Заразился с сайта, подробности внутри

Доброго здоровья, СЕТЯНЕ !

Искал инфу через ya.ru, зашёл по ссылке - НЕ НАЖИМАЙТЕ!!! - : сайта МОНИКИ [B][COLOR="Red"][Link][/COLOR][/B] института областного, сразу на машину полезла всякая дрянь [B][COLOR="Red"][Link][/COLOR][/B]! (Кстати: куда надо сообщить, чтобы ПРИЖАть негодяя ?) НОД32 со свежими базами сообщил об атаке, похожей на известный вирус, попытался блокировать приложение, но.., потом всё же позволил заразить машину, так как не знал этого вируса (точнее их там целых 3). Сейчас я пытаюсь действовать по "Правилам", проверяю последним обновлением KISа 6.0.2.621. Пока находит только заражённые объекты в карантине НОДа. С этого раздела машина теперь уходит в перезагрузку едва дойдя до ввода пароля на профиль. Уходит быстрее при отключенном сетевом кабеле, при включенном слегка тормозит РЕБУТ. В SAFE MODE не перегружается, позволяет ввести пароль и запустить антивирус cureit.exe.
В выковырянных мной во время атаки и заражения файлах из темпов (инета и времянках) KIS 6.0.2.621 находит 4 вируса!:
Trojan-PSW.Win32.LdPinch.byy
Trojan-Spy.Win32.Goldun.os
Rootkit.Win32.Agent.ea
Trojan-Downloader.Win32.Agent.bkm

А в самом разделе, который перегружается - НЕТ! Проверяю его с чистой свежей системы с чистого раздела - заражённые только карантинные с НОДа - ВСЁ! Больше нигде не находит.
Ковыряю по "Правилам" дальше...
Хотелось бы вылечить раздел - много там всего весёлого ;-)[U][SIZE=2][COLOR=#0000ff]

[/U][/COLOR][/SIZE]
[B][COLOR="Red"]Адреса приняты к сведению. Из поста я их убрал, чтобы ни кто не заразился.[/COLOR][/B]

ЗЫ: Спасибо! И всё же: куда обратиться насчёт этого адреса ?
А адрес я всё же как-нибудь оставил (не запускаемый, с русской "о", например), чтобы нашедший ЕГО в яндексе НЕ ЗАРАЗИЛСЯ!

Сделал заражённый раздел активным, загрузился в режиме защиты от сбоев (по-другому перегружается) и провёл тесты.
Логи прилагаются.
Жду ответа.

Спасибо!

В логах чисто.

[quote=MaXim;112419]В логах чисто.[/quote]
Это я и сам вижу ;)
А раздел этот в обычном режиме перегружается >:(
Что дальше делать? :?

ЗЫ: и что с тем адресом : "моникивЭб.ру" - заходить туда когда можно будет?

[QUOTE]А раздел этот в обычном режиме перегружается[/QUOTE]Вариантов много. Первое, что приходит на ум это проблема с драйверами.
[QUOTE]ЗЫ: и что с тем адресом : "моникивЭб.ру" - заходить туда когда можно будет?[/QUOTE]Экспертам передал на анализ, пока тихо. При беглом просмотре нашел несколько подозрительных строчек в исходном коде...

[quote=MaXim;112426]Вариантов много. Первое, что приходит на ум это проблема с драйверами.
Экспертам передал на анализ, пока тихо. При беглом просмотре нашел несколько подозрительных строчек в исходном коде...[/quote]

То есть ВЫ хотите сказать, что во время загрузки официального сайта института "МОНИКИ" идёт атака на драйвера?

Я ни чего не говорил ;) Я предположил, что с этого сайта ставиться malware. Сайт по всей вероятности ломанули. Напишите админу этого сайта с просьбой проверить. В коде я нашел фрейм от третьих лиц... Что там за фрейм я не знаю.

[quote=MaXim;112441]Я ни чего не говорил ;) Я предположил, что с этого сайта ставиться malware. Сайт по всей вероятности ломанули. Напишите админу этого сайта с просьбой проверить. В коде я нашел фрейм от третьих лиц... Что там за фрейм я не знаю.[/quote]

Вот вы интересный: куда писать, если при заходе на этот сайт тачка сразу заражается! Сейчас ещё раз попробую со свежей системы...

[QUOTE]Вот вы интересный: куда писать, если при заходе на этот сайт тачка сразу заражается![/QUOTE]Я думал, если Вы так часто бываете на этом сайте, то знаете адрес админа. Олег Зайцев подтвердил: сайт взломан. [QUOTE]Сейчас ещё раз попробую со свежей системы...[/QUOTE]На сайт лучше не заходите до тех пор, пока его не починят.

Знач так:
во-первых: покажите пальцем, где я писАл, что "так часто там бываю"?
во-вторых: как узнать, что его (этот сайт) починили?
в-третьих: мне это не даёт ничего для починки моего сломанного раздела.

Мне здесь помогут? Винда на разделе падает сразу, после захода на этот сайт. При чём здесь мои драйвера? Может Вам прислать те файлы заражённые? Или названия вирусов хватит?
Что мне дальше-то делать с этим разделом для восстановления?
Спасибо!

[QUOTE]во-первых: покажите пальцем, где я писАл, что "так часто там бываю"?[/QUOTE]Судя по Вашему рвению и беспокойству я сделал такой вывод. Вас это оскорбило?
[QUOTE]во-вторых: как узнать, что его (этот сайт) починили?[/QUOTE]Это зависит от администрации сайта.
[QUOTE]Винда на разделе падает сразу, после захода на этот сайт.[/QUOTE]Я Вам русским языком сказал, что не надо пока ходить на этот сайт![QUOTE]При чём здесь мои драйвера?[/QUOTE]Вирусов в логах не видно. Можно предположить что что-то случилось с драйверами.[QUOTE]Может Вам прислать те файлы заражённые?[/QUOTE]Пришлите так, как написано в [URL="http://virusinfo.info/showthread.php?t=1235"]правилах[/URL].

Я написал администрации сайта письмо, в котором сообщил о взломе сайта и дал рекомендации по устранению проблемы - будем надеяться, они оперативно отреагируют на мое сообщение и удалят вредоносные вставки из HTML кода своего сайта

Спасибо, Олег!

[QUOTE=MaXim;112472]Спасибо, Олег![/QUOTE]
Это еще только начало - причина глюка и невозможности загрузки в нормальном режиме прояснилась. Идин из инсталлируемых сайтом зверей - руткит, размещается от в C:\WINDOWS\system32\windbg48.sys, и его работа приводит к сбою и нарушению работы системы. Как минимум, следует поискать на зараженном ПК такой файл и прибить его.
Скрипт:
[code]
begin
BC_QRFile('C:\WINDOWS\system32\Emx63.sys');
BC_QRFile('C:\WINDOWS\system32\windbg48.sys');
BC_DeleteFile('C:\WINDOWS\system32\windbg48.sys');
BC_DeleteFile('C:\WINDOWS\system32\Emx63.sys');
BC_Activate;
RebootWindows(true);
end.
[/code]

Пока ставил чистую винду на новый раздел - сайт вылечили )))
НОД32 ничего не сказал.

Прислать всё же заражённые файлы для анализа?
ВСЕМ СПАСИБО!!!

А я пока попробую найти и прибить эти 2 файла

[QUOTE]Прислать всё же заражённые файлы для анализа?[/QUOTE]Конечно пришлите.

Нету на разделе этих файлов Emx63.sys и windbg48.sys НИГДЕ!

Высылаю набор инфицированных файлов:

Trojan-PSW.Win32.LdPinch.byy 43.tmp
Trojan-Spy.Win32.Goldun.os IH38.tmp
Trojan-PSW.Win32.LdPinch.byy update[1].exe
Rootkit.Win32.Agent.ea mad[1].exe
Trojan-Downloader.Win32.Agent.bkm file[1].exe
И ещё rакой-то из system32 Bcsm63.sys

Пароль на архив "ViRuS" без кавычек.
Что-то не могу прислать архив с заражёнными файлами. При закачке говорит: Некорректный файл! Это почему?

Нужно выслать в формате *.zip и с паролем virus

[QUOTE=serjga;112523]Нету на разделе этих файлов Emx63.sys и windbg48.sys НИГДЕ![/QUOTE]
Так руткит же! Прячутся. Раз у вас мультизагрузка, то загрузитесь с чистой копии системы, из неё должны быть видны.

[quote=pig;112527]Так руткит же! Прячутся. Раз у вас мультизагрузка, то загрузитесь с чистой копии системы, из неё должны быть видны.[/quote]

Дубль 2:
Нету на разделе этих файлов Emx63.sys и windbg48.sys НИГДЕ!

Высылаю набор инфицированных файлов:

Trojan-PSW.Win32.LdPinch.byy 43.tmp
Trojan-Spy.Win32.Goldun.os IH38.tmp
Trojan-PSW.Win32.LdPinch.byy update[1].exe
Rootkit.Win32.Agent.ea mad[1].exe
Trojan-Downloader.Win32.Agent.bkm file[1].exe
И ещё rакой-то из system32 Bcsm63.sys

Вот так КАЖДОМУ вновь прибывшему, выхватившему слово из контекста, А НЕ ВЕСЬ ТОПИК ПРОЧИТАВШЕМУ, надо объяснять, что я гружусь с ЧИСТОЙ НОВОЙ СИСТЕМЫ С НОВОГО РАЗДЕЛА!

Не могу прицепить файл с архивом, пишет: [B]archive.zip[/B]:
35.6 Кбайт превысил(а) предел на форуме. У МЕНЯ 274382 b, А ПРЕДЕЛ - 488.3 Кв, КАК ЭТО ПОНЯТЬ?

[QUOTE]Не могу прицепить файл с архивом[/QUOTE]
Его нужно отправить через эту форму:
[URL="http://virusinfo.info/upload_virus.php?tid=10049"]Прислать запрошенные файлы[/URL]

[quote=Bratez;112534]Его нужно отправить через эту форму:
[URL="http://virusinfo.info/upload_virus.php?tid=10049"]Прислать запрошенные файлы[/URL][/quote]

Вот спасибо! А то не понял там в правилах )))
только.. что дальше? Послал. Нужен отчёт?
Файл сохранён как 070528_155155_archive_465ac25ba5710.zip
Размер файла 274382
MD5 4dc727d9038d45c70f1f022ef7eb91f5
Они уже где-то на проверке?

Как в результате мне раздел тот исправить? Вирусов там нет, а во время атаки - были в ТЕМПах!

ЗЫ: только что проверил :обнаружено: троянская программа Rootkit.Win32.Agent.ea Файл: Bcsm63.sys
НО он был у меня ещё в первом заражённом разделе. Сча там его нет. И в другом заражённом KISка ничего не находит. Что теперь ?

Ждёмс.... :00000503:

Так что мне всё же желать для восстановления работоспособности этого раздела?

Для начала нужно прибить файл Bcsm63.sys и попробовать загрузиться. Это драйвер руткита ... его детектит KAV, я вчера посылал им семпл. Все остальные присланные файлы также зловреды и подлежат удалению. В теории после удаления Bcsm63.sys системма должна загрузиться. Если не загрузится, то стоит попробовать загрузку в защищенном режиме с протоколированием

[quote=Зайцев Олег;112668]Если не загрузится, то стоит попробовать загрузку в защищенном режиме с протоколированием[/quote]
Не грузится
И что даст загрузка с протоколированием? И где искать этот протокол потом на ХР ПРО СП2 ?
ЗЫ:
Bootlog.txt в корне загрузочного раздела?

Не оказалось после перезагрузки такого файла при протоколировании в корне раздела
Что дальше?
Опять же повторяю: БЕЗ включённой сетки, витой пары, перегружается СРАЗУ на строчке ввода пароля, ПРИ включённой сетке - задерживается секунды на 2 больше

ВОТ ОНА, загрузка с протоколированием!
Вложение есть.
Что скажете? Почему в SAFE MODE грузится, а в нормальном - нет?

C:\Documents and Settings\Администратор>sfc/scannow
Защита файлов Windows не смогла запустить сканирование защищенных системных файл
ов.
Код ошибки: 0x000006ba [Сервер RPC недоступен.
].

Скажите, Уважаемые!
Мне переставлять винду заново на этот раздел или всё же можно исправить ситуацию?
Уже СУТКИ молчание!
Вирус удалил, дальше что? Она так же перегружается, кроме режима защиты от сбоев.
Повторяю: БЕЗ включённой сетки, витой пары, перегружается СРАЗУ на строчке ввода пароля, ПРИ включённой сетке - задерживается секунды на 2 больше, а только потом перегружается.
В SAFE MODE не перегружается - такая ситуация говорит о присутствии всё же вируса?

АЛЁЁЁЁЁЁЁЁЁ!!!!!!! Я вам не мешаю здесь? Может мои посты здесь не видно? Хоть что-нибудь ответьте, чтобы я знал: помогут здесь мне или нет?

[QUOTE=serjga;112891]АЛЁЁЁЁЁЁЁЁЁ!!!!!!! Я вам не мешаю здесь?[/QUOTE]Кричать не надо - тут не Хотлайн а форум. Попробуте [B]sfc/scanonce [/B] или с другими параметрами. Описание команды: [url]http://support.microsoft.com/?scid=kb%3Bru%3B310747&x=11&y=7[/url]

Ну так в форуме общаются, а мне никто сутки не отвечал! Вот сча только и ответили, когда покричал! УСЛЫШАЛИ!

А сканирование я пытался делать. СМ посты выше! Опять сообщение для "выступающих". Хотя бы даже он и модератор. Тем более: внимательно надо читать посты, прежде чем советовать что-то!

Попробуем так: в Safe mode, AVZ - Файл - Стандартные скрипты - #1 - Выполнить, затем Файл - Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск, сохранить протокол, упаковать в зип или рар и сюда его.

СПАСИБО! сча сделаем... пришлю!

[QUOTE=serjga;112908] Вот сча только и ответили, когда покричал! УСЛЫШАЛИ![/QUOTE]
Нет, просто случайно напоролись.
[QUOTE]А сканирование я пытался делать. СМ посты выше![/QUOTE]
Где конкретно? [URL="http://virusinfo.info/showpost.php?p=112795&postcount=27"]Здесь[/URL] Вы другой параметр задавали.
И еще повторю: Кричать не надо - тут не Хотлайн а форум.
- Хотлайн [B]обязан[/B] помочь. Если Вы не получили ответа на Хотлайн Вы можете обратиться в суд.
- Если Вы не получили ответа в форуме, то возможны 2 причины:
а) никто ответа не знает или
б) кто-то знает, но давать не хочет.
В обоих случаях в суд обращаться бесполезно.

[quote=Rene-gad;112916]Нет, просто случайно напоролись.

Где конкретно? [URL="http://virusinfo.info/showpost.php?p=112795&postcount=27"]Здесь[/URL] Вы другой параметр задавали.
И еще повторю: Кричать не надо - тут не Хотлайн а форум.
- Хотлайн [B]обязан[/B] помочь. Если Вы не получили ответа на Хотлайн Вы можете обратиться в суд.
- Если Вы не получили ответа в форуме, то возможны 2 причины:
а) никто ответа не знает или
б) кто-то знает, но давать не хочет.
В обоих случаях в суд обращаться бесполезно.[/quote]

Господин модератор, Вы мне что хотите доказать - что Вы здесь главнее? Я итак знаю! ВАМ легче меня стереть в порошок, с форума и т.д., чем признать себя не правым? Я это уже видел. Зрелище .. гнусное мягко говоря. Зачем эти выступления про суд (я про него говорил?), про ХотЛайн... Похоже на звёздную болезнь.

ЗДЕСЬ [URL]http://virusinfo.info/showthread.php?t=6892[/URL] я это и прочитал, перед тем, как писать. С другим ключом такой же результат у меня. Может дело всё в режиме защиты от сбоев, в котором это запускается?
Посылаю два протокола: в одном драйвер не был загружен, я его загрузил и проверил заново.

Bcsm63.sys - думаю, надо удалять.
csrss.exe в "Автозапуске" туда же.
После этого можно пытаться загрузиться.

Не обижайтесь, у нас не все из России. Некоторые уже привыкли по европейским правилам жить ( @ Rene-gad)

Ну вот, что и требовалось! Вам же Олег Зайцев написал про Bcsm63.sys,
а он живехонек! Плюс еще пинча ухитрились где-то подцепить.
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteSvc('Bcsm63');
BC_DeleteFile('C:\WINDOWS\System32\Bcsm63.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Система перезагрузится, пробуйте сразу нормальный режим.
Если пойдет - новые логи в студию.

[quote=PavelA;112924]Bcsm63.sys - думаю, надо удалять.
csrss.exe в "Автозапуске" туда же.
После этого можно пытаться загрузиться.

Не обижайтесь, у нас не все из России. Некоторые уже привыкли по европейским правилам жить ( @ Rene-gad)[/quote]
ГОСПОДААА!!! Друзья :-) Спасибо за помощь!
НО!
Я эти файлы ДАВНО удалил! НЕТУ ИХ УЖЕ ДАВНО! ))))))
Проверяя с чистой системы на этом разделе НИЧЕГО не находится KIS 6.0.2.621!
Что дальше?

В протоколе они есть. Значит, в реестре они живы и винда пытается их загрузить. Надо выполнять скрипт от Brateza.

Знач так, по пунктам:
1.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteSvc('Bcsm63');
BC_DeleteFile('C:\WINDOWS\System32\Bcsm63.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
выполнил из под администратора, винда перегрузилась, я поймал F8, Safe mode, загрузка встала с единственной строчкой наверху:
multi(0)disk(0)rdisk(0)partition(1) блаблабла точно не помню \system32\ntoskrnl.exe. И ВСЁ! ТОЛЬКО AnyKey !
Загрузилась снова УЖЕ без проблем, но в Safe mode. В обычном режиме по прежнему перегружается.

До скрипта я залез в реестр и поискал там csrss и Bcsm63
Архивы с ветками, где есть ссылки на эти строчки высылаю.
После скрипта и перезагрузки исчезла только строчка csrss\2.reg, остальные ВСЕ остались.
Файлов этих на разделе не было.
Что делать дальше?

ЗЫ: Повторяю: БЕЗ включённой сетки, витой пары, перегружается СРАЗУ на строчке ввода пароля, ПРИ включённой сетке - задерживается секунды на 2 дольше, а только потом перегружается - такая ситуация говорит о присутствии всё же вируса? Не так ли?
В SAFE MODE не перегружается.