Добрый вечер уважаемые борцы с вирусами!
Помогите пожалуйста восстановить убитую напрочь систему.
Сразу скажу - правила читал, только уже поздно пить боржоми (см. далее), уже даже ничего и снять не могу, ибо слишком поздно набрел на ваш замечательный сайт.
Рассказываю по порядку:
WinXP Professional SP3 (System resore отключено), IE8. Стояла Avira.
Пошел на сайт (вполне пристойный сайт xxx.xxxxxx.ru) - стали выскакивать из авиры сообщения про троянцев, я как всегда выбирал то что она по умолчанию предлагала - deny access. После очередного deny access видимо какому-то трояну все-таки удалось прорваться, последнее что я видел - это что запустился сам какой-то файл и комп моментально сам пошел в ребут.
Из которого он уже не вышел - BSOD 0x7e без объяснения причин! При попытке загрузки в safe mode - тоже самое
Благо у меня в компе был установлен старый винт со старой XP, оттуда я загрузился, скачал свежий DrWeb CureIt, натравил его на винт с убитой системой - он нашел семь больных файлов (с тремя разными вирусами), которые успешно удалил (я к сожалению лоханулся и не записал какие это были файлы, а лог эта прога не делает походу ).
Затем я радостно стал перезагружаться и получил тот же BSOD.
Далее я полез со старой системы в простора интернета, узнал что такое "консоль восстановления" и пр., но толку никакого.
Что имеем: в консоли делал и fixboot и fixmbr - пофигу. Копировал из папки \system32\dllcache все файлы в \system32\ - не помогает.
Даже включил лог загрузки винды - в boot.ini добавил в строчку multi(0)disk(0)rdisk(0)partition(1)\WINDOWS.0="Mic rosoft Windows XP Professional RU" /noexecute=optin /fastdetect /sos /bootlog тоже толку нет - лог даже не появляется!!! (хотя по ключу /sos видно что драйверы какие-то система грузит и много).
И самое противное - что BSOD тоже выскакивает абсолютно без информации - только несколько цифр после 0x7e и больше никаких указаний на больные драйверы и пр. Вообщем система рубится на самом начале, опять же в safe mode не зайти, лог никакой не снять, полный аут. Но файлы все на винте на месте, вроде бы все цело.
К сожалению своему бэкап реестра не делал, и акронис не успел поставить, вообщем как говорится - конечно сам дурак и будет мне наука, но систему хочется восстановить т.к. много программ в ней поставлено.
Не знаю насколько это поможет, но перед своим позорным провалом и концом Avira успела в свой лог занести данные по первым троянам с этого сайта, лог прилагаю (см. в самом конце). Но я думаю ее вынес как раз тот троян, которого она и не заметила...
Какие либо аппаратные проблемы с компом (сдохла память и пр.) исключены т.к. случилось все моментально после того злополучного сайта, и вторая старая система со старого винта - вроде бы работает без проблем.
Вообщем, помогите!!! Готов снять с тушки убитой системы какую еще нужно информацию, только скажите что и как и где.
Заранее благодарен!!!
PS Бред какой-то: не могу разархивировать скаченный AVZ по ссылке с вашего сайта, винрар выдает какой-то бред (см. скриншот его лога). Качал три раза - те же яйца. Уж не сидит ли впридачу еще и в старой системе какое-то дерьмо???
Последний раз редактировалось Rene-gad; 07.08.2009 в 11:20.
Причина: attacking link desinfected
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ОК, лог сделал: AVZ был запущен на системе со старым WinXP (который вроде как работает, хотя тоже как-то стремно, особенно после предыдущей попытки разархивировать AVZ) и сделан скан диска F: - диска где стояла убитая вирусом винда.
Спасибо за помощь.
Сообщение от Rene-gad
Ваш пристойный сайт был на моём ПК немеделенно заблокирован, как атакующий. Не постите активных ссылок с сомнительных сайтов!!!
Извините если что сделал не так. Ссылку на сайт я опубликовал не для того чтобы все подряд в нее щелкали (я писал что сайт заражен!), а для того чтобы опытные борцы с вирусами могли его просканировать и посмотреть - какая же именно зараза там сидела, что убила мою систему, ну и соответственно - понять как ее лечить.
PS Онлайновые проверяльщики сайтов типа Symantec safeweb и пр. из вашего FAQ однако не нашли этот сайт опасным...
PPS Под термином "пристойный" я имел в виду, что этот сайт не какой-то "подозрительный сайт" с порнухой, креками или варезом, а сайт одной уважаемой и серьезной промышленной компании.
Последний раз редактировалось Rene-gad; 09.08.2009 в 21:28.
Прочтите еще раз правила и выложите нужные файлы, а не то, что Вам вздумается
Извините пожалуйста. Выкладываю нужные файлы. Еще раз обращу ваше внимание что AVZ и Hijack запущены на второй системе (диск C с которой я сейчас и работаю, а больная система находится на диске F:. При запуске скриптов отмечал оба этих диска.
thyrex,
карантин отослал, новый комплект логов прилагаю (лог от hijack я назвал hijackthis2.log т.к. иначе он не загружался-писал что такой файл уже есть).
После запуска вашего скрипта старой системе стало намного лучше - стали запускаться программы, которые ранее почему-то перестали запускаться.
Удалось ли определить, что за троян поразил мою новую систему (рискнул ли кто-нибудь посетить тот самый сайт с которого все началось?).
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('asplg');
QuarantineFile('C:\WINDOWS\system32\asplg.sys','');
QuarantineFile('C:\WINDOWS\system32\asplug.dll','');
DeleteFile('C:\WINDOWS\system32\asplug.dll');
DeleteFile('C:\WINDOWS\system32\asplg.sys');
QuarantineFile('C:\Documents and Settings\Administrator.HOME\Local Settings\Temp\i_setup\816.tmp','');
DeleteFile('C:\Documents and Settings\Administrator.HOME\Local Settings\Temp\i_setup\816.tmp');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ultradfg.sys','');
DeleteService('asplg');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('asplg');
SetAVZPMStatus(True);
RebootWindows(true);
end.
После перезагрузки:
-
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте лог GMER
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
Сообщение от serg_sol
При запуске скриптов отмечал оба этих диска.
Отметить можете хоть все диски: поиск руткитов и логи релевантны только для активной системы.
Последний раз редактировалось Rene-gad; 09.08.2009 в 21:48.
Причина: Добавлено
Здравствуйте уважаемый Rene-gad,
спешу вас огорчить: мой младший брат, зная что я мучаюсь с вирусами, сегодня пока я на работе был, позвал какого-то своего одноклассника-"компьютерного гения", который пришел со своим USB-винтом и запустившись с него (уж не знаю как!) с помощью заранее припасенного CureIt "пролечил" мою старую систему. Хорошо что хоть они записали результаты лечения: вы оказались правы, в файле asplug.dll по данным антивируса сидел Trojan.pws.goldspy.2308. Вирус был "удален" (уж не знаю вместе с файлом или только вирус из файла). Брат получил люлей, однако дело уже сделано
Ну вот вообщем так, поэтому я заранее извиняюсь что невольно сбил этим фактом вашу работу и оставил вас без вируса
Ваш скрипт я все равно выполнил, все логи снял, карантин отправил.
Здравствуйте уважаемый Rene-gad,
вот логи после выполнения скрипта. Будем надеяться что теперь все "звери" убиты, по крайней мере на текущей половине компьютера
Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.
Чтобы не скучали в перерыве :
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите JavaRE
- Обновите Acrobat Reader
Скорее всего нет.. Надо еще пароли будет менять, желательно все.
Здравствуйте PavelA! Не понял про какие пароли идет речь и какое отношение они имеют к моим вирусам? В винде у меня автологон (я пароль-то даже не помню...)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: