Заразился с сайта, подробности внутри

[Зайцев Олег]

Продолжим вскрытие:
1. Из защищенного режима нужно зарядить проверку системного тома на наличие ошибок (система потребует перезагрузку и в ходе перезагрузки запустит chkdsk на системный диск). Может быть, это в чем-то поможет
2. Необходимо повторить логи - нужно точно посмотреть, что от зловреда
3. В системе есть папка C:\WINDOWS\Minidump\ - нужно почистить ее, затем убедиться в том, что минидампы включены ("Мой компьютер" - правая кнопка, "свойства системы", там закладка "Дополнительно", кнопка "Параметры" в группе "Загрузка и восстановление"). Нужно сбросить там птичку "Выполнять автоматическую перезагрузку" и убедиться, что выбрана опция "Малый дамп памяти". Затем следует попробовать загрузиться в обучном режиме и если не выйдет, то после этого поискать в папке C:\WINDOWS\Minidump\ дамппы. Если появится, то прислать нам
4. Изучить события ("Мой компьютер" - правая кнопка, "управление", там "Просмотр событий"), следует изучить последние события в разделах "приложения" и "Система". Журналы можно почистить (Меню "Действие/Стереть все события" для каждого журнала) и затем попробовать загрузиться в нормальном режиме, после чего загрузиться в защищенном и изучить, что попадет в журналы

[serjga]

Спасибо! сча всё сделаю, а пока, боюсь быть ... профаном, но.. там в паре мест реестра есть ссылка на windows\csrss.exe - вирус, который я 3 дня назад уже снёс, а ОН, этот файл, находится в папке system32. ФАЙЛ НОРМАЛЬНЫЙ - НЕ вирус!! )))) В этом может быть траблема?
ЗЫ: 1 - как сделать? забыл ))))
2 - какие логи? Что делать?
3 - C:\WINDOWS\Minidump - НЕТ такой папки у меня! Ни на одном из 3-х разделов!
4 - сча сделаю

[Зайцев Олег]

1. Выбрать диск в проводнике, правая кнопка - свойства, там "сервис", там кнопка "Выполнить проверку" в группе "Проверка диска"
2. Логи по правилам
3. Не страшно - нужно проделать остальное, описанное в п.п. 3

[serjga]

1. Я почему по первому пункту спросил: тест драйва запускается СРАЗУ, а не требует перезагрузки системы.
2. Логи сча сделаю, вышел качнуть свежую софтину
3. Дамп ещё не чистил, сча сделаю
4. ПРикрепляю "события" до и после перезагрузки. Только системные появляются. Ничего из загрузки в нормальном режиме не попадает в журнал. Только события в защищённом режиме.

[serjga]

Прикрепляю логи проверки.
Дамп после перезагрузки не создался. Более того: когда я попытался из загрузки профиля выбрать "завершение работы" и "перезагрузку" она начала завершать работу и в этот моиент вылетела в синий экран:
A problem has bin detected and Windows has bin shut down to prevent damage to your computer.
PAGE_FAULT_IN_NONPAGED_AREA
Дальше что-то про отключение железа, смену драйверов...
В конце:
STOP: 0X00000050 (0xB89AB000, 0x00000000, 0xB891014E, 0x00000000)

Что дальше?

[anton_dr]

Ну так в форуме общаются, а мне никто сутки не отвечал! Вот сча только и ответили, когда покричал! УСЛЫШАЛИ!
А сканирование я пытался делать. СМ посты выше! Опять сообщение для "выступающих". Хотя бы даже он и модератор. Тем более: внимательно надо читать посты, прежде чем советовать что-то!

Опять сообщение для непонимающих. Это - форум не общения, а специализирующийся на безопасности. Следовательно, в "Помогите" отвечать вам могут только специалисты. А у них, кроме форума, есть своя работа. Почитайте внимательно, и правила форума вот здесь, а еще - вот здесь http://virusinfo.info/announcement.php?f=46&a=12
И подумайте, что вы делаете не так.
И еще. вот вам цитатка.

Пожалуйста, помните, что помощь Вам оказывается бесплатно, и на добровольной основе. Не требуйте помощи в категоричной форме. Если вы не понимаете, что Вас просят сделать, то в этом случае, Вам лучше обратиться к специалистам ближайшей компьютерной фирмы. Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.

[Зайцев Олег]

1. Раз было сообщение STOP ... то минидамп по идее должен создаться (в той самой папке minidump). Если конечно настройка стоит как я писал - "Малый дамп памяти". Я специально запустил этого руткита на тестовом ПК и добился вышеописанных симптомов. Но у меня после перезагрузов создавались минидампы. Кроме того, в системных событиях для активного руткита шли алерты вида:
"В разделе реестра Laua41 запрещен доступ к программам учетной записи SYSTEM, поэтому владельцем раздела реестра стал диспетчер служб.". Laua41 - это текущее имя драйвера. Там-же фиксировались аварийные перезагрузки, сообщения вида:
Компьютер был перезагружен после критической ошибки: 0x10000050 (0xbd70f64b, 0x00000001, 0xf6212d2f, 0x00000002). Копия памяти сохранена: C:\WINDOWS\Minidump\Mini053107-03.dmp.
Раз этого нет, значит не настроено создание дампов.
2. В логе наблюдается неопознанный драйвер SystemRoot\System32\Drivers\a7zekq1z.SYS - нужно поискать его на диске
3. Видны драйвера от StarForce и эмулятора CD. Если терять нечего, то их стоит прибить - может, они конфликтуют с чем-то... равно как и приложение с именем типа DVDGHOST ...
4. Аварийная перезагрузка происходит по вине руткита. Если остался недобитым его драйвер - это и будет происходить. Размер драйвера - около 130-150 кб, имя меняется.

[serjga]

Малый дамп памяти стоит
Галочки на перезагрузку нет
И... АКТИВНОГО руткита, для создания системных евентов, вроде как нет!
Папка не создалась. Может... Потому, что файла подкачки нет? Мне он не нужен, хватает физической...

Заражение происходило... с прерыванием NOD32 - он тогда стоял, то есть НЕ беспрепятственно. (я всё описал в начале). Может и здесь неувязочка какая-то?

С SystemRoot\System32\Drivers\a7zekq1z.SYS - нет его в этом разделе. НИГДЕ!

Драйвера от StarForce и эмулятора CD как грамотно прибить в Safe Mode? Или можно это сделать с другого раздела, пока я здесь. (и можно ли их просто перенести-переименовать, чтоб совсем не сносить?)

Если Вы говорите, что может быть недобитый драйвер руткита: почему его тогда KIS последний не распознаёт сканированием из другого чистого раздела?

СПАСИБО за ответ!
Жду с нетерпением!

[serjga]

На самом деле ДАМП не создавался из-за отсутствия файла подкачки, ПА...!!! (ах, да, здесь не ругаются :-))
Создал его, ДО сноса DVDGHOST загрузился и вылетел в синий экран, снёс DVDGHOST и загрузился потом опять.
Соответственно архивы: Befor.zip и After.zip. Может и не надо?

Жду предложения: как снести (или аккуратно пока просто спрятать?) драйвера от StarForce и эмулятора CD

ПОЛНОСТЬЮ ДОВЕРЯЮСЬ В РУКИ СПЕЦИАЛИСТАМ! А то уже крыша едет!

СПАСИБО!

[Зайцев Олег]

На самом деле ДАМП не создавался из-за отсутствия файла подкачки, ПА...!!! (ах, да, здесь не ругаются :-))
Создал его, ДО сноса DVDGHOST загрузился и вылетел в синий экран, снёс DVDGHOST и загрузился потом опять.
Соответственно архивы: Befor.zip и After.zip. Может и не надо?

Жду предложения: как снести (или аккуратно пока просто спрятать?) драйвера от StarForce и эмулятора CD

ПОЛНОСТЬЮ ДОВЕРЯЮСЬ В РУКИ СПЕЦИАЛИСТАМ! А то уже крыша едет!

СПАСИБО!

Для убиения старфорса достаточно убрать его драйвера с диска ... кроме того, у них на сайте есть утилита для удаления всех компонент SF.

[serjga]

А эмулятора CD ? Надо Alcohol120% снести? И только? Или ещё что?
Только... вот ещё что: у меня есть СОВСЕМ ЧИСТЫЙ раздел и тоже заражённый. Там даже нету дров для видео и аудио бортового! Ведёт себя так же. Логи сначала собственно я с него и присылал. А потом ...
Может с ним пока что-то попробовать потому, что он ГОЛЫЙ совсем!!!
Если ДА - скажите: что сделать? На заражённый полный я переключился... по ошибке со второй страницы темы на загрузке с протоколированием. А то сча всё оттуда посношу и смысла не будет тогда в восстановлении раздела - уж легче будетт всё заново поставить. Как Вы считаете?

Там тоже вирусов не находит.
Могу провести исследование системы, создать опять все логи и снять дамп. Сделать для того пустого заражённого раздела?

[serjga]

Работы и результаты с тем новым пустым заражённым разделом:

Проверка KIS из чистого рабочего раздела - пусто.

1. Проверка по Правилам (virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log)
2. Сброс дампа во время сбоя загрузки ( Mini053107-01.zip )
3. Исследование системы ( avz_sysinfo.zip )
4. Системные Эвенты ( system.zip )

Раздел был специально создан для экспериментов и заражён так же заходом на тот сайт как и в первом случае с НОД32, который распознал в нём ТОЛЬКО угрозу, а не сам вирус на тот момент (как я понимаю).

Что здесь можно снести и где смотреть? Ситуация идентична с тем набитым разделом за исключением загруженности.

Что там с дампами в первом и этом разделах? НИЧЧЧё в этом не понимаю ))))))

И насчёт того, что терять нечего: не создавал бы я ещё один пустой раздел, если бы не хотел терять инфу на полном ;-) Хотелось сначала исправить после заражения пустой, а потом исправить ЭТОТ, загруженный! А то там мнОООго наработок, а как все перенести и забЭкапить...
И вообще уже ПРОСТО ИНТЕРЕСНО: удастся или нет? В Чём же дело?

Жду ответа!
Спасибо!

[Зайцев Олег]

Вот это уже ближе к ситине - есть над чем поработать ... нужно:
1. переключиться с малого дампа памяти на "Дамп памяти ядра" и повторить опыт загрузки.
2. Временно отрубить NOD или (если это раздел для тестов) то вообще его деинсталлить и посмотреть, как это повлияет на загрузку системы
3. Если 2 не поможет, то AVZ, "Сервис\Поиск файла на диске", там указать на папку System32\Drivers пораженного раздела и отметить две прички "Исключать файлы ...". Для начала можно запостить сюда лог найденных файлов

[serjga]

Поставил дамп памяти ядра. Снёс старый дамп.
Переименовал, чтобы снести корректно (там в имени папки был дефис, не помню - зачем поставил) NOD32, снёс его. Перегрузился.
Жду РеБута.
Его нет....

Вот тут я не пойму: в чём собака порылась?
Объясните, господин волшебник, как ЭТО могло повлиять, если папка ИТАК была переименована и доступа к загрузке (а её не было в Сафе Моде) НОД32 всё равно не было по причине ОТСУТСТВИЯ ПАПКИ ЗАГРУЗКИ НОДа !!!?
А я пока восстановлю снова из имиджа этот заражённый раздел и попробую ещё раз. А то что-то бред какой-то!

ЖДУ ОТВЕТА!
СПАСИБО!

[Зайцев Олег]

Как это влияет - загадка, но в минидампе я видел куски от драйвера NOD32 - поэтому и стал советовать прибить его ... Но драйвер у него стартует в нормальном режиме в любом случае, так как находится в системной папке и прописан как автозагружаемый.

[serjga]

Действительно! Простым сносом NOD32 проблема решилась!
Так же снёс его с РАБОЧЕГО заражённого раздела - ТА ЖЕ СИТУАЦИЯ, перезагрузки прекратились!
Сейчас пишу уже с него. Пока всё остальное не проверял. Но.. я же ничего на разделе не трогал! Или всё же вирус мог что-то ещё "зацепить" и следует всё же переустановить систему со всей приблудой? Жаль, что так и не удалось поймать svchostes.exe с того Малазийского адреса.
Почему всё же так произошло с НОД32? И, как я смотрю, не у меня одного уже такая ситуация http://www.virusinfo.info/showthread.php?t=10104! Чудес не бывает !
Буду рад Вам ещё что-нибудь прислать! 2 новых вируса уже присылал в лабораторию Касперского совсем недавно, когда за Симантеком сидел , выковырял вместо него кое-как
Кстати, а кто МНЕ в личку напишет: каким лучше пользоваться антивирусом?
Раздел заражённый, всмысле нерабочие (полный и экспериментальный) пока остались. Может что-то с ними ещё надо сделать для Вас?

ПОКА ВЫКЛЮЧАЮСЬ!!! В НЕБЕ ЧТО-ТО СТРАШНОЕ!!!
Жду известий!
ВСЕМ - СПАСИБО!!!!
УДАЧ !

[Макcим]

Сделайте логи в нормальном режиме на всякий случай. А там видно будет.

[serjga]

Всё то же самое, что делал вчера днём по полной программе? только без дампа? Файлы при скане не надо включить все? Я почему спрашиваю: чтобы не было неувязок. Имиджи место занимают, у меня напряг. Вы отвечаете не сразу.
Если всё без изменений, скажите: ЧТО делать и КАК, по какой программе, лучше подробно!

Если последующие действия зависит от результата первого "замера" - сча сделаю.
Обоих разделов, как я понял?

Жду ответа!
СПАСИБО!
ЗЫ: всмысле... а заражённые (то есть НЕ рабочие - полный и экспериментальный) разделы Вам больше не нужны?

[Макcим]

Три протокола по правилам, как Вы делали в начале темы.

[serjga]

Знач так: сначала по экспериментальному чистому разделу