Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Новый винлокер... (заявка № 102734)

  1. #1
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32

    Exclamation Новый винлокер...

    Здравствуйте!
    Пишу по просьбе моего друга, т.к. он сам ничего не понимает в процедурах лечения компьютеров. Сам осмотреть "больного" не смогу...
    Вчера, с его слов, во время игры(не он-лайн, "стационарная" игра; интерент в это время был подключен, но не использовался) вылезло, свернув последнюю, такое "чудо":

    Знакомое всем продолжение ВинЛокерской тематики.
    У него есть ещё нетбук, с которого я ему предложил зайти на сайты DrWeb и Касперского в поисках кода разблокировки. На первом - ничего, со второго ничего не подошло. При попытке загрузиться в Безопасном режиме - та же картинка на весь экран. С дрянью сделать ничего не получается - ни на что не реагирует. При этом стоявший на компьютере и постоянно обновлявшийся KAV2010 никак не отреагировал на такое дело...
    Предложил ему провериться DrWeb LiveCD. Нашёл(товарищ, правда, не запомнил, где) несколько Exploit.JavaScript (по всей видимости, не обновлялась JAVA-платформа...)
    После проверки/лечения и перезагрузки - та же самая картинка.
    Соответственно, логи АВЗ, Хайджека и т.п. сделать не получается...
    Посоветуйте пожалуйста, что можно сделать? Может быть, ERD использовать?..
    В принципе, у него есть диск LiveDVD(от ЗверьДВД) и с него можно загрузиться. Попробовать сделать логи таким образом?
    Последний раз редактировалось Hamrad; 27.05.2011 в 14:32.
    Best regards & 73!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Welcome to VirusInfo. Enjoy your stay here...

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Логи AVZ под LiveCD или ERD Commander делать бесполезно.

    1. Скачайте образ ERD Commander,подходящий для вашей системы, запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    3. Посмотрите в реестре:
    ветка
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр
    Код:
    userinit
    параметр
    Код:
    shell
    ветка
    Код:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
    параметр
    Код:
    AppInit_DLLs
    Содержимое этих параметров напишите в своем сообщении.

    Или используйте любой Win LiveCD.
    Как работать с системным реестром, загрузившись с LiveCD:
    http://virusinfo.info/showthread.php?t=72176
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Nikkollo, спасибо!
    Передал товарищу - будет делать. Как сделает - отпишется мне, а я - сюда...
    Best regards & 73!

  6. #5
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Доброго времени суток!
    Вот содержимое указанных веток реестра:
    Userinit: C:\WINDOWS\system32\userinit.exe,C\Documents and Settings\Admin\Application Data\lsass.exe
    Shell: C\Documents and Settings\Admin\Application Data\22CC6C32.exe
    AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
    Да, как я и предполагал - подмена/заражение Юзеринит и Оболочки... В АппИнт_ДЛЛс - всё верно.
    Каковы будут дальнейшие действия?... Взять Userinit.exe и Explorer.exe из дистрибутива?
    Best regards & 73!

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Отредактируйте эти параметры так:
    Код:
    Userinit: C:\WINDOWS\system32\userinit.exe,
    
    Shell: Explorer.exe
    Отредактируйте расширения этих файлов на "bak" (без кавычек):
    Код:
    C:\Documents and Settings\Admin\Application Data\lsass.exe
    C:\Documents and Settings\Admin\Application Data\22CC6C32.exe
    Попробуйте загрузить компьютер в нормальном режиме.
    Если загрузится, заархивируйте вышеуказанные переименованные файлы в формате zip с паролем virus и загрузите архив по красной ссылке вверху темы "Прислать запрошенный карантин".

    Сделайте логи и приложите.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #7
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Nikkollo, Спасибо!
    Т.е. Userinit.exe не заражён... Уже хорошо...
    Строки в Userinit и Shell исправили, компьютер загрузился.
    "Образцы" будут доставлены в ближайшее время, логи - тоже.
    Best regards & 73!

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Цитата Сообщение от Hamrad Посмотреть сообщение
    Т.е. Userinit.exe не заражён
    Размер файла назовите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    thyrex, размер файла: 26624 байт(на диске: 28672).
    Best regards & 73!

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Похоже чистый все-таки
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Отправил архив с "образцом" lsass.exe по красной ссылке в шапке темы:
    Файл сохранён как 110601_144232_lsass_4de64fd8847f1.zip
    Размер файла 139798
    MD5 53d7a466740fab35ed2d1104c7b73489
    К сожалению, товарищ не смог отыскать файл 22CC6C32.exe, как ни старался: ни просмотром папки с помощью FAR-Manager, ни с помощью Поиска в АВЗ.
    Логи - в процессе.
    Best regards & 73!

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Доброго времени суток!
    К сожалению, у друга были проблемы и только сегодня он предоставил мне все логи. Вот, пожалуйста, посмотрите:
    Плюс ко всему - сбой при обновлении Касперского:пишет, что не может подключиться к серверу обновлений.
    Пока сказал ему почистить hosts - весьма подозрительным он мне показался..
    Best regards & 73!

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,383
    Вес репутации
    3019
    Пофиксите в HiJack
    Код:
    O1 - Hosts: 188.229.89.7 www.vkontakte.ru
    O1 - Hosts: 188.229.89.7 www.vk.com
    O1 - Hosts: 188.229.89.7 vkontakte.ru
    O1 - Hosts: 188.229.89.7 vk.com
    O1 - Hosts: 188.229.89.7 www.odnoklassniki.ru
    O1 - Hosts: 188.229.89.7 odnoklassniki.ru
    Удалите в МВАМ только указанные строки
    Код:
    Зараженные файлы:
    c:\documents and settings\Admin\local settings\Temp\0.2640455939112959.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\Temp\0.738723417171596.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\Temp\B3.tmp (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\Temp\ms0cfg32.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\Temp\jar_cache6146778252631502438.tmp (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\Temp\jar_cache7300243875345741792.tmp (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\Temp\jar_cache895131597553439941.tmp (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\59ECWR43\9220b5[1].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\S3QLDQA5\readme[1].exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\all users\application data\22CC6C32.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\documents and settings\all users\application data\jzo4kpkap55.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\program files\Opera\0.18100204736299852.exe (Spyware.Passwords.XGen) -> No action taken.
    c:\program files\Opera\0.48552003699403556.exe (Spyware.Passwords.XGen) -> No action taken.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Файл hosts почищен "ручками" - в нём впридачу оказалось почти 10000 пустых строк...
    А Касперский не обновлялся потому, что в том же файле была прописана строка что-то наподобие:
    127.0.0.1 update.kaspersky.com
    Т.е. при попытке обновиться он шёл по левой ссылке. После очистки файла - всё нормализовалось: обновление пошло.
    Новые логи в процессе.
    Best regards & 73!

  17. #16
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Указанные объекты в MBAM удалены. Новые логи сделаны.

    Кстати, в папке с Оперой был ещё один файл с "цифровым именем" и расширением .exe. MBAM его не пометил, как подозрительный. Тем не менее, файл был на всякий случай удалён вручную. Осталась его копия. Если надо - вышлю.
    Best regards & 73!

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    Высылайте.

    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteWizard('TSW',2,2,true);
    end.
    Повторите лог virusinfo_syscheck.zip и приложите в теме.

    Что с проблемами?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  19. #18
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    После того, как файл hosts был очищен от лишних записей, Касперский обновился и сразу же начал "кидаться" на файлы, указанные тов.thyrex для удаления в MBAM. Дали ему "отыграться за прошлые обиды", после чего он был временно отключен и для верности прошлись MBAM. Ничего из того списка найдено уже не было. Сейчас товарищ с компьютером проблем вроде бы как не испытывает. Посоветовал ему обновить Java-платформу и проверить последние обновления с Windows Update, а также провести полную проверку компьютера установленным Касперским и в ближайшее время задуматься над сменой паролей на сайтах, которые он посещал.
    Всем спасибо! Всем жму руки!

    Лог syscheck в процессе.
    Последний раз редактировалось Hamrad; 10.06.2011 в 19:47.
    Best regards & 73!

  20. #19
    Junior Member Репутация
    Регистрация
    14.06.2009
    Адрес
    Нижний Новгород
    Сообщений
    142
    Вес репутации
    32
    Отправил по красной ссылке архив с теми "зверьками", что нашлись в папке с установленной Оперой. Два из них уже были продетектированы MBAM, плюс третий - тот самый, правда с подозрительно маленьким размером - 16 кБ:
    Файл сохранён как 110610_202316_Opera_4df27d34672fe.zip
    Размер файла 278255
    MD5 0fa0da36cd7fe870d24444e9bedad2be


    Вот ещё лог Исследования Системы:
    Последний раз редактировалось Hamrad; 10.06.2011 в 23:25.
    Best regards & 73!

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    430
    По логу ничего интересного не обнаружил.
    Что сейчас с проблемой?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  • Уважаемый(ая) Hamrad, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. винлокер
      От Александр Нечаев в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.06.2012, 21:56
    2. Винлокер
      От Ampir в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 12.10.2011, 23:25
    3. Новый ВинЛокер.
      От wintah в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.06.2010, 13:31
    4. Новый винлокер (заявка №21760)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 06.06.2010, 05:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00501 seconds with 16 queries