Показано с 1 по 10 из 10.

BSOD stop 0D1 + Trojan.NtRootkit.9659 (заявка № 89915)

  1. #1
    Junior Member Репутация
    Регистрация
    14.10.2010
    Адрес
    Красноярск, РФ
    Сообщений
    10
    Вес репутации
    27

    BSOD stop 0D1 + Trojan.NtRootkit.9659

    Доброго времени суток.
    Небольшая предистория: система стала часто (иногда сразу же после перезагрузки) выпадать в синий экран с такими параметрами - driver_irql_not_less_or_equal stop 0x000000D1(0x00000000, 0x00000002, 0x00000000, 0x00000000) без указания файла вызывающего падение.
    Теперь история: воспользовавшись bluescreenview нашел этот файл - pmsaxxw.sys , лежащий в Windows/system32/drivers/. На ещё одном домашнем компе в одноименной папке такого файла не оказалось и я решил проверить систему с CureIt. Курейт выдал что этот самый pmsaxxw.sys и ещё файл beptrm.sys (лежал там же) заражены Trojan.NtRootkit.9659 Лечением в безопасном режиме проблему решить не удалось - файлы не удалялись.
    Некоторые заметки: система выпадала в синий экран всегда когда был включен интернет; если интернет не включался, компьютер работал в обычном режиме.
    Нужна помощь. Необходимые файлы прилагаются.
    Заранее спасибо за все возможные ответы.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    14.10.2010
    Адрес
    Красноярск, РФ
    Сообщений
    10
    Вес репутации
    27
    Дико извиняюсь, я совсем забыл об одной вещи. bluescreenview показал ещё два файла вызывающих падение системы: afd.sys и tcpip.sys. Сверка с "нормальным" компьютером показала что они неизменены, поэтому я о них тут поначалу и не упомянул, тем более что CureIt пропустил их как здоровые.

  4. #3
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,455
    Вес репутации
    1269
    Скачайте "OSAM" Online Solutions Autorun Manager. В меню драйверов правой кнопкой по pmsaxxw и выберите "Turn Run Off". Перезагрузку подтвердите.

    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     QuarantineFile('C:\WINDOWS\system32\Drivers\pmsaxxw.sys','');
     DeleteService('0e207cddad9cdcd9');
     DeleteService('7edb7524d8c182fd');
     DeleteService('97c0f086da94d217');
     QuarantineFile('C:\WINDOWS\TEMP\8600bdb8af9f','');
     QuarantineFile('C:\WINDOWS\TEMP\11160a2f76168','');
     QuarantineFile('C:\WINDOWS\TEMP\86004ca21108','');
     DeleteService('ca71300540307cf8');
     QuarantineFile('C:\WINDOWS\TEMP\113209b1a206e','');
     DeleteFile('C:\WINDOWS\TEMP\113209b1a206e');
     BC_DeleteSvc('ca71300540307cf8');
     DeleteFile('C:\WINDOWS\TEMP\86004ca21108');
     DeleteFile('C:\WINDOWS\TEMP\11160a2f76168');
     DeleteFile('C:\WINDOWS\TEMP\8600bdb8af9f');
     BC_DeleteSvc('97c0f086da94d217');
     BC_DeleteSvc('7edb7524d8c182fd');
     BC_DeleteSvc('0e207cddad9cdcd9');
     DeleteFile('C:\WINDOWS\system32\Drivers\pmsaxxw.sys');      
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Сделайте лог Гмер

  5. #4
    Junior Member Репутация
    Регистрация
    14.10.2010
    Адрес
    Красноярск, РФ
    Сообщений
    10
    Вес репутации
    27
    Извиняюсь что не сразу среагировал. Итак, карантин закачан, отчет закачки:
    Результат загрузки
    Файл сохранён как 101015_155808_quarantine_4cb841d04d413.zip
    Размер файла 545825
    MD5 9122aa15cb08910dac96375dc946a790
    Файл закачан, спасибо!
    Лог gmer'a прикрепляю.

    Такой вопрос, а со вторым руткитником (beptrm.sys) всё так же делать?

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,455
    Вес репутации
    1269
    - Сохраните текст ниже как 1.bat в ту же папку, где находится 949eo0dd.exe(GMER) и запустите этот батник(1.bat):

    Код:
    949eo0dd.exe -del service beptrm
    949eo0dd.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\beptrm"
    949eo0dd.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\beptrm"
    949eo0dd.exe -reboot
    Компьютер перезагрузится.

    После перезагрузки:
    - Сделайте повторные логи АВЗ
    - Сделайте новый лог Gmer

  7. #6
    Junior Member Репутация
    Регистрация
    14.10.2010
    Адрес
    Красноярск, РФ
    Сообщений
    10
    Вес репутации
    27
    Сделал. Прикрепляю полный набор.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,674
    Вес репутации
    3027
    Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по beptrm и выберите "Turn Run Off", потом подтвердите перезагрузку.

    Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\Drivers\beptrm.sys','');
     DeleteFile('C:\WINDOWS\system32\Drivers\beptrm.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('beptrm');
    BC_DeleteSvcReg('beptrm');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    14.10.2010
    Адрес
    Красноярск, РФ
    Сообщений
    10
    Вес репутации
    27
    Не получилось.
    После отключенияв ОСАМе beptrm, компьютер не может загрузиться. При загрузке, сразу после появления информации о материнке , возникает чёрный экран и на этом весь процесс прекращается. Кулера при этом, в т.ч. и процессорный, работают в обычном режиме, как если бы система нормально прогрузилась а просто выключен монитор. Попытался войти в безопасном режиме. Процесс виснет на загрузке драйверов на файле isapnp.sys. О загрузке последней работоспособной версии речи вообще не идет, то же самое как и при обычной загрузке - черный экран.
    Вот как-то так.

  10. #9
    Junior Member Репутация
    Регистрация
    14.10.2010
    Адрес
    Красноярск, РФ
    Сообщений
    10
    Вес репутации
    27
    Всем спасибо.
    Топик можно закрывать.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\drivers\\pmsaxxw.sys - Rootkit.Win32.Bubnix.bba ( DrWEB: Trojan.NtRootKit.9659, BitDefender: Rootkit.43449, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Pavel S., наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ntrootkit.9659
      От shaman.nk в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 18.11.2010, 08:34
    2. BSOD с ошибкой STOP c000135
      От kamuri в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.02.2010, 16:05
    3. BSOD STOP:0x0000007e
      От whyworry в разделе Помогите!
      Ответов: 23
      Последнее сообщение: 15.11.2009, 01:35
    4. Ответов: 6
      Последнее сообщение: 22.02.2009, 09:21
    5. BSOD STOP:0x0000007e
      От coldoon в разделе Помогите!
      Ответов: 25
      Последнее сообщение: 22.02.2009, 09:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00478 seconds with 16 queries