-
Junior Member
- Вес репутации
- 55
Новый винлокер...
Здравствуйте!
Пишу по просьбе моего друга, т.к. он сам ничего не понимает в процедурах лечения компьютеров. Сам осмотреть "больного" не смогу...
Вчера, с его слов, во время игры(не он-лайн, "стационарная" игра; интерент в это время был подключен, но не использовался) вылезло, свернув последнюю, такое "чудо":
Знакомое всем продолжение ВинЛокерской тематики.
У него есть ещё нетбук, с которого я ему предложил зайти на сайты DrWeb и Касперского в поисках кода разблокировки. На первом - ничего, со второго ничего не подошло. При попытке загрузиться в Безопасном режиме - та же картинка на весь экран. С дрянью сделать ничего не получается - ни на что не реагирует. При этом стоявший на компьютере и постоянно обновлявшийся KAV2010 никак не отреагировал на такое дело...
Предложил ему провериться DrWeb LiveCD. Нашёл(товарищ, правда, не запомнил, где) несколько Exploit.JavaScript (по всей видимости, не обновлялась JAVA-платформа...)
После проверки/лечения и перезагрузки - та же самая картинка.
Соответственно, логи АВЗ, Хайджека и т.п. сделать не получается...
Посоветуйте пожалуйста, что можно сделать? Может быть, ERD использовать?..
В принципе, у него есть диск LiveDVD(от ЗверьДВД) и с него можно загрузиться. Попробовать сделать логи таким образом?
Последний раз редактировалось Hamrad; 27.05.2011 в 15:32.
Best regards & 73!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Welcome to VirusInfo. Enjoy your stay here...
-
-
Логи AVZ под LiveCD или ERD Commander делать бесполезно.
1. Скачайте образ ERD Commander,подходящий для вашей системы, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
ветка
Код:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Содержимое этих параметров напишите в своем сообщении.
Или используйте любой Win LiveCD.
Как работать с системным реестром, загрузившись с LiveCD:
http://virusinfo.info/showthread.php?t=72176
-
-
Junior Member
- Вес репутации
- 55
Nikkollo, спасибо!
Передал товарищу - будет делать. Как сделает - отпишется мне, а я - сюда...
-
Junior Member
- Вес репутации
- 55
Доброго времени суток!
Вот содержимое указанных веток реестра:
Userinit: C:\WINDOWS\system32\userinit.exe,C\Documents and Settings\Admin\Application Data\lsass.exe
Shell: C\Documents and Settings\Admin\Application Data\22CC6C32.exe
AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
Да, как я и предполагал - подмена/заражение Юзеринит и Оболочки... В АппИнт_ДЛЛс - всё верно.
Каковы будут дальнейшие действия?... Взять Userinit.exe и Explorer.exe из дистрибутива?
-
Отредактируйте эти параметры так:
Код:
Userinit: C:\WINDOWS\system32\userinit.exe,
Shell: Explorer.exe
Отредактируйте расширения этих файлов на "bak" (без кавычек):
Код:
C:\Documents and Settings\Admin\Application Data\lsass.exe
C:\Documents and Settings\Admin\Application Data\22CC6C32.exe
Попробуйте загрузить компьютер в нормальном режиме.
Если загрузится, заархивируйте вышеуказанные переименованные файлы в формате zip с паролем virus и загрузите архив по красной ссылке вверху темы "Прислать запрошенный карантин".
Сделайте логи и приложите.
-
-
Junior Member
- Вес репутации
- 55
Nikkollo, Спасибо!
Т.е. Userinit.exe не заражён... Уже хорошо...
Строки в Userinit и Shell исправили, компьютер загрузился.
"Образцы" будут доставлены в ближайшее время, логи - тоже.
-
Сообщение от
Hamrad
Т.е. Userinit.exe не заражён
Размер файла назовите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
thyrex, размер файла: 26624 байт(на диске: 28672).
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Отправил архив с "образцом" lsass.exe по красной ссылке в шапке темы:
Файл сохранён как 110601_144232_lsass_4de64fd8847f1.zip
Размер файла 139798
MD5 53d7a466740fab35ed2d1104c7b73489
К сожалению, товарищ не смог отыскать файл 22CC6C32.exe, как ни старался: ни просмотром папки с помощью FAR-Manager, ни с помощью Поиска в АВЗ.
Логи - в процессе.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Доброго времени суток!
К сожалению, у друга были проблемы и только сегодня он предоставил мне все логи. Вот, пожалуйста, посмотрите:
Плюс ко всему - сбой при обновлении Касперского:пишет, что не может подключиться к серверу обновлений.
Пока сказал ему почистить hosts - весьма подозрительным он мне показался..
-
Пофиксите в HiJack
Код:
O1 - Hosts: 188.229.89.7 www.vkontakte.ru
O1 - Hosts: 188.229.89.7 www.vk.com
O1 - Hosts: 188.229.89.7 vkontakte.ru
O1 - Hosts: 188.229.89.7 vk.com
O1 - Hosts: 188.229.89.7 www.odnoklassniki.ru
O1 - Hosts: 188.229.89.7 odnoklassniki.ru
Удалите в МВАМ только указанные строки
Код:
Зараженные файлы:
c:\documents and settings\Admin\local settings\Temp\0.2640455939112959.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.738723417171596.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\B3.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\ms0cfg32.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache6146778252631502438.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache7300243875345741792.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache895131597553439941.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\59ECWR43\9220b5[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\S3QLDQA5\readme[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\all users\application data\22CC6C32.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\all users\application data\jzo4kpkap55.exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\Opera\0.18100204736299852.exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\Opera\0.48552003699403556.exe (Spyware.Passwords.XGen) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Файл hosts почищен "ручками" - в нём впридачу оказалось почти 10000 пустых строк...
А Касперский не обновлялся потому, что в том же файле была прописана строка что-то наподобие:
127.0.0.1 update.kaspersky.com
Т.е. при попытке обновиться он шёл по левой ссылке. После очистки файла - всё нормализовалось: обновление пошло.
Новые логи в процессе.
-
Junior Member
- Вес репутации
- 55
Указанные объекты в MBAM удалены. Новые логи сделаны.
Кстати, в папке с Оперой был ещё один файл с "цифровым именем" и расширением .exe. MBAM его не пометил, как подозрительный. Тем не менее, файл был на всякий случай удалён вручную. Осталась его копия. Если надо - вышлю.
-
Высылайте.
Выполните скрипт в AVZ:
Код:
begin
ExecuteWizard('TSW',2,2,true);
end.
Повторите лог virusinfo_syscheck.zip и приложите в теме.
Что с проблемами?
-
-
Junior Member
- Вес репутации
- 55
После того, как файл hosts был очищен от лишних записей, Касперский обновился и сразу же начал "кидаться" на файлы, указанные тов.thyrex для удаления в MBAM. Дали ему "отыграться за прошлые обиды", после чего он был временно отключен и для верности прошлись MBAM. Ничего из того списка найдено уже не было. Сейчас товарищ с компьютером проблем вроде бы как не испытывает. Посоветовал ему обновить Java-платформу и проверить последние обновления с Windows Update, а также провести полную проверку компьютера установленным Касперским и в ближайшее время задуматься над сменой паролей на сайтах, которые он посещал.
Всем спасибо! Всем жму руки!
Лог syscheck в процессе.
Последний раз редактировалось Hamrad; 10.06.2011 в 20:47.
Best regards & 73!
-
Junior Member
- Вес репутации
- 55
Отправил по красной ссылке архив с теми "зверьками", что нашлись в папке с установленной Оперой. Два из них уже были продетектированы MBAM, плюс третий - тот самый, правда с подозрительно маленьким размером - 16 кБ:
Файл сохранён как 110610_202316_Opera_4df27d34672fe.zip
Размер файла 278255
MD5 0fa0da36cd7fe870d24444e9bedad2be
Вот ещё лог Исследования Системы:
Последний раз редактировалось Hamrad; 11.06.2011 в 00:25.
Best regards & 73!
-
По логу ничего интересного не обнаружил.
Что сейчас с проблемой?
-