Новый винлокер...

Printable View

27.05.2011, 15:20
Hamrad

Новый винлокер...

Здравствуйте!
Пишу по просьбе моего друга, т.к. он сам ничего не понимает в процедурах лечения компьютеров. Сам осмотреть "больного" не смогу...
Вчера, с его слов, во время игры(не он-лайн, "стационарная" игра; интерент в это время был подключен, но не использовался) вылезло, свернув последнюю, такое "чудо":
[URL=http://radikal.ru/F/s40.radikal.ru/i087/1105/a6/da67d19a6c8d.jpg.html][IMG]http://s40.radikal.ru/i087/1105/a6/da67d19a6c8dt.jpg[/IMG][/URL]
Знакомое всем продолжение ВинЛокерской тематики.
У него есть ещё нетбук, с которого я ему предложил зайти на сайты DrWeb и Касперского в поисках кода разблокировки. На первом - ничего, со второго ничего не подошло. При попытке загрузиться в Безопасном режиме - та же картинка на весь экран. С дрянью сделать ничего не получается - ни на что не реагирует. При этом стоявший на компьютере и постоянно обновлявшийся KAV2010 никак не отреагировал на такое дело...
Предложил ему провериться DrWeb LiveCD. Нашёл(товарищ, правда, не запомнил, где) несколько Exploit.JavaScript (по всей видимости, не обновлялась JAVA-платформа...)
После проверки/лечения и перезагрузки - та же самая картинка.
Соответственно, логи АВЗ, Хайджека и т.п. сделать не получается...
Посоветуйте пожалуйста, что можно сделать? Может быть, ERD использовать?..
В принципе, у него есть диск LiveDVD(от ЗверьДВД) и с него можно загрузиться. Попробовать сделать логи таким образом?
27.05.2011, 15:21
Info_bot

Welcome to VirusInfo. Enjoy your stay here...
27.05.2011, 17:16
Nikkollo

Логи AVZ под LiveCD или ERD Commander делать бесполезно.

1. Скачайте образ [B]ERD Commander[/B],подходящий для вашей системы, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - [B]erdregedit[/B]
3. Посмотрите в реестре:
[B]ветка[/B]
[code]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/code]
[B]параметр[/B]
[code]userinit[/code]
[B]параметр[/B]
[code]shell[/code]
[B]ветка[/B]
[CODE]HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows[/CODE]
[B]параметр[/B]
[CODE]AppInit_DLLs[/CODE]
Содержимое этих параметров напишите в своем сообщении.

Или используйте любой Win LiveCD.
Как работать с системным реестром, загрузившись с LiveCD:
[url]http://virusinfo.info/showthread.php?t=72176[/url]
27.05.2011, 20:59
Hamrad

[B]Nikkollo[/B], спасибо!
Передал товарищу - будет делать. Как сделает - отпишется мне, а я - сюда...
30.05.2011, 19:19
Hamrad

Доброго времени суток!
Вот содержимое указанных веток реестра:
[QUOTE]Userinit: C:\WINDOWS\system32\userinit.exe,C\Documents and Settings\Admin\Application Data\lsass.exe
Shell: C\Documents and Settings\Admin\Application Data\22CC6C32.exe
AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
[/QUOTE]
Да, как я и предполагал - подмена/заражение Юзеринит и Оболочки... В АппИнт_ДЛЛс - всё верно.
Каковы будут дальнейшие действия?... Взять Userinit.exe и Explorer.exe из дистрибутива?
30.05.2011, 21:01
Nikkollo

Отредактируйте эти параметры так:
[CODE]Userinit: C:\WINDOWS\system32\userinit.exe,

Shell: Explorer.exe[/CODE]

Отредактируйте расширения этих файлов на "bak" (без кавычек):
[CODE]C:\Documents and Settings\Admin\Application Data\lsass.exe
C:\Documents and Settings\Admin\Application Data\22CC6C32.exe[/CODE]

Попробуйте загрузить компьютер в нормальном режиме.
Если загрузится, заархивируйте вышеуказанные переименованные файлы в формате zip с паролем virus и загрузите архив по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте логи и приложите.
30.05.2011, 21:33
Hamrad

[B]Nikkollo[/B], Спасибо!
Т.е. Userinit.exe не заражён... Уже хорошо...
Строки в Userinit и Shell исправили, компьютер загрузился.
"Образцы" будут доставлены в ближайшее время, логи - тоже.
30.05.2011, 21:37
thyrex

[QUOTE='Hamrad;793433']Т.е. Userinit.exe не заражён[/QUOTE]Размер файла назовите
01.06.2011, 09:35
Hamrad

[B]thyrex[/B], размер файла: 26624 байт(на диске: 28672).
01.06.2011, 10:19
thyrex

Похоже чистый все-таки
01.06.2011, 18:45
Hamrad

Отправил архив с "образцом" [B]lsass.exe[/B] по красной ссылке в шапке темы:
[QUOTE]
Файл сохранён как 110601_144232_lsass_4de64fd8847f1.zip
Размер файла 139798
MD5 53d7a466740fab35ed2d1104c7b73489
[/QUOTE]

К сожалению, товарищ не смог отыскать файл [B]22CC6C32.exe[/B], как ни старался: ни просмотром папки с помощью FAR-Manager, ни с помощью Поиска в АВЗ.
Логи - в процессе.
02.06.2011, 10:47
thyrex

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
08.06.2011, 12:06
Hamrad

Доброго времени суток!
К сожалению, у друга были проблемы и только сегодня он предоставил мне все логи. Вот, пожалуйста, посмотрите:
Плюс ко всему - сбой при обновлении Касперского:пишет, что не может подключиться к серверу обновлений.
Пока сказал ему почистить hosts - весьма подозрительным он мне показался..
09.06.2011, 13:57
thyrex

Пофиксите в HiJack
[CODE]O1 - Hosts: 188.229.89.7 www.vkontakte.ru
O1 - Hosts: 188.229.89.7 www.vk.com
O1 - Hosts: 188.229.89.7 vkontakte.ru
O1 - Hosts: 188.229.89.7 vk.com
O1 - Hosts: 188.229.89.7 www.odnoklassniki.ru
O1 - Hosts: 188.229.89.7 odnoklassniki.ru[/CODE]

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные файлы:
c:\documents and settings\Admin\local settings\Temp\0.2640455939112959.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.738723417171596.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\B3.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\ms0cfg32.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache6146778252631502438.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache7300243875345741792.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache895131597553439941.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\59ECWR43\9220b5[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\S3QLDQA5\readme[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\all users\application data\22CC6C32.exe (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\all users\application data\jzo4kpkap55.exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\Opera\0.18100204736299852.exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\Opera\0.48552003699403556.exe (Spyware.Passwords.XGen) -> No action taken.[/code]
09.06.2011, 16:39
Hamrad

Файл hosts почищен "ручками" - в нём впридачу оказалось почти 10000 пустых строк...
А Касперский не обновлялся потому, что в том же файле была прописана строка что-то наподобие:
[QUOTE]127.0.0.1 update.kaspersky.com[/QUOTE]
Т.е. при попытке обновиться он шёл по левой ссылке. После очистки файла - всё нормализовалось: обновление пошло.
Новые логи в процессе.
10.06.2011, 19:59
Hamrad

Указанные объекты в MBAM удалены. Новые логи сделаны.

Кстати, в папке с Оперой был ещё один файл с "цифровым именем" и расширением .exe. MBAM его не пометил, как подозрительный. Тем не менее, файл был на всякий случай удалён вручную. Осталась его копия. Если надо - вышлю.
10.06.2011, 20:18
Nikkollo

Высылайте.

Выполните скрипт в AVZ:
[CODE]
begin
ExecuteWizard('TSW',2,2,true);
end.
[/CODE]

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Что с проблемами?
10.06.2011, 20:34
Hamrad

После того, как файл hosts был очищен от лишних записей, Касперский обновился и сразу же начал "кидаться" на файлы, указанные тов.[B]thyrex[/B] для удаления в MBAM. Дали ему "отыграться за прошлые обиды", после чего он был временно отключен и для верности прошлись MBAM. Ничего из того списка найдено уже не было. Сейчас товарищ с компьютером проблем вроде бы как не испытывает. Посоветовал ему обновить Java-платформу и проверить последние обновления с Windows Update, а также провести полную проверку компьютера установленным Касперским и в ближайшее время задуматься над сменой паролей на сайтах, которые он посещал.
Всем спасибо! :) Всем жму руки! :)

Лог syscheck в процессе.
11.06.2011, 00:20
Hamrad

Отправил по красной ссылке архив с теми "зверьками", что нашлись в папке с установленной Оперой. Два из них уже были продетектированы MBAM, плюс третий - тот самый, правда с подозрительно маленьким размером - 16 кБ:
[B]Файл сохранён как 110610_202316_Opera_4df27d34672fe.zip
Размер файла 278255
MD5 0fa0da36cd7fe870d24444e9bedad2be [/B]

Вот ещё лог Исследования Системы:
11.06.2011, 03:44
Nikkollo

По логу ничего интересного не обнаружил.
Что сейчас с проблемой?
11.06.2011, 21:36
Hamrad

проблем больше нет. Всем спасибо!:)
Тему можно закрывать.
12.06.2011, 21:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]