-
Trojan-Ransom.Win32/LockScreen.DB ?
Через неделю после НГ, мне позвонил человек и попросил помощи.
Сразу после НГ к нему на компьютер (с Windows XP Home SP3) попал вирус-вымогатель.
Я с таким встретился впервые, т.к. у себя на компе блох не допускаю - предостерегаюсь.
На переднем фоне висело окно с надписью-предложением отправить SMS
на номер (не записали) сообщение 590920196. Типа за просмотр порно-сайтов задолжал. Ну и т.п.
Молодой человек обратился к приятелю, у которого была такая же проблема
и тот дал ему код для ввода в поле формы (для разблокирования).
Понятно, раз код не тот, ничего не помогло. Я просмотрел журналы
нода от 2-го числа там была запись. Значит прошли ещё и нодом.
В общем, окно им удалось убрать, но тут с удивлением обнаружили, что
Инет заблокирован наглухо!
Я собрал для исследования все журналы системы и нода.
Вот запись из журнала нода:
Код:
02.01.2010 20:26:55 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Documents and Settings\user\Cookies\userlib.dll модифицированный Win32/LockScreen.DB троянская программа очищен удалением (после следующего перезапуска) - изолирован NEWCOMPUTER\Оля
И вот 3 записи системного журнала (момент установки соединения):- Подключение пользователя "shatalov-35dml" к "JoKerrr", выполненное с помощью устройства "PPPoE5-9", было прервано.
- Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{4D179B30-4D18-4F2E-B187-A5895CF1B89C} был подключен к сети, и инициировала нормальную работу через этот сетевой адаптер.
- Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{4D179B30-4D18-4F2E-B187-A5895CF1B89C} был отключен от сети, и сетевая конфигурация этого адаптера была освобождена. Если сетевой адаптер не был отключен, то возможно, что он неисправен. Чтобы получить обновленные драйверы, обратитесь к вендору.
Я порылся в интернете и нашёл ситуацию один в один. И описание как восстановили работоспособность Инета.
Утилитой WinsockXPFix.exe был восстановлен разрушенный TCP/IP стек.
Но во время исследований я ещё и обнаружил, что заблокировано и восстановление системы!
Я правда не сообразил это восстановление включить тогда.
Теперь у меня такие вопросы:- Действительно ли этот вирус называется "Trojan-Ransom.Win32/LockScreen.DB" ?
- Какие ещё разрушения в системе могут быть кроме двух описанных?
- Возможно ли как-то провести восстановление системы "как и было" до вируса?
- Смог бы я (если не затупил) "включить" Восстановление системы и откатить её назад?
Сейчас у меня доступа к этому компу нет пока и я интересуюсь из спортивного интереса.
Спасибо заранее!
Добавлено через 8 часов 35 минут
up
Последний раз редактировалось бУРов; 08.01.2010 в 21:51.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Разговор полностью беспредметный, т.к. мы не имеем ни логов, ни карантина. Гадать на кофейной гуще здесь не принято.
I am not young enough to know everything...
-