Trojan.winlock
Алексеев
Мастер
5/16/2009, 3:14:15 PM
Не так давно появился чудо-вирус Winlock, при запуске Windows выводящий сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе.
Разработчики антивирусов отреагировали по-разному. Касперята до сих пор стоят на ручнике. DrWeb пытается бороться, даже создал генератор сообщений для вируса, дабы тот успокоился. Не помогает в 70% случаев.
Я, в отличие от специалистов Dr.Web, видел уже три модификации вируса с визуальным отличием выскакивающего окна. В стиле блондинко - красненькое окно на черном фоне, синенькое окно на синем фоне, и просто синенький фон с букавками.
Второй из перечисленных не пропадает через два часа, не имеет файлов blocker.*, не реагирует на сгенерированные пароли и не видится Каспером и CureIT. Базы естественно свежие.
К тому ж ничего левого в автозагрузке в упор не увидел. Вылечилось восстановлением системы и последующей установкой KIS с анализом активности приложений.
Интересно, кто сталкивался и как лечил :|
Разработчики антивирусов отреагировали по-разному. Касперята до сих пор стоят на ручнике. DrWeb пытается бороться, даже создал генератор сообщений для вируса, дабы тот успокоился. Не помогает в 70% случаев.
Я, в отличие от специалистов Dr.Web, видел уже три модификации вируса с визуальным отличием выскакивающего окна. В стиле блондинко - красненькое окно на черном фоне, синенькое окно на синем фоне, и просто синенький фон с букавками.
Второй из перечисленных не пропадает через два часа, не имеет файлов blocker.*, не реагирует на сгенерированные пароли и не видится Каспером и CureIT. Базы естественно свежие.
К тому ж ничего левого в автозагрузке в упор не увидел. Вылечилось восстановлением системы и последующей установкой KIS с анализом активности приложений.
Интересно, кто сталкивался и как лечил :|
DELETED
Акула пера
5/17/2009, 4:56:25 PM
Руками. Все просто до невозможности.
Ci ne Mato-graff
Мастер
5/18/2009, 1:00:37 PM
Был недавно такой случай
Загрузился с диска miniPE и произвел генеральную уборку- удаление всех подозрительных и новых в плане "дата создания" файлов *.exe, *.dll
После перезапуска залогинился админом и удалил профиль пользователся от имени которого эта гадость подцепилась
Загрузился с диска miniPE и произвел генеральную уборку- удаление всех подозрительных и новых в плане "дата создания" файлов *.exe, *.dll
После перезапуска залогинился админом и удалил профиль пользователся от имени которого эта гадость подцепилась
Алексеев
Мастер
5/18/2009, 1:10:38 PM
Во, наконец-то нашелся человек, точно знающий, как бороться с этой пакостью ^_^
JeyLo, можно подробно, как для идиота? :)
JeyLo, можно подробно, как для идиота? :)
Алексеев
Мастер
5/18/2009, 1:13:49 PM
(Ci ne Mato-graff @ 18.05.2009 - время: 09:00) Был недавно такой случай
Загрузился с диска miniPE и произвел генеральную уборку- удаление всех подозрительных и новых в плане "дата создания" файлов *.exe, *.dll
После перезапуска залогинился админом и удалил профиль пользователся от имени которого эта гадость подцепилась
Разумный вариант, но хотелось бы знать более быстрый способ :) К тому ж удаление профиля не всегда применимо, и всех системных *.dll и *.exe я не знаю
Загрузился с диска miniPE и произвел генеральную уборку- удаление всех подозрительных и новых в плане "дата создания" файлов *.exe, *.dll
После перезапуска залогинился админом и удалил профиль пользователся от имени которого эта гадость подцепилась
Разумный вариант, но хотелось бы знать более быстрый способ :) К тому ж удаление профиля не всегда применимо, и всех системных *.dll и *.exe я не знаю
Алексеев
Мастер
5/18/2009, 1:26:47 PM
Удалить файлы с вирусом на самом деле проблема не большая. Весь гемор в том, чтобы их найтить :)
DELETED
Акула пера
5/18/2009, 1:52:35 PM
Можно. :)
Ща, поработаю чуток и отвечу.
Ща, поработаю чуток и отвечу.
Алексеев
Мастер
5/23/2009, 6:35:17 AM
(JeyLo @ 18.05.2009 - время: 09:52) Ща, поработаю чуток и отвечу.
Бывает, из головы вылетело
Напомню апом темы :)
Бывает, из головы вылетело
Напомню апом темы :)
DELETED
Акула пера
5/23/2009, 3:59:48 PM
А. Ну да. Забыл. Писать долго, лень. Такой сложный процесс...
Короче два варианта на несколько типов такой байды:
1. Нажать Shift и тупо держать. А потом regedit и вперед. Ну или HiJackThis.
1. Нажать Win+U и тупо спросить помощи. А потом C:\Windows\System32\regedit.exe и вперед. Ну или HiJackThis.
Проще всего, когда эти уроды представляются как winlogon notification packages. Хуже всего, когда заместо userinit.
Ну это конечно когда флешки нет загрузочной. Там вообще все просто. Пару файлегов удаляешь и фсё. :)
Короче два варианта на несколько типов такой байды:
1. Нажать Shift и тупо держать. А потом regedit и вперед. Ну или HiJackThis.
1. Нажать Win+U и тупо спросить помощи. А потом C:\Windows\System32\regedit.exe и вперед. Ну или HiJackThis.
Проще всего, когда эти уроды представляются как winlogon notification packages. Хуже всего, когда заместо userinit.
Ну это конечно когда флешки нет загрузочной. Там вообще все просто. Пару файлегов удаляешь и фсё. :)
Алексеев
Мастер
5/23/2009, 7:08:59 PM
(JeyLo @ 23.05.2009 - время: 11:59) Хуже всего, когда заместо userinit.
Так вот почему я в авторане ничего найтить не мог...
Благодарю за пояснение :)
Так вот почему я в авторане ничего найтить не мог...
Благодарю за пояснение :)
DELETED
Акула пера
5/23/2009, 7:28:25 PM
Ну да.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключег Userinit. Тип REG_SZ.
Там должно быть одно значение: "C:\Windows\SYSTEM32\Userinit.exe," (ну, или, WINNT для NT и W2K)
А за запятой нифига. Всегда.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключег Userinit. Тип REG_SZ.
Там должно быть одно значение: "C:\Windows\SYSTEM32\Userinit.exe," (ну, или, WINNT для NT и W2K)
А за запятой нифига. Всегда.
neon_mud
Удален 5/23/2009, 8:32:08 PM
слышал. читал даже про эту пакость. но пока ни разу у меня на работе юзер не напихнулся на такое. сам под никсами, регедит не нужен...
vovan217
Специалист
6/3/2009, 5:13:07 AM
Кто-нибудь знает точно какие файлы отвечают за функционирование троянца?
DELETED
Акула пера
7/2/2009, 7:18:26 PM
(vovan217 @ 03.06.2009 - время: 01:13) Кто-нибудь знает точно какие файлы отвечают за функционирование троянца?
Они разные. Селятся обычно в корне профайла.
Они разные. Селятся обычно в корне профайла.
heep25
Специалист
7/9/2009, 9:02:42 PM
Я приловил эту интересную модификацию вот посмотрите
Загрузить свои фото
Загрузить свои фото
Короче попил мне этот гребаный вирус кровь я что только не делал, все бестолку пришлось переустановить Винду, но это даже пошло мне на пользу я ее 4 года не переустанавливал порядком тормозить начинала.
Загрузить свои фото
Короче попил мне этот гребаный вирус кровь я что только не делал, все бестолку пришлось переустановить Винду, но это даже пошло мне на пользу я ее 4 года не переустанавливал порядком тормозить начинала.
barrakuda
Профессионал
7/10/2009, 2:15:02 AM
Удалить файлы с вирусом на самом деле проблема не большая. Весь гемор в том, чтобы их найтить
Да, это и есть самая увлекательная часть процесса. :)
Но как правило, подобные вирусы имеют привычку прописывать себя в автозагрузку, так что проверка тех мест системного реестра, что отвечают за автозагрузку приложений и библиотек, поможет напасть на след негодяя.
Тут пригодится программа Autoruns, которая как раз знает большинство таких лакомых для вируса местечек. Майкрософт рекомендует, качать здесь: https://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx
Запускаем прогу и изучаем полученный список.
Если какой-то файл вызывает подозрение, стоит поискать информацию о нем в инете.
Если уж в систему даже войти не удается, то
можно попробовать загрузиться с загрузочного компакт-диска типа WinPE и прочесать реестр на предмет наличия подозрительных модулей с помощью Windows Registry Recovery.
Особенность этой программы в том, что она читает реестр напрямую с файла.
Ссылка: https://www.mitec.cz/wrr.html
На всякий случай добавлю, что правка реестра - штука опасная и делать это нужно осторожно. :)
Да, это и есть самая увлекательная часть процесса. :)
Но как правило, подобные вирусы имеют привычку прописывать себя в автозагрузку, так что проверка тех мест системного реестра, что отвечают за автозагрузку приложений и библиотек, поможет напасть на след негодяя.
Тут пригодится программа Autoruns, которая как раз знает большинство таких лакомых для вируса местечек. Майкрософт рекомендует, качать здесь: https://technet.microsoft.com/en-us/sysinte...s/bb963902.aspx
Запускаем прогу и изучаем полученный список.
Если какой-то файл вызывает подозрение, стоит поискать информацию о нем в инете.
Если уж в систему даже войти не удается, то
можно попробовать загрузиться с загрузочного компакт-диска типа WinPE и прочесать реестр на предмет наличия подозрительных модулей с помощью Windows Registry Recovery.
Особенность этой программы в том, что она читает реестр напрямую с файла.
Ссылка: https://www.mitec.cz/wrr.html
На всякий случай добавлю, что правка реестра - штука опасная и делать это нужно осторожно. :)
Slim_Joy
Мастер
7/11/2009, 11:10:06 PM
Боже мой....
как всё сложно(((((
у меня такой вирус, через двое суток стал перезапускать комп через 3 сек после появления окна, я не успеваю даже ни код ввести, ни ещё что-либо сделать((((
как всё сложно(((((
у меня такой вирус, через двое суток стал перезапускать комп через 3 сек после появления окна, я не успеваю даже ни код ввести, ни ещё что-либо сделать((((
barrakuda
Профессионал
7/12/2009, 12:21:27 AM
На самом деле, как уже было сказано выше, алгоритм борьбы с данным вредителем прост: раз не удается войти в систему с "парадного входа", нужно сделать это с "черного входа". То есть получить доступ к винчестеру посредством загрузочного диска или, на худой конец, с помощью recovery console. Затем выявить файлы вируса и удалить их. Возможно еще придется удалить те записи в реестре, которые троян там оставил.
Для обычных же пользователей, не искушенных в деле удаления вирусов вручную, выход один - постоянно работающий антивирус, с включенной проактивной защитой, плюс регулярное обновление баз антивируса.
Для обычных же пользователей, не искушенных в деле удаления вирусов вручную, выход один - постоянно работающий антивирус, с включенной проактивной защитой, плюс регулярное обновление баз антивируса.
heep25
Специалист
7/12/2009, 1:50:01 PM
Именно кратковременное отключение антивируса и привело к тому что я прицепил эту заразу. Отключил, вышел в интернет и сразу "приехал".
Platinum PROFI
Мастер
7/13/2009, 4:33:36 PM
Интересно, шде такой вирус можно найти 
До нас он пока видимо не дошел
До нас он пока видимо не дошел