-
Junior Member
- Вес репутации
- 53
Trojan.Winlock.499 - порновымогатель.
Знакомый обратился с просьбой удалить окно-вымогатель, появляющееся сразу после залогинивания.
На машине был установлен WinXP SP2, Касперский Антивирус 2009 (обновленные базы!!!).
Признаки заражения зловредом:
1.На весь экран появляется полупрозрачное окно с тремя порно-фотографиями и требованием выслать смс для разблокировки.
2. Диспетчер задач отключен. Редактор реестра отключен. Политика групп запускается и через секунду закрывается.
3.В безопасном режиме абсолютно те же признаки.
История болезни.
Вкладка Восстановление системы отсутствует.
Через альтеративный редактор реестра отключение восстановления, равно как включение диспетчера задач и штатного редактора реестра не работает - после перезагрузки все значения реестра возвращаются к исходным.
В безопасном режиме (КAV2009 не загружается):
1. DrWeb CureIt (launch.exe) - запуск приводит к появлению зловреда. Сам DrWeb не запускается. Переименование файла программы ничего не дает - также запускается зловред.
2. AVZ4 - открытие папки c файлами AVZ4 (!) приводит к завершению работы Windows. После переименования (случ.лат.буквы) папка открывается. Но запуск самой AVZ.exe приводит к запуску зловреда.Переименование файла программы (случ.лат.буквы) ничего не дает - также запускается зловред.
3.Запуск установленной КAV2009 - запускается зловред.
4. VRT - инсталляция сопровождается появлением сообщений об ошибке приложения. По завершении инсталляции программа не запускается, вместо нее запускается зловред.
После перезагрузки папка c файлами Virus Removal Tool (!) не открывается (открывается на секунду и тут же закрывается).После переименования (случ.лат.буквы) папка открывается.
Однако программа (Start) не запускается вовсе (зловред однако тоже не выскакивает, как в предыдущих случаях).
5. Hijackthis благополучно запускается, сканирует, однако при попытке открыть текстовый файл, выдает ошибку и автоматически завершает работу Windows.
Обычная загрузка (запускается KAV2009)
1.После залогинивания окно зловреда не появляется.
Однако попытка инсталлировать программы, запуск программ, открытие браузера приводит к появлению зловреда.
При этом KAV2009 (настроен на максимальную чувствительность) не реагирует (!!!).
- Альтернативный редактор реестра, однако, благополучно запускается.
Включение диспетчера задач через реестр приводит к активации кнопки Диспетчер задач, однако ее нажатие не приводит к запуску Диспетчера задач. После перезагрузки значения реестр возвращается к зловредным настройкам.
2. После появления зловреда на мониторе запускаю KAV2009, в режиме быстрой проверки - ничего не находит.
Запускаю полную проверку - проверка практически неработоспособная и неуправляемая, окна программы постоянно зависают и даже крошечный текстовый файл проверяется несколько минут (!).
3.Выгрузка KAV2009 моментально приводит к появлению зловреда на экране.
4. DrWeb CureIt (launch.exe) - запуск приводит к появлению зловреда. Сам DrWeb не запускается. Переименование файла программы ничего не дает - также запускается зловред.
5. Hijackthis благополучно запускается, сканирует, однако при попытке открыть текстовый лог-файл, сообщает что файл с таким именем не найден и открывает пустой файл.
Запустил "только сканирование" и вручную благополучно сохранил лог-файл под другим именем.
Запустил анализ лог-файла , пофиксил все подозрительное, в том числе FrAtD.dll
После этого всё стало благополучно запускаться
и DrWeb моментально нашел FrAtD.dll, который окзался зловредом Trojan.Winlock.499
Утилитой plstfix восстанавливаю реестр и машина вновь готова преданно служить своему хозяину!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А загрузиться с лайфСД ? Хотя бы того-же Веба ? И тогда вынести эту сволочь ?
Пы.Сы. Или мы лёгких путей не ищем... ?
Последний раз редактировалось Boriss72; 29.11.2009 в 06:44.
Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!
-
Junior Member
- Вес репутации
- 53
К сожалению, "легкий путь" был опробован самым первым, но не принес результата..
А объяснение простое..
Вирус был добавлен в базу сигнатур Dr.Web 2009-11-27 21:56:51
К этому времени я уже поставил в зараженную машину LiveCD (в которой еще не было информации об этом зловреде)..
Именно поэтому вирус не был найден LiveCD (к моему превеликому удивлению!). Это и подвигло на поиск иных путей его убийства..
Добавлено через 38 минут
Таким образом легкий путь лечения сейчас возможен.
Лучшее решение, при вышеописанных признаках заражения, создать LiveCD DrWeb с самыми свежими (!!!) сигнатурами, запуститься с него, и просканировав систему убить зловреда.
Реестр можно восстановить с помощью утилиты Plstfix
-------------------------------------------------------
Кстати, соблюдайте осторожность при переносе данных на зараженную машину с помощью флешки - Trojan.Winlock.499 записывает себя на флешку !!!
--------------------------------------------------------
AVZ можно запустить, переименовав его в rundll32.exe и поместив в system32 (спасибо соседним темам)
Последний раз редактировалось AleksKlein; 29.11.2009 в 10:07.
Причина: Добавлено
-
Смутило вот это :
и DrWeb моментально нашел FrAtD.dll, который окзался зловредом Trojan.Winlock.499
Если Веб детектит данную сволочь , должен обнаружить и изгнать !
А ,
Лучшее решение, при вышеописанных признаках заражения, создать LiveCD DrWeb с самыми свежими (!!!) сигнатурами, запуститься с него, и просканировав систему убить зловреда.
это азбука , тоже относится к продукту ЛК !
Извиняюсь , у ЛК нет подобного решения , имелось в виду APVTool !
Последний раз редактировалось Boriss72; 29.11.2009 в 08:24.
Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!
-
Junior Member
- Вес репутации
- 53
Было и будет, что, к сожалению, добавление "противоядия" в сигнатуры приходит уже после заражения нескольких машин.. Ибо вначале яд, а затем противоядие, вначале вирус, а затем антивирус, вначале заражение, а потом лечение..
Поэтому это просто вопрос времени и случая..
В данной ситуации произошел тот самый случай..
- Каспер еще не внес зловреда в базу, поэтому благополучно пропустили в систему и упорно молчал при его активности; а DrWeb LiveCD, также не знавший этого зловреда, просканировав систему пропустил его
- попав в систему зловред успешно блокировал работу, запуск и установку антивирей (DrWeb, AVZ, KAV, AVPTool, MAM)
- поэтому зловред был обезврежен в реестре методом аналитического тыка при помощи HJT (который, правда, тоже был на грани фола)
- после того как зловред был деактивирован вручную, DrWeb CureIt, в котором уже к тому времени наконец-то появилась база с включением Trojan.Winlock.499, благополучно запустился и добил зловреда.
Последний раз редактировалось AleksKlein; 29.11.2009 в 09:28.
-
Интересно будет-ли у ЛК продукт подобный LiveCD DrWeb ?
Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!
-
Junior Member
- Вес репутации
- 53
Мне думается, что нет, так как продукт DrWeb LiveCD бесплатный и посему, в случае создания такого же решения в других лабораториях, на их прибыль существенно не повлияет
При том, что надо отметить - бесплатная "Скорая помощь" DrWeb LiveCD спасла тысячи систем от разрушения, за что низкий ей поклон..
-
Именно ! Речь идет о БЕСПЛАТНОМ решении ! Именно в ЛайфСД ! Именно с последними сигнатурами !
При том, что надо отметить - бесплатная "Скорая помощь" DrWeb LiveCD спасла тысячи систем от разрушения, за что низкий ей поклон..
Это известно всем ! Реально - "Огромное спасибо " !!! Ваш Курейт и ЛайфСД зачастую незаменимые вещи ! Это не реклама ! Можно посмотреть массу форумов где в первую очередь рекомендуют продукты Веба , а потом уже АПВ !
Меня интересует , будет-ли у ЛК подобное решение ? На сайте есть представители ЛК , может ответят ?!
Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!
-
Меня интересует , будет-ли у ЛК подобное решение ?
Kaspersky Rescue Disk
Добавлено через 3 минуты
Ссылка на Kaspersky Rescue Disk
http://devbuilds.kaspersky-labs.com/...ds/RescueDisk/
Последний раз редактировалось paul-13; 29.11.2009 в 15:07.
Причина: Добавлено
t.A.T.u.
-
Junior Member
- Вес репутации
- 54
Я лечил по другому! Сначала запускаем Far, потом AVZ запускается с ключем AG=Y, комп при этом не перегружается и если AVZ не запустилось то в Far останавливаем процессы rundll32.exe и explorer.exe, тогда все запускается, если комп перегружается то запускаем msconfig и ставим диагностический запуск. Запускаем AVZ, находим и удаляем подозрительную *.dll(обычно содержит большие и маленькие буквы) которая находится в \Windows\System32\ а также копию с этим же именем. Включаем диспетчер задач, реактор реестра и т.п. Перегружаемся. Все работает.
-
Сообщение от
paul-13
Огромное СПАИБО ! А можно ссылку не на само скачивание , а на страничку ? А ?
Минздрав предупреждает: злоупотребление виртуальной жизнью ведет к реальному геморрою!
-
А можно ссылку не на само скачивание , а на страничку ? А ?
Как таковой, странички я не знаю, похоже ее просто нет. Если у вас установлен KAV/KIS почитайте это:
http://support.kaspersky.ru/faq/?qid=208636415