Показано с 1 по 12 из 12.

Trojan.Winlock.499 - порновымогатель.

  1. #1
    Junior Member Репутация
    Регистрация
    28.11.2009
    Адрес
    Санкт-Петербург
    Сообщений
    8
    Вес репутации
    26

    Trojan.Winlock.499 - порновымогатель.

    Знакомый обратился с просьбой удалить окно-вымогатель, появляющееся сразу после залогинивания.
    На машине был установлен WinXP SP2, Касперский Антивирус 2009 (обновленные базы!!!).

    Признаки заражения зловредом:
    1.На весь экран появляется полупрозрачное окно с тремя порно-фотографиями и требованием выслать смс для разблокировки.
    2. Диспетчер задач отключен. Редактор реестра отключен. Политика групп запускается и через секунду закрывается.
    3.В безопасном режиме абсолютно те же признаки.

    История болезни.
    Вкладка Восстановление системы отсутствует.
    Через альтеративный редактор реестра отключение восстановления, равно как включение диспетчера задач и штатного редактора реестра не работает - после перезагрузки все значения реестра возвращаются к исходным.

    В безопасном режиме (КAV2009 не загружается):
    1. DrWeb CureIt (launch.exe) - запуск приводит к появлению зловреда. Сам DrWeb не запускается. Переименование файла программы ничего не дает - также запускается зловред.
    2. AVZ4 - открытие папки c файлами AVZ4 (!) приводит к завершению работы Windows. После переименования (случ.лат.буквы) папка открывается. Но запуск самой AVZ.exe приводит к запуску зловреда.Переименование файла программы (случ.лат.буквы) ничего не дает - также запускается зловред.
    3.Запуск установленной КAV2009 - запускается зловред.
    4. VRT - инсталляция сопровождается появлением сообщений об ошибке приложения. По завершении инсталляции программа не запускается, вместо нее запускается зловред.
    После перезагрузки папка c файлами Virus Removal Tool (!) не открывается (открывается на секунду и тут же закрывается).После переименования (случ.лат.буквы) папка открывается.
    Однако программа (Start) не запускается вовсе (зловред однако тоже не выскакивает, как в предыдущих случаях).
    5. Hijackthis благополучно запускается, сканирует, однако при попытке открыть текстовый файл, выдает ошибку и автоматически завершает работу Windows.

    Обычная загрузка (запускается KAV2009)
    1.После залогинивания окно зловреда не появляется.
    Однако попытка инсталлировать программы, запуск программ, открытие браузера приводит к появлению зловреда.
    При этом KAV2009 (настроен на максимальную чувствительность) не реагирует (!!!).
    - Альтернативный редактор реестра, однако, благополучно запускается.
    Включение диспетчера задач через реестр приводит к активации кнопки Диспетчер задач, однако ее нажатие не приводит к запуску Диспетчера задач. После перезагрузки значения реестр возвращается к зловредным настройкам.
    2. После появления зловреда на мониторе запускаю KAV2009, в режиме быстрой проверки - ничего не находит.
    Запускаю полную проверку - проверка практически неработоспособная и неуправляемая, окна программы постоянно зависают и даже крошечный текстовый файл проверяется несколько минут (!).
    3.Выгрузка KAV2009 моментально приводит к появлению зловреда на экране.
    4. DrWeb CureIt (launch.exe) - запуск приводит к появлению зловреда. Сам DrWeb не запускается. Переименование файла программы ничего не дает - также запускается зловред.
    5. Hijackthis благополучно запускается, сканирует, однако при попытке открыть текстовый лог-файл, сообщает что файл с таким именем не найден и открывает пустой файл.

    Запустил "только сканирование" и вручную благополучно сохранил лог-файл под другим именем.
    Запустил анализ лог-файла , пофиксил все подозрительное, в том числе FrAtD.dll

    После этого всё стало благополучно запускаться
    и DrWeb моментально нашел FrAtD.dll, который окзался зловредом Trojan.Winlock.499
    Утилитой plstfix восстанавливаю реестр и машина вновь готова преданно служить своему хозяину!

  2. Реклама
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.11.2008
    Сообщений
    109
    Вес репутации
    34
    А загрузиться с лайфСД ? Хотя бы того-же Веба ? И тогда вынести эту сволочь ?
    Пы.Сы. Или мы лёгких путей не ищем... ?
    Последний раз редактировалось Boriss72; 29.11.2009 в 06:44.
    Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!

  4. #3
    Junior Member Репутация
    Регистрация
    28.11.2009
    Адрес
    Санкт-Петербург
    Сообщений
    8
    Вес репутации
    26
    К сожалению, "легкий путь" был опробован самым первым, но не принес результата..

    А объяснение простое..
    Вирус был добавлен в базу сигнатур Dr.Web 2009-11-27 21:56:51
    К этому времени я уже поставил в зараженную машину LiveCD (в которой еще не было информации об этом зловреде)..

    Именно поэтому вирус не был найден LiveCD (к моему превеликому удивлению!). Это и подвигло на поиск иных путей его убийства..

    Добавлено через 38 минут

    Таким образом легкий путь лечения сейчас возможен.
    Лучшее решение, при вышеописанных признаках заражения, создать LiveCD DrWeb с самыми свежими (!!!) сигнатурами, запуститься с него, и просканировав систему убить зловреда.
    Реестр можно восстановить с помощью утилиты Plstfix
    -------------------------------------------------------
    Кстати, соблюдайте осторожность при переносе данных на зараженную машину с помощью флешки - Trojan.Winlock.499 записывает себя на флешку !!!
    --------------------------------------------------------
    AVZ можно запустить, переименовав его в rundll32.exe и поместив в system32 (спасибо соседним темам)
    Последний раз редактировалось AleksKlein; 29.11.2009 в 10:07. Причина: Добавлено

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.11.2008
    Сообщений
    109
    Вес репутации
    34
    Смутило вот это :
    и DrWeb моментально нашел FrAtD.dll, который окзался зловредом Trojan.Winlock.499
    Если Веб детектит данную сволочь , должен обнаружить и изгнать !

    А ,
    Лучшее решение, при вышеописанных признаках заражения, создать LiveCD DrWeb с самыми свежими (!!!) сигнатурами, запуститься с него, и просканировав систему убить зловреда.
    это азбука , тоже относится к продукту ЛК !
    Извиняюсь , у ЛК нет подобного решения , имелось в виду APVTool !
    Последний раз редактировалось Boriss72; 29.11.2009 в 08:24.
    Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!

  6. #5
    Junior Member Репутация
    Регистрация
    28.11.2009
    Адрес
    Санкт-Петербург
    Сообщений
    8
    Вес репутации
    26
    Было и будет, что, к сожалению, добавление "противоядия" в сигнатуры приходит уже после заражения нескольких машин.. Ибо вначале яд, а затем противоядие, вначале вирус, а затем антивирус, вначале заражение, а потом лечение..
    Поэтому это просто вопрос времени и случая..

    В данной ситуации произошел тот самый случай..
    - Каспер еще не внес зловреда в базу, поэтому благополучно пропустили в систему и упорно молчал при его активности; а DrWeb LiveCD, также не знавший этого зловреда, просканировав систему пропустил его
    - попав в систему зловред успешно блокировал работу, запуск и установку антивирей (DrWeb, AVZ, KAV, AVPTool, MAM)
    - поэтому зловред был обезврежен в реестре методом аналитического тыка при помощи HJT (который, правда, тоже был на грани фола)
    - после того как зловред был деактивирован вручную, DrWeb CureIt, в котором уже к тому времени наконец-то появилась база с включением Trojan.Winlock.499, благополучно запустился и добил зловреда.
    Последний раз редактировалось AleksKlein; 29.11.2009 в 09:28.

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.11.2008
    Сообщений
    109
    Вес репутации
    34
    Интересно будет-ли у ЛК продукт подобный LiveCD DrWeb ?
    Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!

  8. #7
    Junior Member Репутация
    Регистрация
    28.11.2009
    Адрес
    Санкт-Петербург
    Сообщений
    8
    Вес репутации
    26
    Мне думается, что нет, так как продукт DrWeb LiveCD бесплатный и посему, в случае создания такого же решения в других лабораториях, на их прибыль существенно не повлияет

    При том, что надо отметить - бесплатная "Скорая помощь" DrWeb LiveCD спасла тысячи систем от разрушения, за что низкий ей поклон..

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.11.2008
    Сообщений
    109
    Вес репутации
    34
    Именно ! Речь идет о БЕСПЛАТНОМ решении ! Именно в ЛайфСД ! Именно с последними сигнатурами !
    При том, что надо отметить - бесплатная "Скорая помощь" DrWeb LiveCD спасла тысячи систем от разрушения, за что низкий ей поклон..
    Это известно всем ! Реально - "Огромное спасибо " !!! Ваш Курейт и ЛайфСД зачастую незаменимые вещи ! Это не реклама ! Можно посмотреть массу форумов где в первую очередь рекомендуют продукты Веба , а потом уже АПВ !

    Меня интересует , будет-ли у ЛК подобное решение ? На сайте есть представители ЛК , может ответят ?!
    Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для paul-13
    Регистрация
    26.09.2008
    Сообщений
    157
    Вес репутации
    107
    Меня интересует , будет-ли у ЛК подобное решение ?
    Kaspersky Rescue Disk

    Добавлено через 3 минуты

    Ссылка на Kaspersky Rescue Disk
    http://devbuilds.kaspersky-labs.com/...ds/RescueDisk/
    Последний раз редактировалось paul-13; 29.11.2009 в 15:07. Причина: Добавлено
    t.A.T.u.

  11. #10
    Junior Member Репутация
    Регистрация
    24.09.2009
    Сообщений
    1
    Вес репутации
    27
    Я лечил по другому! Сначала запускаем Far, потом AVZ запускается с ключем AG=Y, комп при этом не перегружается и если AVZ не запустилось то в Far останавливаем процессы rundll32.exe и explorer.exe, тогда все запускается, если комп перегружается то запускаем msconfig и ставим диагностический запуск. Запускаем AVZ, находим и удаляем подозрительную *.dll(обычно содержит большие и маленькие буквы) которая находится в \Windows\System32\ а также копию с этим же именем. Включаем диспетчер задач, реактор реестра и т.п. Перегружаемся. Все работает.

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.11.2008
    Сообщений
    109
    Вес репутации
    34
    Цитата Сообщение от paul-13 Посмотреть сообщение
    Kaspersky Rescue Disk

    Добавлено через 3 минуты

    Ссылка на Kaspersky Rescue Disk
    http://devbuilds.kaspersky-labs.com/...ds/RescueDisk/
    Огромное СПАИБО ! А можно ссылку не на само скачивание , а на страничку ? А ?
    Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для paul-13
    Регистрация
    26.09.2008
    Сообщений
    157
    Вес репутации
    107
    А можно ссылку не на само скачивание , а на страничку ? А ?
    Как таковой, странички я не знаю, похоже ее просто нет. Если у вас установлен KAV/KIS почитайте это:
    http://support.kaspersky.ru/faq/?qid=208636415
    t.A.T.u.

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 24.06.2012, 11:04
  2. Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)
    От bolshoy kot в разделе Описания вредоносных программ
    Ответов: 6
    Последнее сообщение: 16.02.2010, 19:16
  3. Ответов: 7
    Последнее сообщение: 11.01.2010, 11:21
  4. Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock
    От SDA в разделе Вредоносные программы
    Ответов: 0
    Последнее сообщение: 09.12.2009, 09:56
  5. порновымогатель с зоопарком
    От mike156 в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 08.12.2009, 14:32

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00049 seconds with 20 queries