил этим фактом вашу работу и оставил вас без вируса :(

Ваш скрипт я все равно выполнил, все логи снял, карантин отправил.

Главное, чтобы костюмчик сидел © ;)

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
ExecuteRepair(7);
ExecuteRepair(13);
RebootWindows(true);
end.
[/CODE]

Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.

Здравствуйте уважаемый [B]Rene-gad[/B],
вот логи после выполнения скрипта. Будем надеяться что теперь все "звери" убиты, по крайней мере на текущей половине компьютера ;)

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
O20 - Winlogon Notify: asplug - asplug.dll (file missing)
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%systemroot%\system32\asplug.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(7);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.

Чтобы не скучали в перерыве ;) :
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader

В хиджаке удалил, скрипт запустил, логи сделал.
Ну теперь-то уже наверное всё? ;)

Скорее всего нет.. Надо еще пароли будет менять, желательно все.

[QUOTE=PavelA;448957]Скорее всего нет.. Надо еще пароли будет менять, желательно все.[/QUOTE]

Здравствуйте [B]PavelA[/B]! Не понял про какие пароли идет речь и какое отношение они имеют к моим вирусам? В винде у меня автологон (я пароль-то даже не помню...)

Почта, аська, кошельки, онлайн-игры и т.д и т.п.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\asplg.sys - [B]Trojan-Spy.Win32.Goldun.azi[/B] ( DrWEB: Trojan.PWS.GoldSpy.2769, BitDefender: Trojan.Spy.Goldun.NDM, AVAST4: Win32:Haxdoor-JV [Trj] )[*] c:\windows\system32\asplug.dll - [B]Trojan-Spy.Win32.Goldun.azh[/B] ( DrWEB: Trojan.PWS.GoldSpy.2308, BitDefender: Trojan.Spy.Goldun.NDL, NOD32: Win32/Spy.Goldun.AZE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\twext.exe - [B]Trojan-Spy.Win32.Zbot.exv[/B] ( DrWEB: Trojan.PWS.Panda.12, BitDefender: Trojan.Spy.Agent.NXD, AVAST4: Win32:Dropper-BEJ [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]