после загрузки windows комп. мертво зависает [Trojan.Win32.TDSS.istk ]

[Techno]

Лечитесь с LiveCD, попробуйте восстановить систему с помощью ERDcommander, там, по-моему, есть что-то типа проверки системный файлов...

[regist]

http://virusinfo.info/showthread.php?t=15927

[pem]

Techno, извините меня за неуклюжесть – только что(!!) увидела, что у темы есть 2-я страница! Спасибо, что Вы меня не оставили.))
Моя ситуация изменилась – мышь и клавиатуру я запустила-таки – подключила USB-ные. Было бы раньше,но я неправильно меняла BIOS – нужно клаву Enable помечать, а мышь - Disable. .(кстати почему, я так пока и не докопалась) А я делала обе Enable, оно и не работало.
Работала я под LiveCD, но последнее время и с ним компьютер стал зависать: либо перестает работать клавиатура с мышкой, либо гаснет монитор. По логам- ясно,что руткиты. Сделала их с бо-ольшим трудом, с 6-й попытки. В оффлайне впадает в зависание не так стремительно –30-40мин работы давал.
Очень надеюсь на Вашу помощь.hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip

- - - Добавлено - - -

- - - Добавлено - - -

regist, извините за задержку с ответом – ну очень смешная причина! Очень благодарна за помощь!! Но работа антивирусов блокируется Dr.Web CureIt! – не запускается, а AVPTool не распаковывается - пишет диск полон. Безопасный режим есть, но результат абсолютно аналогичный. На С:\ после тщательной уборки - 3Мб свободных –меньше,чем до нее. «Старый» Dr.Web CureIt!(2010г) отработал, но ничего не нашел. Такой же NOD32 нашел и удалил «вероятно неизвестный NewHeur_PE вирус на C:\WINDOWS\system32\drivers\etc\DevIDagent.exe ». Это пока все.
Новые LiveCD по вашей сноске я пока не делала, хотя аналогичные использовала - не помогло. Буду пробовать еще! Новые логи я выложила, посмотрите, пожалуйста.

[Techno]

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('boenywuk');
 QuarantineFile('C:\WINDOWS\system32\drivers\boenywuk.sys','');
 DeleteService('6BEDB1F3');
 DeleteService('59E4C73B');
 DeleteService('1AFA41528');
 QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\mesraxt.dll','');
 DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\mesraxt.dll');
 DeleteFile('c:\documents and settings\администратор\local settings\temp\1AFA41528.sys');
 DeleteFile('c:\documents and settings\администратор\local settings\temp\59E4C73B.sys');
 DeleteFile('c:\documents and settings\администратор\local settings\temp\6BEDB1F3.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\boenywuk.sys');
 RegKeyDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mesraxt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

[pem]

Я сделала, но скрипт был запущен под LiveCD. Понимаю,что процессы так не удалить, но доделала до конца.
Если необходимо - я все повторю. Карантин отправлен ранее.

[regist]

Сделайте лог Gmer

[pem]

Сделала легко, а вот отсылаю второй час! Вот что в журнале по этому поводу сказано.
Тип события: Ошибка
Источник события: Microsoft Antimalware
Категория события: Отсутствует
Код события: 1119
Дата: 18.02.2013
Время: 18:44:20
Пользователь: Н/Д
Компьютер: MAM
Описание:
Microsoft Antimalware has encountered a critical error when taking action on malware or other potentially unwanted software.
For more information please see the following:
http://go.microsoft.com/fwlink/?link...tid=2147651124
Name: Trojan:JS/BlacoleRef.G
ID: 2147651124
Severity: Severe
Category: Trojan
Path: file:_C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\EO9HC7KF\in[1].htm
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: System
User: NT AUTHORITY\SYSTEM
Process Name: Unknown
Action: Quarantine
Action Status: No additional actions required
Error Code: 0x80070070
Error description: Недостаточно места на диске.
Signature Version: AV: 1.127.1941.0, AS: 1.127.1941.0, NIS: 0.0.0.0
Engine Version: AM: 1.1.8403.0, NIS: 0.0.0.0

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

[Techno]

Я сделала, но скрипт был запущен под LiveCD.

А почему скрипт Вы запускаете из-под LiveCD, а логи делаете из загруженной системы?
Все действия АВЗ из-под LiveCD бесполезны, выполняйте скрипт на зараженной системе!

[regist]

Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

если во время сканирования будут найдены подозрительные файлы (драйверы), то поместите их в карантин. По окончанию сканирования:
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine. Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.

- - - Добавлено - - -

+ Заархивируйте

Код:

C:\WINDOWS\$NtUninstallKB12651$\1435919613\cfg.ini
C:\WINDOWS\$NtUninstallKB12651$\1435919613\Desktop.ini
C:\WINDOWS\$NtUninstallKB12651$\1435919613\twl.dll

в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

[pem]

Сделано.

- - - Добавлено - - -

Первый карантин отправила, а относительно второго - не поняла...???

[regist]

1. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   tdsskiller.exe -silent -qmbr -qboot -tdlfs -sigcheck -qsus

2. Запустите файл fix.bat;
3. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
4. Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.

[pem]

regist, спасибо, поняла) Все отработало, но к концу (или после окончания??-в командном режиме неясно) зависло.
Файл все-таки сформирован и большой. Пыталась запустить еще раз - зависает. Отсылаю с карантином первый-
возможно, он все же информативен. В интернет захожу с громадным скрипом - мэйл.ру замучил с бабилоном.
Может их пофиксить?
М-м-да...TDSSkiller_Quarantine - таки не сформировался! Я отправила TDSSkiller_...log.
Буду еще пытаться.

Сделано!

[regist]

Странно по логу Gmer был виден руткит, а сейчас вроде всё чисто.

Сделайте пожалуйста еще раз лог Gmer , карантин пока переслал в вирлаб.

- - - Добавлено - - -

мэйл.ру замучил с бабилоном.

деинсталируйте их.

- - - Добавлено - - -

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\@','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\cfg.ini','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\Desktop.ini','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\L','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\L\ezocbcyt','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\twl.dll','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\U','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\U\00000001.@','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\U\00000002.@','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\U\00000004.@','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\U\80000000.@','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\U\80000004.@','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\U\80000032.@','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\1435919613\version','');
 QuarantineFile('C:\WINDOWS\$NtUninstallKB12651$\2750879151','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

[pem]

Первый есть.


Второй тоже.

[regist]

Сделайте образ автозапуска uVS с Live CD

- - - Добавлено - - -

+ с Live Cd папку

Код:

C:\WINDOWS\$NtUninstallKB12651$\1435919613\

Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

- - - Добавлено - - -

+ попробуйте попробуйте запустить из под активной системы (заражённого виндоуса) эту утилиту http://www.kaspersky.ru/antivirus-removal-tool
и пролечиться ей.

[pem]

Добрый вечер, regist, увы ссылка на "автозапуск uVS с Live CD" временно недоступна...
Попробовала "вывернуться" с наличной ЛайвСД, как поняла...Конечно, смешно ставить парольVirus
на скриншоты, но другой "образ автозапуска" не придумала...
Нужную папку скопировала Командером и тоже послала. Если не верно, подскажите, что сделать.
Антивирусом сейчас попробую поработать.

[regist]

карантин пока обрабатывается. Попробуйте

запустить из под активной системы (заражённого виндоуса) эту утилиту http://www.kaspersky.ru/antivirus-removal-tool
и пролечиться ей.

только не забудьте скачать свежую версию, думаю должно помочь. Если что будет лечить или удалять, то на карантин тоже было бы интересно взглянуть.
Если он пролечит, то после лечения сделайте новый набор логов по правилам и новый лог Gmer (чтобы убедиться, что заразы не осталось).

Если вдруг не поможет, то тогда сделайте полный образ автозапуска uVS с Live CD, uVS отдельно можете скачать здесь и запустить его с любого Alkid Live CD

[pem]

У меня диск С: забит неведомо чем!! под завязку. Невозможно сохранить Ремовал! Возможности перенаправить его на другой диск антивирус обещает, но не дает!

Все нормально. Из под ЛайвСД все скопировала. Разбираюсь.

[regist]

pem, у меня к вам просьба - логи, вордовские файлы со скринами и т.д. не надо грузить в карантин. Их прикрепляйте к своему посту через управление вложениями. В карантин надо отправлять только вирусы и подозрительные файлы. Надеюсь вы отправили их туда не специально, а по ошибке.

[pem]

Это была ошибка. Извините.
Меньше всего я хотела ее сделать!

antivirus-removal-tool, даже будучи скопированным на D:, распаковывается на C: , а там не хватает места. После уборки его стало еще меньше.

Относительно uVS, если можно, чуть поподробней. Т.е., если uVS стартует с LiveCD, понятно, а если его копировать отдельно,то как "запустить его с любого Alkid Live CD "?