Заразился с сайта, подробности внутри

[QUOTE]Не могу прицепить файл с архивом[/QUOTE]
Его нужно отправить через эту форму:
[URL="http://virusinfo.info/upload_virus.php?tid=10049"]Прислать запрошенные файлы[/URL]

[quote=Bratez;112534]Его нужно отправить через эту форму:
[URL="http://virusinfo.info/upload_virus.php?tid=10049"]Прислать запрошенные файлы[/URL][/quote]

Вот спасибо! А то не понял там в правилах )))
только.. что дальше? Послал. Нужен отчёт?
Файл сохранён как 070528_155155_archive_465ac25ba5710.zip
Размер файла 274382
MD5 4dc727d9038d45c70f1f022ef7eb91f5
Они уже где-то на проверке?

Как в результате мне раздел тот исправить? Вирусов там нет, а во время атаки - были в ТЕМПах!

ЗЫ: только что проверил :обнаружено: троянская программа Rootkit.Win32.Agent.ea Файл: Bcsm63.sys
НО он был у меня ещё в первом заражённом разделе. Сча там его нет. И в другом заражённом KISка ничего не находит. Что теперь ?

Ждёмс.... :00000503:

Так что мне всё же желать для восстановления работоспособности этого раздела?

Для начала нужно прибить файл Bcsm63.sys и попробовать загрузиться. Это драйвер руткита ... его детектит KAV, я вчера посылал им семпл. Все остальные присланные файлы также зловреды и подлежат удалению. В теории после удаления Bcsm63.sys системма должна загрузиться. Если не загрузится, то стоит попробовать загрузку в защищенном режиме с протоколированием

[quote=Зайцев Олег;112668]Если не загрузится, то стоит попробовать загрузку в защищенном режиме с протоколированием[/quote]
Не грузится
И что даст загрузка с протоколированием? И где искать этот протокол потом на ХР ПРО СП2 ?
ЗЫ:
Bootlog.txt в корне загрузочного раздела?

Не оказалось после перезагрузки такого файла при протоколировании в корне раздела
Что дальше?
Опять же повторяю: БЕЗ включённой сетки, витой пары, перегружается СРАЗУ на строчке ввода пароля, ПРИ включённой сетке - задерживается секунды на 2 больше

ВОТ ОНА, загрузка с протоколированием!
Вложение есть.
Что скажете? Почему в SAFE MODE грузится, а в нормальном - нет?

C:\Documents and Settings\Администратор>sfc/scannow
Защита файлов Windows не смогла запустить сканирование защищенных системных файл
ов.
Код ошибки: 0x000006ba [Сервер RPC недоступен.
].

Скажите, Уважаемые!
Мне переставлять винду заново на этот раздел или всё же можно исправить ситуацию?
Уже СУТКИ молчание!
Вирус удалил, дальше что? Она так же перегружается, кроме режима защиты от сбоев.
Повторяю: БЕЗ включённой сетки, витой пары, перегружается СРАЗУ на строчке ввода пароля, ПРИ включённой сетке - задерживается секунды на 2 больше, а только потом перегружается.
В SAFE MODE не перегружается - такая ситуация говорит о присутствии всё же вируса?

АЛЁЁЁЁЁЁЁЁЁ!!!!!!! Я вам не мешаю здесь? Может мои посты здесь не видно? Хоть что-нибудь ответьте, чтобы я знал: помогут здесь мне или нет?

[QUOTE=serjga;112891]АЛЁЁЁЁЁЁЁЁЁ!!!!!!! Я вам не мешаю здесь?[/QUOTE]Кричать не надо - тут не Хотлайн а форум. Попробуте [B]sfc/scanonce [/B] или с другими параметрами. Описание команды: [url]http://support.microsoft.com/?scid=kb%3Bru%3B310747&x=11&y=7[/url]

Ну так в форуме общаются, а мне никто сутки не отвечал! Вот сча только и ответили, когда покричал! УСЛЫШАЛИ!

А сканирование я пытался делать. СМ посты выше! Опять сообщение для "выступающих". Хотя бы даже он и модератор. Тем более: внимательно надо читать посты, прежде чем советовать что-то!

Попробуем так: в Safe mode, AVZ - Файл - Стандартные скрипты - #1 - Выполнить, затем Файл - Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск, сохранить протокол, упаковать в зип или рар и сюда его.

СПАСИБО! сча сделаем... пришлю!

[QUOTE=serjga;112908] Вот сча только и ответили, когда покричал! УСЛЫШАЛИ![/QUOTE]
Нет, просто случайно напоролись.
[QUOTE]А сканирование я пытался делать. СМ посты выше![/QUOTE]
Где конкретно? [URL="http://virusinfo.info/showpost.php?p=112795&postcount=27"]Здесь[/URL] Вы другой параметр задавали.
И еще повторю: Кричать не надо - тут не Хотлайн а форум.
- Хотлайн [B]обязан[/B] помочь. Если Вы не получили ответа на Хотлайн Вы можете обратиться в суд.
- Если Вы не получили ответа в форуме, то возможны 2 причины:
а) никто ответа не знает или
б) кто-то знает, но давать не хочет.
В обоих случаях в суд обращаться бесполезно.

[quote=Rene-gad;112916]Нет, просто случайно напоролись.

Где конкретно? [URL="http://virusinfo.info/showpost.php?p=112795&postcount=27"]Здесь[/URL] Вы другой параметр задавали.
И еще повторю: Кричать не надо - тут не Хотлайн а форум.
- Хотлайн [B]обязан[/B] помочь. Если Вы не получили ответа на Хотлайн Вы можете обратиться в суд.
- Если Вы не получили ответа в форуме, то возможны 2 причины:
а) никто ответа не знает или
б) кто-то знает, но давать не хочет.
В обоих случаях в суд обращаться бесполезно.[/quote]

Господин модератор, Вы мне что хотите доказать - что Вы здесь главнее? Я итак знаю! ВАМ легче меня стереть в порошок, с форума и т.д., чем признать себя не правым? Я это уже видел. Зрелище .. гнусное мягко говоря. Зачем эти выступления про суд (я про него говорил?), про ХотЛайн... Похоже на звёздную болезнь.

ЗДЕСЬ [URL]http://virusinfo.info/showthread.php?t=6892[/URL] я это и прочитал, перед тем, как писать. С другим ключом такой же результат у меня. Может дело всё в режиме защиты от сбоев, в котором это запускается?
Посылаю два протокола: в одном драйвер не был загружен, я его загрузил и проверил заново.

Bcsm63.sys - думаю, надо удалять.
csrss.exe в "Автозапуске" туда же.
После этого можно пытаться загрузиться.

Не обижайтесь, у нас не все из России. Некоторые уже привыкли по европейским правилам жить ( @ Rene-gad)

Ну вот, что и требовалось! Вам же Олег Зайцев написал про Bcsm63.sys,
а он живехонек! Плюс еще пинча ухитрились где-то подцепить.
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteSvc('Bcsm63');
BC_DeleteFile('C:\WINDOWS\System32\Bcsm63.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Система перезагрузится, пробуйте сразу нормальный режим.
Если пойдет - новые логи в студию.

[quote=PavelA;112924]Bcsm63.sys - думаю, надо удалять.
csrss.exe в "Автозапуске" туда же.
После этого можно пытаться загрузиться.

Не обижайтесь, у нас не все из России. Некоторые уже привыкли по европейским правилам жить ( @ Rene-gad)[/quote]
ГОСПОДААА!!! Друзья :-) Спасибо за помощь!
НО!
Я эти файлы ДАВНО удалил! НЕТУ ИХ УЖЕ ДАВНО! ))))))
Проверяя с чистой системы на этом разделе НИЧЕГО не находится KIS 6.0.2.621!
Что дальше?

В протоколе они есть. Значит, в реестре они живы и винда пытается их загрузить. Надо выполнять скрипт от Brateza.

Знач так, по пунктам:
1.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteSvc('Bcsm63');
BC_DeleteFile('C:\WINDOWS\System32\Bcsm63.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
выполнил из под администратора, винда перегрузилась, я поймал F8, Safe mode, загрузка встала с единственной строчкой наверху:
multi(0)disk(0)rdisk(0)partition(1) блаблабла точно не помню \system32\ntoskrnl.exe. И ВСЁ! ТОЛЬКО AnyKey !
Загрузилась снова УЖЕ без проблем, но в Safe mode. В обычном режиме по прежнему перегружается.

До скрипта я залез в реестр и поискал там csrss и Bcsm63
Архивы с ветками, где есть ссылки на эти строчки высылаю.
После скрипта и перезагрузки исчезла только строчка csrss\2.reg, остальные ВСЕ остались.
Файлов этих на разделе не было.
Что делать дальше?

ЗЫ: Повторяю: БЕЗ включённой сетки, витой пары, перегружается СРАЗУ на строчке ввода пароля, ПРИ включённой сетке - задерживается секунды на 2 дольше, а только потом перегружается - такая ситуация говорит о присутствии всё же вируса? Не так ли?
В SAFE MODE не перегружается.