Показано с 1 по 18 из 18.

Троянцы ввели компьютер в полный BSOD!!! help (заявка № 51504)

  1. #1
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    24
    Вес репутации
    54

    Question Троянцы ввели компьютер в полный BSOD!!! help

    Добрый вечер уважаемые борцы с вирусами!
    Помогите пожалуйста восстановить убитую напрочь систему.
    Сразу скажу - правила читал, только уже поздно пить боржоми (см. далее), уже даже ничего и снять не могу, ибо слишком поздно набрел на ваш замечательный сайт.

    Рассказываю по порядку:
    WinXP Professional SP3 (System resore отключено), IE8. Стояла Avira.
    Пошел на сайт (вполне пристойный сайт xxx.xxxxxx.ru) - стали выскакивать из авиры сообщения про троянцев, я как всегда выбирал то что она по умолчанию предлагала - deny access. После очередного deny access видимо какому-то трояну все-таки удалось прорваться, последнее что я видел - это что запустился сам какой-то файл и комп моментально сам пошел в ребут.
    Из которого он уже не вышел - BSOD 0x7e без объяснения причин! При попытке загрузки в safe mode - тоже самое

    Благо у меня в компе был установлен старый винт со старой XP, оттуда я загрузился, скачал свежий DrWeb CureIt, натравил его на винт с убитой системой - он нашел семь больных файлов (с тремя разными вирусами), которые успешно удалил (я к сожалению лоханулся и не записал какие это были файлы, а лог эта прога не делает походу ).
    Затем я радостно стал перезагружаться и получил тот же BSOD.

    Далее я полез со старой системы в простора интернета, узнал что такое "консоль восстановления" и пр., но толку никакого.
    Что имеем: в консоли делал и fixboot и fixmbr - пофигу. Копировал из папки \system32\dllcache все файлы в \system32\ - не помогает.
    Даже включил лог загрузки винды - в boot.ini добавил в строчку multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Mic rosoft Windows XP Professional RU" /noexecute=optin /fastdetect /sos /bootlog тоже толку нет - лог даже не появляется!!! (хотя по ключу /sos видно что драйверы какие-то система грузит и много).
    И самое противное - что BSOD тоже выскакивает абсолютно без информации - только несколько цифр после 0x7e и больше никаких указаний на больные драйверы и пр. Вообщем система рубится на самом начале, опять же в safe mode не зайти, лог никакой не снять, полный аут. Но файлы все на винте на месте, вроде бы все цело.

    К сожалению своему бэкап реестра не делал, и акронис не успел поставить, вообщем как говорится - конечно сам дурак и будет мне наука, но систему хочется восстановить т.к. много программ в ней поставлено.
    Не знаю насколько это поможет, но перед своим позорным провалом и концом Avira успела в свой лог занести данные по первым троянам с этого сайта, лог прилагаю (см. в самом конце). Но я думаю ее вынес как раз тот троян, которого она и не заметила...
    Какие либо аппаратные проблемы с компом (сдохла память и пр.) исключены т.к. случилось все моментально после того злополучного сайта, и вторая старая система со старого винта - вроде бы работает без проблем.

    Вообщем, помогите!!! Готов снять с тушки убитой системы какую еще нужно информацию, только скажите что и как и где.
    Заранее благодарен!!!

    PS Бред какой-то: не могу разархивировать скаченный AVZ по ссылке с вашего сайта, винрар выдает какой-то бред (см. скриншот его лога). Качал три раза - те же яйца. Уж не сидит ли впридачу еще и в старой системе какое-то дерьмо???
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 07.08.2009 в 11:20. Причина: attacking link desinfected

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Попробуйте сделать логи полиморфным AVZ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от serg_sol Посмотреть сообщение
    Пошел на сайт (вполне пристойный сайт)
    Ваш пристойный сайт был на моём ПК немеделенно заблокирован, как атакующий. Не постите активных ссылок с сомнительных сайтов!!!

  5. #4
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    24
    Вес репутации
    54
    Цитата Сообщение от thyrex Посмотреть сообщение
    Попробуйте сделать логи полиморфным AVZ
    ОК, лог сделал: AVZ был запущен на системе со старым WinXP (который вроде как работает, хотя тоже как-то стремно, особенно после предыдущей попытки разархивировать AVZ) и сделан скан диска F: - диска где стояла убитая вирусом винда.

    Спасибо за помощь.

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Ваш пристойный сайт был на моём ПК немеделенно заблокирован, как атакующий. Не постите активных ссылок с сомнительных сайтов!!!
    Извините если что сделал не так. Ссылку на сайт я опубликовал не для того чтобы все подряд в нее щелкали (я писал что сайт заражен!), а для того чтобы опытные борцы с вирусами могли его просканировать и посмотреть - какая же именно зараза там сидела, что убила мою систему, ну и соответственно - понять как ее лечить.

    PS Онлайновые проверяльщики сайтов типа Symantec safeweb и пр. из вашего FAQ однако не нашли этот сайт опасным...

    PPS Под термином "пристойный" я имел в виду, что этот сайт не какой-то "подозрительный сайт" с порнухой, креками или варезом, а сайт одной уважаемой и серьезной промышленной компании.
    Вложения Вложения
    • Тип файла: txt log.txt (5.2 Кб, 3 просмотров)
    Последний раз редактировалось Rene-gad; 09.08.2009 в 21:28.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Прочтите еще раз правила и выложите нужные файлы, а не то, что Вам вздумается
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    24
    Вес репутации
    54
    Цитата Сообщение от thyrex Посмотреть сообщение
    Прочтите еще раз правила и выложите нужные файлы, а не то, что Вам вздумается
    Извините пожалуйста. Выкладываю нужные файлы. Еще раз обращу ваше внимание что AVZ и Hijack запущены на второй системе (диск C с которой я сейчас и работаю, а больная система находится на диске F:. При запуске скриптов отмечал оба этих диска.
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    У Вас и здесь нашлись звери

    Пофиксить в HiJack
    Код:
     F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\rnjvzvrn.sys','');
     DeleteService('rnjvzvrn');
     DeleteFile('C:\WINDOWS\system32\drivers\rnjvzvrn.sys');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
     DeleteFile('c:\windows\system32\ntos.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    24
    Вес репутации
    54
    thyrex,
    карантин отослал, новый комплект логов прилагаю (лог от hijack я назвал hijackthis2.log т.к. иначе он не загружался-писал что такой файл уже есть).
    После запуска вашего скрипта старой системе стало намного лучше - стали запускаться программы, которые ранее почему-то перестали запускаться.

    Удалось ли определить, что за троян поразил мою новую систему (рискнул ли кто-нибудь посетить тот самый сайт с которого все началось?).
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от serg_sol Посмотреть сообщение
    лог от hijack я назвал hijackthis2.log т.к. иначе он не загружался-писал что такой файл уже есть)
    Ну и где он?

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('asplg');
     QuarantineFile('C:\WINDOWS\system32\asplg.sys','');
     QuarantineFile('C:\WINDOWS\system32\asplug.dll','');
     DeleteFile('C:\WINDOWS\system32\asplug.dll');
     DeleteFile('C:\WINDOWS\system32\asplg.sys');
     QuarantineFile('C:\Documents and Settings\Administrator.HOME\Local Settings\Temp\i_setup\816.tmp','');
     DeleteFile('C:\Documents and Settings\Administrator.HOME\Local Settings\Temp\i_setup\816.tmp');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\ultradfg.sys','');
     DeleteService('asplg');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    BC_DeleteSvc('asplg');
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:
    -
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте лог GMER
    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

    Цитата Сообщение от serg_sol Посмотреть сообщение
    При запуске скриптов отмечал оба этих диска.
    Отметить можете хоть все диски: поиск руткитов и логи релевантны только для активной системы.
    Последний раз редактировалось Rene-gad; 09.08.2009 в 21:48. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    24
    Вес репутации
    54
    Здравствуйте уважаемый Rene-gad,
    спешу вас огорчить: мой младший брат, зная что я мучаюсь с вирусами, сегодня пока я на работе был, позвал какого-то своего одноклассника-"компьютерного гения", который пришел со своим USB-винтом и запустившись с него (уж не знаю как!) с помощью заранее припасенного CureIt "пролечил" мою старую систему. Хорошо что хоть они записали результаты лечения: вы оказались правы, в файле asplug.dll по данным антивируса сидел Trojan.pws.goldspy.2308. Вирус был "удален" (уж не знаю вместе с файлом или только вирус из файла). Брат получил люлей, однако дело уже сделано
    Ну вот вообщем так, поэтому я заранее извиняюсь что невольно сбил этим фактом вашу работу и оставил вас без вируса

    Ваш скрипт я все равно выполнил, все логи снял, карантин отправил.
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Главное, чтобы костюмчик сидел ©

    - Выполните скрипт
    Код:
    begin
    ExecuteRepair(7);
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.

  13. #12
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    24
    Вес репутации
    54
    Здравствуйте уважаемый Rene-gad,
    вот логи после выполнения скрипта. Будем надеяться что теперь все "звери" убиты, по крайней мере на текущей половине компьютера
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
    O20 - Winlogon Notify: asplug - asplug.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('%systemroot%\system32\asplug.dll');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(7);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.

    Чтобы не скучали в перерыве :
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    - Установите IE 8
    - Обновите JavaRE
    - Обновите Acrobat Reader

  15. #14
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    24
    Вес репутации
    54
    В хиджаке удалил, скрипт запустил, логи сделал.
    Ну теперь-то уже наверное всё?
    Вложения Вложения

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Скорее всего нет.. Надо еще пароли будет менять, желательно все.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    07.08.2009
    Сообщений
    24
    Вес репутации
    54
    Цитата Сообщение от PavelA Посмотреть сообщение
    Скорее всего нет.. Надо еще пароли будет менять, желательно все.
    Здравствуйте PavelA! Не понял про какие пароли идет речь и какое отношение они имеют к моим вирусам? В винде у меня автологон (я пароль-то даже не помню...)

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Почта, аська, кошельки, онлайн-игры и т.д и т.п.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 17
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\asplg.sys - Trojan-Spy.Win32.Goldun.azi ( DrWEB: Trojan.PWS.GoldSpy.2769, BitDefender: Trojan.Spy.Goldun.NDM, AVAST4: Win32:Haxdoor-JV [Trj] )
      2. c:\windows\system32\asplug.dll - Trojan-Spy.Win32.Goldun.azh ( DrWEB: Trojan.PWS.GoldSpy.2308, BitDefender: Trojan.Spy.Goldun.NDL, NOD32: Win32/Spy.Goldun.AZE trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
      3. c:\windows\system32\twext.exe - Trojan-Spy.Win32.Zbot.exv ( DrWEB: Trojan.PWS.Panda.12, BitDefender: Trojan.Spy.Agent.NXD, AVAST4: Win32:Dropper-BEJ [Trj] )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) serg_sol, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зависает компьютер и периодически выдает разные BSOD-ы
      От tabutcho в разделе Windows для опытных пользователей
      Ответов: 1
      Последнее сообщение: 13.07.2012, 18:25
    2. Ответов: 6
      Последнее сообщение: 05.07.2012, 14:28
    3. Ответов: 14
      Последнее сообщение: 24.01.2012, 20:33
    4. Ответов: 2
      Последнее сообщение: 06.11.2009, 20:17

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00317 seconds with 20 queries