Заразился с сайта, подробности внутри

[Bratez]

Не могу прицепить файл с архивом

Его нужно отправить через эту форму:
Прислать запрошенные файлы

[serjga]

Его нужно отправить через эту форму:
Прислать запрошенные файлы

Вот спасибо! А то не понял там в правилах )))
только.. что дальше? Послал. Нужен отчёт?
Файл сохранён как 070528_155155_archive_465ac25ba5710.zip
Размер файла 274382
MD5 4dc727d9038d45c70f1f022ef7eb91f5
Они уже где-то на проверке?

Как в результате мне раздел тот исправить? Вирусов там нет, а во время атаки - были в ТЕМПах!

ЗЫ: только что проверил :обнаружено: троянская программа Rootkit.Win32.Agent.ea Файл: Bcsm63.sys
НО он был у меня ещё в первом заражённом разделе. Сча там его нет. И в другом заражённом KISка ничего не находит. Что теперь ?

Ждёмс....

[serjga]

Так что мне всё же желать для восстановления работоспособности этого раздела?

[Зайцев Олег]

Для начала нужно прибить файл Bcsm63.sys и попробовать загрузиться. Это драйвер руткита ... его детектит KAV, я вчера посылал им семпл. Все остальные присланные файлы также зловреды и подлежат удалению. В теории после удаления Bcsm63.sys системма должна загрузиться. Если не загрузится, то стоит попробовать загрузку в защищенном режиме с протоколированием

[serjga]

Если не загрузится, то стоит попробовать загрузку в защищенном режиме с протоколированием

Не грузится
И что даст загрузка с протоколированием? И где искать этот протокол потом на ХР ПРО СП2 ?
ЗЫ:
Bootlog.txt в корне загрузочного раздела?

Не оказалось после перезагрузки такого файла при протоколировании в корне раздела
Что дальше?
Опять же повторяю: БЕЗ включённой сетки, витой пары, перегружается СРАЗУ на строчке ввода пароля, ПРИ включённой сетке - задерживается секунды на 2 больше

[serjga]

ВОТ ОНА, загрузка с протоколированием!
Вложение есть.
Что скажете? Почему в SAFE MODE грузится, а в нормальном - нет?

[serjga]

C:\Documents and Settings\Администратор>sfc/scannow
Защита файлов Windows не смогла запустить сканирование защищенных системных файл
ов.
Код ошибки: 0x000006ba [Сервер RPC недоступен.
].

[serjga]

Скажите, Уважаемые!
Мне переставлять винду заново на этот раздел или всё же можно исправить ситуацию?
Уже СУТКИ молчание!
Вирус удалил, дальше что? Она так же перегружается, кроме режима защиты от сбоев.
Повторяю: БЕЗ включённой сетки, витой пары, перегружается СРАЗУ на строчке ввода пароля, ПРИ включённой сетке - задерживается секунды на 2 больше, а только потом перегружается.
В SAFE MODE не перегружается - такая ситуация говорит о присутствии всё же вируса?

[serjga]

АЛЁЁЁЁЁЁЁЁЁ!!!!!!! Я вам не мешаю здесь? Может мои посты здесь не видно? Хоть что-нибудь ответьте, чтобы я знал: помогут здесь мне или нет?

[Rene-gad]

АЛЁЁЁЁЁЁЁЁЁ!!!!!!! Я вам не мешаю здесь?

Кричать не надо - тут не Хотлайн а форум. Попробуте sfc/scanonce или с другими параметрами. Описание команды: http://support.microsoft.com/?scid=k...10747&x=11&y=7

[serjga]

Ну так в форуме общаются, а мне никто сутки не отвечал! Вот сча только и ответили, когда покричал! УСЛЫШАЛИ!

А сканирование я пытался делать. СМ посты выше! Опять сообщение для "выступающих". Хотя бы даже он и модератор. Тем более: внимательно надо читать посты, прежде чем советовать что-то!

[Bratez]

Попробуем так: в Safe mode, AVZ - Файл - Стандартные скрипты - #1 - Выполнить, затем Файл - Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск, сохранить протокол, упаковать в зип или рар и сюда его.

[serjga]

СПАСИБО! сча сделаем... пришлю!

[Rene-gad]

Вот сча только и ответили, когда покричал! УСЛЫШАЛИ!

Нет, просто случайно напоролись.

А сканирование я пытался делать. СМ посты выше!

Где конкретно? Здесь Вы другой параметр задавали.
И еще повторю: Кричать не надо - тут не Хотлайн а форум.
- Хотлайн обязан помочь. Если Вы не получили ответа на Хотлайн Вы можете обратиться в суд.
- Если Вы не получили ответа в форуме, то возможны 2 причины:
а) никто ответа не знает или
б) кто-то знает, но давать не хочет.
В обоих случаях в суд обращаться бесполезно.

[serjga]

Нет, просто случайно напоролись.

Где конкретно? Здесь Вы другой параметр задавали.
И еще повторю: Кричать не надо - тут не Хотлайн а форум.
- Хотлайн обязан помочь. Если Вы не получили ответа на Хотлайн Вы можете обратиться в суд.
- Если Вы не получили ответа в форуме, то возможны 2 причины:
а) никто ответа не знает или
б) кто-то знает, но давать не хочет.
В обоих случаях в суд обращаться бесполезно.

Господин модератор, Вы мне что хотите доказать - что Вы здесь главнее? Я итак знаю! ВАМ легче меня стереть в порошок, с форума и т.д., чем признать себя не правым? Я это уже видел. Зрелище .. гнусное мягко говоря. Зачем эти выступления про суд (я про него говорил?), про ХотЛайн... Похоже на звёздную болезнь.

ЗДЕСЬ http://virusinfo.info/showthread.php?t=6892 я это и прочитал, перед тем, как писать. С другим ключом такой же результат у меня. Может дело всё в режиме защиты от сбоев, в котором это запускается?
Посылаю два протокола: в одном драйвер не был загружен, я его загрузил и проверил заново.

[PavelA]

Bcsm63.sys - думаю, надо удалять.
csrss.exe в "Автозапуске" туда же.
После этого можно пытаться загрузиться.

Не обижайтесь, у нас не все из России. Некоторые уже привыкли по европейским правилам жить ( @ Rene-gad)

[Bratez]

Ну вот, что и требовалось! Вам же Олег Зайцев написал про Bcsm63.sys,
а он живехонек! Плюс еще пинча ухитрились где-то подцепить.
Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\csrss.exe');
 BC_DeleteFile('C:\WINDOWS\csrss.exe');
 BC_DeleteSvc('Bcsm63');
 BC_DeleteFile('C:\WINDOWS\System32\Bcsm63.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Система перезагрузится, пробуйте сразу нормальный режим.
Если пойдет - новые логи в студию.

[serjga]

Bcsm63.sys - думаю, надо удалять.
csrss.exe в "Автозапуске" туда же.
После этого можно пытаться загрузиться.

Не обижайтесь, у нас не все из России. Некоторые уже привыкли по европейским правилам жить ( @ Rene-gad)

ГОСПОДААА!!! Друзья :-) Спасибо за помощь!
НО!
Я эти файлы ДАВНО удалил! НЕТУ ИХ УЖЕ ДАВНО! ))))))
Проверяя с чистой системы на этом разделе НИЧЕГО не находится KIS 6.0.2.621!
Что дальше?

[PavelA]

В протоколе они есть. Значит, в реестре они живы и винда пытается их загрузить. Надо выполнять скрипт от Brateza.

[serjga]

Знач так, по пунктам:
1.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteFile('C:\WINDOWS\csrss.exe');
BC_DeleteSvc('Bcsm63');
BC_DeleteFile('C:\WINDOWS\System32\Bcsm63.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
выполнил из под администратора, винда перегрузилась, я поймал F8, Safe mode, загрузка встала с единственной строчкой наверху:
multi(0)disk(0)rdisk(0)partition(1) блаблабла точно не помню \system32\ntoskrnl.exe. И ВСЁ! ТОЛЬКО AnyKey !
Загрузилась снова УЖЕ без проблем, но в Safe mode. В обычном режиме по прежнему перегружается.

До скрипта я залез в реестр и поискал там csrss и Bcsm63
Архивы с ветками, где есть ссылки на эти строчки высылаю.
После скрипта и перезагрузки исчезла только строчка csrss\2.reg, остальные ВСЕ остались.
Файлов этих на разделе не было.
Что делать дальше?

ЗЫ: Повторяю: БЕЗ включённой сетки, витой пары, перегружается СРАЗУ на строчке ввода пароля, ПРИ включённой сетке - задерживается секунды на 2 дольше, а только потом перегружается - такая ситуация говорит о присутствии всё же вируса? Не так ли?
В SAFE MODE не перегружается.