Показано с 1 по 18 из 18.

Разблокирован Trojan.Winlock, что дальше? (заявка № 70386)

  1. #1
    Junior Member Репутация
    Регистрация
    04.02.2010
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    26

    Thumbs up Разблокирован Trojan.Winlock, что дальше?

    Всем доброго вечера.

    Подхватил (спасибо супруге) смс-вымогателя с флешки. Разблокировал с помощью мобильного сайта Dr.Web.

    Начал делать по пунктам то, что написано у вс в правилах - застрял в самом начале же: загрузиться в безопасном режиме не могу, даже после выполнения соотв. скрипта в AVZ.

    Попробовал запустить лечилки в обычном режиме. CureIt не стартует вообще, а иногда вешает систему. Avira Antivir Removal Tool нашел пару скрытых файликов (каюсь, названия не запомнил) и удалил их, и больше ничего не видит. Kaspersky Virus Removal Tool сверх того нашел Trojan-Downloader.Java.Agent.ac и тоже его удалил.

    Что делать дальше? Надо ли делать то, что описано в разделе "Диагностика" Правил, или пока надо суметь загразиться в безопасном режиме?

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Надо лечиться с LiveCD при помощи AVPTool
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    04.02.2010
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    26
    Вылечил Rootkit.Win32.TDSS.d, сейчас попробую в еще раз в безопасный режим уйти..

    Добавлено через 1 час 17 минут

    Так, прошу прощения за дезинформацию - плохо соображаю под утро без сна (

    Докладываю: AVPTool нашел Rootkit.Win32.TDSS.d в System Memory, но вылечить или удалить НЕ СМОГ. Также он нашел Packed.Win32.Krap.w в C:\Windows\System32\vojxzw.dll - и вот его как раз он и удалил. Еще раз извините за нечеткость мышления.

    Далее: Dr.Web LiveCD не загружается и вешает систему намертво ближе к концу загрузки. Загрузить удалось LiveDVD с Ubuntu, если это чем-то сможет помочь, но из-под него, очевидно, AVPTool не запустить. Других LiveCD у меня нет, но если ткнете носом куда следует - скачаю и попробую запустить.
    Последний раз редактировалось kidd79; 06.02.2010 в 12:06. Причина: Добавлено

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    На сайте Касперского есть LiveCD
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5

  7. #6
    Junior Member Репутация
    Регистрация
    04.02.2010
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    26
    LiveCD не понадобился.

    Попробовал вариант с TDSSKiller.
    Нашел два объекта в памяти и вылечил их, нашел зараженный файл (тот же, о котором я выше писал) и вылечил его на перезагрузке. Повторный запуск программы после перезагрузки ничего не находит.

    Удалось перегрузиться в безопасном режиме. Сейчас прогоню свежий AVPTool по всей системе (3 HDD, может занять время), сделаю логи по правилам и выложу.

    Добавлено через 5 часов 18 минут

    Свежий AVPTool в безопасном режиме удалил еще 5 файлов и вылечил 2

    Прежде чем продолжать, меня вот что смущает: сейчас компьютер в безопасном режиме без сетевых драйверов, соответственно, сети он не видит. После того, как я загружусь в нормальном режиме, сделаю диагностику и подключусь к сети для отправки логов, не выйдет ли так, что какие-то остатки вирусов в системе полезут в интернет за новыми зловредами?? Или я зря переживаю?
    Последний раз редактировалось kidd79; 06.02.2010 в 17:56. Причина: Добавлено

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Цитата Сообщение от kidd79 Посмотреть сообщение
    Свежий AVPTool в безопасном режиме удалил еще 5 файлов и вылечил 2
    Это Вы правильно сделали, что просканировали AVPTool.

    Цитата Сообщение от kidd79 Посмотреть сообщение
    Прежде чем продолжать, меня вот что смущает: сейчас компьютер в безопасном режиме без сетевых драйверов, соответственно, сети он не видит. После того, как я загружусь в нормальном режиме, сделаю диагностику и подключусь к сети для отправки логов, не выйдет ли так, что какие-то остатки вирусов в системе полезут в интернет за новыми зловредами?? Или я зря переживаю?
    Делайте логи, не переживайте. Только "не ходите по злачным местам"

  9. #8
    Junior Member Репутация
    Регистрация
    04.02.2010
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    26
    Логи прилагаю.
    Вложения Вложения

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Один остался, выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторить логи после перезагрузки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    04.02.2010
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    26
    Новые логи.
    Вложения Вложения

  12. #11

  13. #12
    Junior Member Репутация
    Регистрация
    04.02.2010
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    26
    Проблем не наблюдаю, просто страшно )))
    Спасибо большое за помощь!

    И еще вопрос (или надо отдельную тему заводить?): что делать с флешкой, с которой все началось?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Выполните скрипт
    Код:
    begin
     // Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     // Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
    end;
     
    begin
     DisableAutorun;
    end.
    Затем просканируйте флешку антивирусом.

  15. #14
    Junior Member Репутация
    Регистрация
    04.02.2010
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    26
    Спасибо большое!

    Первый ключ еще вчера добавил

    Но не очень понятно: это будет работать для всех учетных записей на данной машине, включая те, которые будут созданы позже?

    Добавлено через 2 часа 43 минуты

    Кажется, я поторопился с "проблем не наблюдаю"

    Под той учеткой, из-под которой проводилось лечение, все и правда в порядке. А вот под другой - есть проблема, не запускается Task Manager, говорит что-то в духе "Диспетчер задач отключен администратором". При этом еще раз проверившись в безопасном режиме свежим AVPTool'ом из под обеих учеток по очереди - ничего не нашел.
    Последний раз редактировалось kidd79; 08.02.2010 в 21:41. Причина: Уточнил текст ошибки

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    AVZ - Файл - Восст. системы., п.17 отметить и выполнить
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    04.02.2010
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    26
    Цитата Сообщение от PavelA Посмотреть сообщение
    AVZ - Файл - Восст. системы., п.17 отметить и выполнить
    Не помогло

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    397
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    Executerepair(6);
    Executerepair(11);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Отпишитесь

  19. #18
    Junior Member Репутация
    Регистрация
    04.02.2010
    Адрес
    Москва
    Сообщений
    9
    Вес репутации
    26
    Отлично, теперь ДЗ появился!
    Вроде бы, больше проблем не наблюдаю.

    Спасибо большое за помощь!

  • Уважаемый(ая) kidd79, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 24.06.2012, 11:04
    2. Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)
      От bolshoy kot в разделе Описания вредоносных программ
      Ответов: 6
      Последнее сообщение: 16.02.2010, 19:16
    3. Trojan.Winlock.179, Trojan.Click.42040
      От alpina в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 25.01.2010, 23:56
    4. Вирусные аналитики: Все о Trojan.Encoder и Trojan.Winlock
      От SDA в разделе Вредоносные программы
      Ответов: 0
      Последнее сообщение: 09.12.2009, 09:56
    5. Sempron 140 разблокирован
      От Kuzz в разделе Новости аппаратного обеспечения
      Ответов: 0
      Последнее сообщение: 13.08.2009, 17:15

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00719 seconds with 21 queries