Заразился с сайта, подробности внутри

Продолжим вскрытие:
1. Из защищенного режима нужно зарядить проверку системного тома на наличие ошибок (система потребует перезагрузку и в ходе перезагрузки запустит chkdsk на системный диск). Может быть, это в чем-то поможет
2. Необходимо повторить логи - нужно точно посмотреть, что от зловреда
3. В системе есть папка C:\WINDOWS\Minidump\ - нужно почистить ее, затем убедиться в том, что минидампы включены ("Мой компьютер" - правая кнопка, "свойства системы", там закладка "Дополнительно", кнопка "Параметры" в группе "Загрузка и восстановление"). Нужно сбросить там птичку "Выполнять автоматическую перезагрузку" и убедиться, что выбрана опция "Малый дамп памяти". Затем следует попробовать загрузиться в обучном режиме и если не выйдет, то после этого поискать в папке C:\WINDOWS\Minidump\ дамппы. Если появится, то прислать нам
4. Изучить события ("Мой компьютер" - правая кнопка, "управление", там "Просмотр событий"), следует изучить последние события в разделах "приложения" и "Система". Журналы можно почистить (Меню "Действие/Стереть все события" для каждого журнала) и затем попробовать загрузиться в нормальном режиме, после чего загрузиться в защищенном и изучить, что попадет в журналы

Спасибо! сча всё сделаю, а пока, боюсь быть ... профаном, но.. там в паре мест реестра есть ссылка на windows\csrss.exe - вирус, который я 3 дня назад уже снёс, а ОН, этот файл, находится в папке system32. ФАЙЛ НОРМАЛЬНЫЙ - НЕ вирус!! )))) В этом может быть траблема?
ЗЫ: 1 - как сделать? забыл ))))
2 - какие логи? Что делать?
3 - C:\WINDOWS\Minidump - НЕТ такой папки у меня! Ни на одном из 3-х разделов!
4 - сча сделаю

1. Выбрать диск в проводнике, правая кнопка - свойства, там "сервис", там кнопка "Выполнить проверку" в группе "Проверка диска"
2. Логи по правилам
3. Не страшно - нужно проделать остальное, описанное в п.п. 3

1. Я почему по первому пункту спросил: тест драйва запускается СРАЗУ, а не требует перезагрузки системы.
2. Логи сча сделаю, вышел качнуть свежую софтину
3. Дамп ещё не чистил, сча сделаю
4. ПРикрепляю "события" до и после перезагрузки. Только системные появляются. Ничего из загрузки в нормальном режиме не попадает в журнал. Только события в защищённом режиме.

Прикрепляю логи проверки.
Дамп после перезагрузки не создался. Более того: когда я попытался из загрузки профиля выбрать "завершение работы" и "перезагрузку" она начала завершать работу и в этот моиент вылетела в синий экран:
A problem has bin detected and Windows has bin shut down to prevent damage to your computer.
PAGE_FAULT_IN_NONPAGED_AREA
Дальше что-то про отключение железа, смену драйверов...
В конце:
STOP: 0X00000050 (0xB89AB000, 0x00000000, 0xB891014E, 0x00000000)

Что дальше?

[QUOTE=serjga;112908]Ну так в форуме общаются, а мне никто сутки не отвечал! Вот сча только и ответили, когда покричал! УСЛЫШАЛИ!
А сканирование я пытался делать. СМ посты выше! Опять сообщение для "выступающих". Хотя бы даже он и модератор. Тем более: внимательно надо читать посты, прежде чем советовать что-то![/QUOTE]
Опять сообщение для непонимающих. Это - форум не общения, а специализирующийся на безопасности. Следовательно, в "Помогите" отвечать вам могут только специалисты. А у них, кроме форума, есть своя работа. Почитайте внимательно, и правила форума [URL="http://virusinfo.info/showthread.php?t=1282"]вот здесь[/URL], а еще - вот здесь [url]http://virusinfo.info/announcement.php?f=46&a=12[/url]
И подумайте, что вы делаете не так.
И еще. вот вам цитатка.
[QUOTE]Пожалуйста, помните, что помощь Вам оказывается бесплатно, и на добровольной основе. Не требуйте помощи в категоричной форме. Если вы не понимаете, что Вас просят сделать, то в этом случае, Вам лучше обратиться к специалистам ближайшей компьютерной фирмы. Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.[/QUOTE]

1. Раз было сообщение STOP ... то минидамп по идее должен создаться (в той самой папке minidump). Если конечно настройка стоит как я писал - "Малый дамп памяти". Я специально запустил этого руткита на тестовом ПК и добился вышеописанных симптомов. Но у меня после перезагрузов создавались минидампы. Кроме того, в системных событиях для активного руткита шли алерты вида:
"В разделе реестра Laua41 запрещен доступ к программам учетной записи SYSTEM, поэтому владельцем раздела реестра стал диспетчер служб.". Laua41 - это текущее имя драйвера. Там-же фиксировались аварийные перезагрузки, сообщения вида:
Компьютер был перезагружен после критической ошибки: 0x10000050 (0xbd70f64b, 0x00000001, 0xf6212d2f, 0x00000002). Копия памяти сохранена: C:\WINDOWS\Minidump\Mini053107-03.dmp.
Раз этого нет, значит не настроено создание дампов.
2. В логе наблюдается неопознанный драйвер SystemRoot\System32\Drivers\a7zekq1z.SYS - нужно поискать его на диске
3. Видны драйвера от StarForce и эмулятора CD. Если терять нечего, то их стоит прибить - может, они конфликтуют с чем-то... равно как и приложение с именем типа DVDGHOST ...
4. Аварийная перезагрузка происходит по вине руткита. Если остался недобитым его драйвер - это и будет происходить. Размер драйвера - около 130-150 кб, имя меняется.

Малый дамп памяти стоит
Галочки на перезагрузку нет
И... АКТИВНОГО руткита, для создания системных евентов, вроде как нет!
Папка не создалась. Может... Потому, что файла подкачки нет? Мне он не нужен, хватает физической...

Заражение происходило... с прерыванием NOD32 - он тогда стоял, то есть НЕ беспрепятственно. (я всё описал в начале). Может и здесь неувязочка какая-то?

С SystemRoot\System32\Drivers\a7zekq1z.SYS - нет его в этом разделе. НИГДЕ!

Драйвера от StarForce и эмулятора CD как грамотно прибить в Safe Mode? Или можно это сделать с другого раздела, пока я здесь. (и можно ли их просто перенести-переименовать, чтоб совсем не сносить?)

Если Вы говорите, что может быть недобитый драйвер руткита: почему его тогда KIS последний не распознаёт сканированием из другого чистого раздела?

СПАСИБО за ответ!
Жду с нетерпением!

На самом деле ДАМП не создавался из-за отсутствия файла подкачки, ПА...!!! (ах, да, здесь не ругаются :-))
Создал его, ДО сноса DVDGHOST загрузился и вылетел в синий экран, снёс DVDGHOST и загрузился потом опять.
Соответственно архивы: Befor.zip и After.zip. Может и не надо?

Жду предложения: как снести (или аккуратно пока просто спрятать?) драйвера от StarForce и эмулятора CD

ПОЛНОСТЬЮ ДОВЕРЯЮСЬ В РУКИ СПЕЦИАЛИСТАМ!:) А то уже крыша едет!:?

СПАСИБО!

[QUOTE=serjga;113060]На самом деле ДАМП не создавался из-за отсутствия файла подкачки, ПА...!!! (ах, да, здесь не ругаются :-))
Создал его, ДО сноса DVDGHOST загрузился и вылетел в синий экран, снёс DVDGHOST и загрузился потом опять.
Соответственно архивы: Befor.zip и After.zip. Может и не надо?

Жду предложения: как снести (или аккуратно пока просто спрятать?) драйвера от StarForce и эмулятора CD

ПОЛНОСТЬЮ ДОВЕРЯЮСЬ В РУКИ СПЕЦИАЛИСТАМ!:) А то уже крыша едет!:?

СПАСИБО![/QUOTE]
Для убиения старфорса достаточно убрать его драйвера с диска ... кроме того, у них на сайте есть утилита для удаления всех компонент SF.

А эмулятора CD ? Надо Alcohol120% снести? И только? Или ещё что?
Только... вот ещё что: у меня есть СОВСЕМ ЧИСТЫЙ раздел и тоже заражённый. Там даже нету дров для видео и аудио бортового! Ведёт себя так же. Логи сначала собственно я с него и присылал. А потом ...
Может с ним пока что-то попробовать потому, что он ГОЛЫЙ совсем!!!
Если ДА - скажите: что сделать? На заражённый полный я переключился... по ошибке со второй страницы темы на загрузке с протоколированием. А то сча всё оттуда посношу и смысла не будет тогда в восстановлении раздела - уж легче будетт всё заново поставить. Как Вы считаете?

Там тоже вирусов не находит.
Могу провести исследование системы, создать опять все логи и снять дамп. Сделать для того пустого заражённого раздела?

Работы и результаты с тем новым пустым заражённым разделом:

Проверка KIS из чистого рабочего раздела - пусто.

1. Проверка по Правилам (virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log)
2. Сброс дампа во время сбоя загрузки ( Mini053107-01.zip )
3. Исследование системы ( avz_sysinfo.zip )
4. Системные Эвенты ( system.zip )

Раздел был специально создан для экспериментов и заражён так же заходом на тот сайт как и в первом случае с НОД32, который распознал в нём ТОЛЬКО угрозу, а не сам вирус на тот момент (как я понимаю).

Что здесь можно снести и где смотреть? Ситуация идентична с тем набитым разделом за исключением загруженности.

Что там с дампами в первом и этом разделах? НИЧЧЧё в этом не понимаю ))))))

И насчёт того, что терять нечего: не создавал бы я ещё один пустой раздел, если бы не хотел терять инфу на полном ;-) Хотелось сначала исправить после заражения пустой, а потом исправить ЭТОТ, загруженный! А то там мнОООго наработок, а как все перенести и забЭкапить...
И вообще уже ПРОСТО ИНТЕРЕСНО: удастся или нет? В Чём же дело?

Жду ответа!
Спасибо!

Вот это уже ближе к ситине - есть над чем поработать ... нужно:
1. переключиться с малого дампа памяти на "Дамп памяти ядра" и повторить опыт загрузки.
2. Временно отрубить NOD или (если это раздел для тестов) то вообще его деинсталлить и посмотреть, как это повлияет на загрузку системы
3. Если 2 не поможет, то AVZ, "Сервис\Поиск файла на диске", там указать на папку System32\Drivers пораженного раздела и отметить две прички "Исключать файлы ...". Для начала можно запостить сюда лог найденных файлов

Поставил дамп памяти ядра. Снёс старый дамп.
Переименовал, чтобы снести корректно (там в имени папки был дефис, не помню - зачем поставил) NOD32, снёс его. Перегрузился.
Жду РеБута.
Его нет....

Вот тут я не пойму: в чём собака порылась?
Объясните, господин волшебник, как ЭТО могло повлиять, если папка ИТАК была переименована и доступа к загрузке (а её не было в Сафе Моде) НОД32 всё равно не было по причине ОТСУТСТВИЯ ПАПКИ ЗАГРУЗКИ НОДа !!!?
А я пока восстановлю снова из имиджа этот заражённый раздел и попробую ещё раз. А то что-то бред какой-то!

ЖДУ ОТВЕТА!
СПАСИБО!

Как это влияет - загадка, но в минидампе я видел куски от драйвера NOD32 - поэтому и стал советовать прибить его ... Но драйвер у него стартует в нормальном режиме в любом случае, так как находится в системной папке и прописан как автозагружаемый.

Действительно! Простым сносом NOD32 проблема решилась!
Так же снёс его с РАБОЧЕГО заражённого раздела - ТА ЖЕ СИТУАЦИЯ, перезагрузки прекратились!
Сейчас пишу уже с него. Пока всё остальное не проверял. Но.. я же ничего на разделе не трогал! Или всё же вирус мог что-то ещё "зацепить" и следует всё же переустановить систему со всей приблудой? Жаль, что так и не удалось поймать svchostes.exe с того Малазийского адреса.
Почему всё же так произошло с НОД32? И, как я смотрю, не у меня одного уже такая ситуация [URL]http://www.virusinfo.info/showthread.php?t=10104[/URL]! Чудес не бывает !
Буду рад Вам ещё что-нибудь прислать! 2 новых вируса уже присылал в лабораторию Касперского совсем недавно, когда за Симантеком сидел :D, выковырял вместо него кое-как ;)
Кстати, а кто МНЕ в личку напишет: каким лучше пользоваться антивирусом?
Раздел заражённый, всмысле нерабочие (полный и экспериментальный) пока остались. Может что-то с ними ещё надо сделать для Вас?

ПОКА ВЫКЛЮЧАЮСЬ!!! В НЕБЕ ЧТО-ТО СТРАШНОЕ!!!
Жду известий!
ВСЕМ - СПАСИБО!!!!
УДАЧ !

Сделайте логи в нормальном режиме на всякий случай. А там видно будет.

Всё то же самое, что делал вчера днём по полной программе? только без дампа? Файлы при скане не надо включить все? Я почему спрашиваю: чтобы не было неувязок. Имиджи место занимают, у меня напряг. Вы отвечаете не сразу.
Если всё без изменений, скажите: ЧТО делать и КАК, по какой программе, лучше подробно!

Если последующие действия зависит от результата первого "замера" - сча сделаю.
Обоих разделов, как я понял?

Жду ответа!
СПАСИБО!
ЗЫ: всмысле... а заражённые (то есть НЕ рабочие - полный и экспериментальный) разделы Вам больше не нужны?

Три протокола по [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL], как Вы делали в начале темы.

Знач так: сначала по экспериментальному чистому разделу

А здесь - по забитому первому заражённому

Всё же интересно: почему так произошло?
Сча попробую на экспериментальный поставить НОД32 (здесь опять уже поставил) и попробую поймать тот svchostes :P c [URL]http://203.223.158.169[/URL], если его оттуда уже не снесли.

Надо ли заново переставлять софтину на рабочий раздел или я всё же добился своего?

Если что нужно - Я пока здесь :-)

Итак:
Машину видимо портит тот скрипт на сломанном сайте так, чтобы при загруженном НОДе тачка перегружалась. НЕТ? Потому, что просто при загрузке файла (и это разумеется) ничего не портится.
Высылаю вам файлы с карантина и закачанный с того Малазийского сервака svchostes.exe. Или они у Вас уже есть? Вы об этом не сообщили.
ПРичем интресно: до подтверждения загрузки появился маленький файлик в темпах (Begin_DL.zip), потом, когда он загрузился и его поймал НОД - большой в другом месте темпов (end_DL.zip), а уже БЕЗ НОДа - весь целиком (Without_NOD_DL.zip)! Почему перед подтверждением загрузки он уже лез на машину? И почему размер закаченного с НОДом отличался от закаченного БЕЗ НОда?
Ну и карантин. Там почему-то содержание их СОВСЕМ другое в отличии от закачанных - ПОЧЕМУ?

Скажите, а можно было поправить винду, НЕ снося НОД? Или просто что-то в нём было испорчено?

И надо ли всё же переставлять систему с софтом?

Что дальше?

СПАСИБО!

ответ из ЛК:
Здравствуйте,

svchostes[1].exe_ - Trojan-Spy.Win32.Goldun.os

Этот файл определяется антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.

--
С уважением, Дмитрий Швецов
Вирусный аналитик Лаборатории Касперского.

Time Module Object Name Threat Action User Information
01.06.2007 17:53:07 AMON file svchostes[1].exe a variant of Win32/Spy.Goldun.NAT trojan quarantined - deleted Event occurred on a new file created by the application: C:\Program Files\WinRAR\WinRAR.exe. The file was moved to quarantine. You may close this window.


Про какую переписку Вы говорите?

Это стандартная строчка из ответа от ЛК. Ваш карантин до них доехал.

Понятно.
Спасибо!
Жду ответа про надобность перезаливки тачки и причину такого поведения после заражения-лечения, а также про надобность дальнейшего исследования вылеченных-НЕвылеченных разделов (жмут объёмы).

Жду ответа!
Спасибо!

[quote]Знач так: сначала по экспериментальному чистому разделу[/quote]Все чисто.
[quote]А здесь - по забитому первому заражённому[/quote]Все чисто.

Проблема решена?

[quote=MaXim;113564]Все чисто.
Все чисто.

Проблема решена?[/quote]

Доброго Вам здоровья!
Причина моего молчания - отключение меня от инета всвязи с заявлениями в письменной форме о некачественной услуге: инет "падает" несколько раз в час, тормозит часто, что продолжается уже больше года. Милиция подключилась, шантажируют и угрожают. Сейчас пишу от друзей с работы.
Кто знает - куда можно обратиться - ПОМОГИТЕ! Пресса? СМИ?

Насчёт разделов: проблем вроде пока нет, хотя я не всё ещё пробовал. И дело даже не в вирусах - я же их проверял с другого чистого активного раздела, а в корректной работоспособности софта после заражения-лечения. НОД32 пришлось же снести для корректной работы системы! В том-то и вопрос!

Спасибо!
Жду ответа.

[QUOTE]Кто знает - куда можно обратиться - ПОМОГИТЕ![/QUOTE]
К другому провайдеру, ясно море!

[QUOTE]дело даже не в вирусах ... а в корректной работоспособности софта после заражения-лечения. [/QUOTE]
Бывают конечно проблемы такого рода, ничего не поделаешь, лес рубят - щепки летят. Но здесь уже помочь в рамках этого форума далеко не всегда возможно. Программы, переставшие корректно работать, следует деинсталлировать, удалить их рабочие папки и по возможности ключи в реестре, затем установить и настроить заново.

[quote=Bratez;113916]К другому провайдеру, ясно море![/quote]

Уважаемый!
Другой провайдер в другом городе!
У меня нет столько денег, чтобы в нашем городе прокопать себе другого провайдера. А Ваше предложение - признание правоты и хамства нашего провайдера, который пьёт кровь уже не один год!
Ставить антену или через JPRS - не выход, а, если выход, то временный! А как участвовать в войнах гильдий? Через антену или JPRS? НЕРЕАЛЬНО!

[quote=Bratez;113916]Бывают конечно проблемы такого рода, ничего не поделаешь, лес рубят - щепки летят. Но здесь уже помочь в рамках этого форума далеко не всегда возможно. Программы, переставшие корректно работать, следует деинсталлировать, удалить их рабочие папки и по возможности ключи в реестре, затем установить и настроить заново.[/quote]
Значит мои разделы сохранённые больше не интересны? ЧТО порушилось в НОД32, что система перезагружалась? Если на ЭТО ответа нет или разделы больше не нужны - так и скажите: СНОСИ ;)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]