Заразился с сайта, подробности внутри

[serjga]

Доброго здоровья, СЕТЯНЕ !

Искал инфу через ya.ru, зашёл по ссылке - НЕ НАЖИМАЙТЕ!!! - : сайта МОНИКИ [Link] института областного, сразу на машину полезла всякая дрянь [Link]! (Кстати: куда надо сообщить, чтобы ПРИЖАть негодяя ?) НОД32 со свежими базами сообщил об атаке, похожей на известный вирус, попытался блокировать приложение, но.., потом всё же позволил заразить машину, так как не знал этого вируса (точнее их там целых 3). Сейчас я пытаюсь действовать по "Правилам", проверяю последним обновлением KISа 6.0.2.621. Пока находит только заражённые объекты в карантине НОДа. С этого раздела машина теперь уходит в перезагрузку едва дойдя до ввода пароля на профиль. Уходит быстрее при отключенном сетевом кабеле, при включенном слегка тормозит РЕБУТ. В SAFE MODE не перегружается, позволяет ввести пароль и запустить антивирус cureit.exe.
В выковырянных мной во время атаки и заражения файлах из темпов (инета и времянках) KIS 6.0.2.621 находит 4 вируса!:
Trojan-PSW.Win32.LdPinch.byy
Trojan-Spy.Win32.Goldun.os
Rootkit.Win32.Agent.ea
Trojan-Downloader.Win32.Agent.bkm

А в самом разделе, который перегружается - НЕТ! Проверяю его с чистой свежей системы с чистого раздела - заражённые только карантинные с НОДа - ВСЁ! Больше нигде не находит.
Ковыряю по "Правилам" дальше...
Хотелось бы вылечить раздел - много там всего весёлого ;-)


Адреса приняты к сведению. Из поста я их убрал, чтобы ни кто не заразился.

ЗЫ: Спасибо! И всё же: куда обратиться насчёт этого адреса ?
А адрес я всё же как-нибудь оставил (не запускаемый, с русской "о", например), чтобы нашедший ЕГО в яндексе НЕ ЗАРАЗИЛСЯ!

[serjga]

Сделал заражённый раздел активным, загрузился в режиме защиты от сбоев (по-другому перегружается) и провёл тесты.
Логи прилагаются.
Жду ответа.

Спасибо!

[Макcим]

В логах чисто.

[serjga]

В логах чисто.

Это я и сам вижу
А раздел этот в обычном режиме перегружается
Что дальше делать?

ЗЫ: и что с тем адресом : "моникивЭб.ру" - заходить туда когда можно будет?

[Макcим]

А раздел этот в обычном режиме перегружается

Вариантов много. Первое, что приходит на ум это проблема с драйверами.

ЗЫ: и что с тем адресом : "моникивЭб.ру" - заходить туда когда можно будет?

Экспертам передал на анализ, пока тихо. При беглом просмотре нашел несколько подозрительных строчек в исходном коде...

[serjga]

Вариантов много. Первое, что приходит на ум это проблема с драйверами.
Экспертам передал на анализ, пока тихо. При беглом просмотре нашел несколько подозрительных строчек в исходном коде...

То есть ВЫ хотите сказать, что во время загрузки официального сайта института "МОНИКИ" идёт атака на драйвера?

[Макcим]

Я ни чего не говорил Я предположил, что с этого сайта ставиться malware. Сайт по всей вероятности ломанули. Напишите админу этого сайта с просьбой проверить. В коде я нашел фрейм от третьих лиц... Что там за фрейм я не знаю.

[serjga]

Я ни чего не говорил Я предположил, что с этого сайта ставиться malware. Сайт по всей вероятности ломанули. Напишите админу этого сайта с просьбой проверить. В коде я нашел фрейм от третьих лиц... Что там за фрейм я не знаю.

Вот вы интересный: куда писать, если при заходе на этот сайт тачка сразу заражается! Сейчас ещё раз попробую со свежей системы...

[Макcим]

Вот вы интересный: куда писать, если при заходе на этот сайт тачка сразу заражается!

Я думал, если Вы так часто бываете на этом сайте, то знаете адрес админа. Олег Зайцев подтвердил: сайт взломан.

Сейчас ещё раз попробую со свежей системы...

На сайт лучше не заходите до тех пор, пока его не починят.

[serjga]

Знач так:
во-первых: покажите пальцем, где я писАл, что "так часто там бываю"?
во-вторых: как узнать, что его (этот сайт) починили?
в-третьих: мне это не даёт ничего для починки моего сломанного раздела.

Мне здесь помогут? Винда на разделе падает сразу, после захода на этот сайт. При чём здесь мои драйвера? Может Вам прислать те файлы заражённые? Или названия вирусов хватит?
Что мне дальше-то делать с этим разделом для восстановления?
Спасибо!

[Макcим]

во-первых: покажите пальцем, где я писАл, что "так часто там бываю"?

Судя по Вашему рвению и беспокойству я сделал такой вывод. Вас это оскорбило?

во-вторых: как узнать, что его (этот сайт) починили?

Это зависит от администрации сайта.

Винда на разделе падает сразу, после захода на этот сайт.

Я Вам русским языком сказал, что не надо пока ходить на этот сайт!

При чём здесь мои драйвера?

Вирусов в логах не видно. Можно предположить что что-то случилось с драйверами.

Может Вам прислать те файлы заражённые?

Пришлите так, как написано в правилах.

[Зайцев Олег]

Я написал администрации сайта письмо, в котором сообщил о взломе сайта и дал рекомендации по устранению проблемы - будем надеяться, они оперативно отреагируют на мое сообщение и удалят вредоносные вставки из HTML кода своего сайта

[Макcим]

Спасибо, Олег!

[Зайцев Олег]

Спасибо, Олег!

Это еще только начало - причина глюка и невозможности загрузки в нормальном режиме прояснилась. Идин из инсталлируемых сайтом зверей - руткит, размещается от в C:\WINDOWS\system32\windbg48.sys, и его работа приводит к сбою и нарушению работы системы. Как минимум, следует поискать на зараженном ПК такой файл и прибить его.
Скрипт:

Код:

begin
 BC_QRFile('C:\WINDOWS\system32\Emx63.sys');
 BC_QRFile('C:\WINDOWS\system32\windbg48.sys');
 BC_DeleteFile('C:\WINDOWS\system32\windbg48.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Emx63.sys');
 BC_Activate;
 RebootWindows(true);
end.

[serjga]

Пока ставил чистую винду на новый раздел - сайт вылечили )))
НОД32 ничего не сказал.

Прислать всё же заражённые файлы для анализа?
ВСЕМ СПАСИБО!!!

А я пока попробую найти и прибить эти 2 файла

[Макcим]

Прислать всё же заражённые файлы для анализа?

Конечно пришлите.

[serjga]

Нету на разделе этих файлов Emx63.sys и windbg48.sys НИГДЕ!

Высылаю набор инфицированных файлов:

Trojan-PSW.Win32.LdPinch.byy 43.tmp
Trojan-Spy.Win32.Goldun.os IH38.tmp
Trojan-PSW.Win32.LdPinch.byy update[1].exe
Rootkit.Win32.Agent.ea mad[1].exe
Trojan-Downloader.Win32.Agent.bkm file[1].exe
И ещё rакой-то из system32 Bcsm63.sys

Пароль на архив "ViRuS" без кавычек.
Что-то не могу прислать архив с заражёнными файлами. При закачке говорит: Некорректный файл! Это почему?

[Макcим]

Нужно выслать в формате *.zip и с паролем virus

[pig]

Нету на разделе этих файлов Emx63.sys и windbg48.sys НИГДЕ!

Так руткит же! Прячутся. Раз у вас мультизагрузка, то загрузитесь с чистой копии системы, из неё должны быть видны.

[serjga]

Так руткит же! Прячутся. Раз у вас мультизагрузка, то загрузитесь с чистой копии системы, из неё должны быть видны.

Дубль 2:
Нету на разделе этих файлов Emx63.sys и windbg48.sys НИГДЕ!

Высылаю набор инфицированных файлов:

Trojan-PSW.Win32.LdPinch.byy 43.tmp
Trojan-Spy.Win32.Goldun.os IH38.tmp
Trojan-PSW.Win32.LdPinch.byy update[1].exe
Rootkit.Win32.Agent.ea mad[1].exe
Trojan-Downloader.Win32.Agent.bkm file[1].exe
И ещё rакой-то из system32 Bcsm63.sys

Вот так КАЖДОМУ вновь прибывшему, выхватившему слово из контекста, А НЕ ВЕСЬ ТОПИК ПРОЧИТАВШЕМУ, надо объяснять, что я гружусь с ЧИСТОЙ НОВОЙ СИСТЕМЫ С НОВОГО РАЗДЕЛА!

Не могу прицепить файл с архивом, пишет: archive.zip:
35.6 Кбайт превысил(а) предел на форуме. У МЕНЯ 274382 b, А ПРЕДЕЛ - 488.3 Кв, КАК ЭТО ПОНЯТЬ?