Решена Trojan.Winlock.2194

Тема в разделе "Лечение компьютерных вирусов", создана пользователем IgNat, 6 авг 2010.

Статус темы:
Закрыта.
  1. IgNat
    Оффлайн

    IgNat Активный пользователь

    Сообщения:
    15
    Симпатии:
    2
    Доброго времени суток!

    Ноутбук Dell Inspirion 1501. Хозяин захотел посмотреть клубнички, в итоге (по его словам сразу после нажатия гиперссылки): "ВНИМАНИЕ!!!
    Ваша операционная система заблокирована...
    Пополнить счет абонента БИЛАЙН № 89646285015 по завершению оплаты, на выданном чеке оплаты, Вам будет выдан код разблокировки..."
    Появляется до входа в систему, чёрный экран с сообщением:

    [​IMG]

    На разблокировщик Dr.Web от Trojan. Winlock наиболее подходящий 3-ий скриншот Trojan.Winlock.2194. 19 кодов не подошли.
    Удержание Shift не даёт результатов.

    В Безопасный режим не войти - BSOD 0x0000007B:

    [​IMG]

    Т.е. логи никакие представить не могу, как обучающийся сам бы их попытался проанализировать :). В наличие есть только загрузка под LiveCD/WinPE. Под LiveCD была проведена проверка разделов C;D программами: AVZ, AVPTool, CureIt (с новой опцией Усиленный режим, ждал ~5 часов, не дождался) - вирусов нет.

    Я сталкивался с СМС-вымогателями, но все они позволяли зайти в Безопасном режиме. Видятся варианты:
    - очистка всех временных директорий;
    - визуальный просмотр %SystemRoot%\System32 на предмет подозрительных файлов;
    - загрузки/редактирование ветвей реестра.

    Что можно сделать в данной ситуации? Может кто-то сталкивался с подобным зловредом и есть какой-то более рациональный алгоритм действий?
     
    Последнее редактирование: 8 авг 2010
    2 пользователям это понравилось.
  2. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Только такая последовательность
    1. Скачайте образ ERD Commander на здоровом ПК(или любой другой LiveCD с возможностью правки реестра), запишите на болванку и загрузитесь с созданного диска
    2. Пуск - Выполнить - erdregedit
    3. Посмотрите в реестре:
    ветка

    Код (Text):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
    Правильное значения для Userinit это
    Код (Text):
    C:\WINDOWS\system32\userinit.exe,
     
    4 пользователям это понравилось.
  3. IgNat
    Оффлайн

    IgNat Активный пользователь

    Сообщения:
    15
    Симпатии:
    2
    - сразу позволяет работать с удалённым реестром или как обычно подгружать в реестр LiveCD?
     
  4. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    Позволяет сразу работать с реестром.
     
    4 пользователям это понравилось.
  5. IgNat
    Оффлайн

    IgNat Активный пользователь

    Сообщения:
    15
    Симпатии:
    2
    - ведёт на временные файлы интернета, самого файла vip_porno_90824(1).exe нет, как и папки в которой он якобы должен находиться. Исправил на Explorer.exe. Userinit в норме. Перезагружаемся или что-то ещё делаем под LiveCD?

    Файл нашёл, оказалось две папки: Временные файлы Интернета и Temporary Internet Files. В первой папке кроме avi-файла есть _swfbanner[1].js, не есть ли это скрипт зловреда?
     
    Последнее редактирование: 6 авг 2010
  6. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    И делаем логи AVZ + RSIT
     
    2 пользователям это понравилось.
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    А подозрительные файлы (если остались), отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
     
  8. IgNat
    Оффлайн

    IgNat Активный пользователь

    Сообщения:
    15
    Симпатии:
    2
    - так я его ещё не изучал ;) Временные файлы не удаляем? Просто я хочу отправить найденное на: virusinfo и касперскому или куда там ещё надо :)
     
    Последнее редактирование: 6 авг 2010
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    2 пользователям это понравилось.
  10. IgNat
    Оффлайн

    IgNat Активный пользователь

    Сообщения:
    15
    Симпатии:
    2
    - если папки RSIT и HiJackThis лежат рядом на флеш, то RSIT найдёт HiJackThis или лучше RSIT.EXE положить в папку HiJackThis? И насчёт временных файлов не подсказали - удаляем/не удаляем?
     
    Последнее редактирование: 6 авг 2010
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    IgNat, HJT должен быть установлен в системе, а не просто лежать в папке

    Как бы в правилах все есть :)
     
  12. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    IgNat, В крайнем случае RSIT при установленом инет-соединении сама скачает HJT.
     
    2 пользователям это понравилось.
  13. IgNat
    Оффлайн

    IgNat Активный пользователь

    Сообщения:
    15
    Симпатии:
    2
    - я спрашивал про удаление под LiveCD :)
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    А я о действиях после запуска основной Оси.
     
  15. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.905
    Симпатии:
    8.222
    IgNat, Из-под LiveCD смысла делать логи нету. :(
     
  16. IgNat
    Оффлайн

    IgNat Активный пользователь

    Сообщения:
    15
    Симпатии:
    2
    Спрашивал не про логи, но про удаление:
    - исходил из того, что после исправления ключа реестра под LiveCD и просто перезагрузки (без каких-либо дополнительных действий, в т.ч. удаления временных файлов, где собственно и находился avi-файл. Где мог находится ещё какой-нибудь для записи в реестре при загрузке и т.д. и т.п.) не пропишется ли зловред в реестре и история повторится, то бишь ПК не будет проходить WinLogon.

    Но загрузка прошла :). Сейчас сканирую.
     
  17. IgNat
    Оффлайн

    IgNat Активный пользователь

    Сообщения:
    15
    Симпатии:
    2
    Доброго времени суток!

    Вчера на конференцию из-за тех.проблем не зайти было. Выкладываю логи. Человек ч/з час уезжает, может кто-нибудь успеет посмотреть и привести рекомендации по остаточному лечению. Спасибо.
     

    Вложения:

    • info.txt
      Размер файла:
      16,4 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      46,2 КБ
      Просмотров:
      5
    • virusinfo_syscheck.zip
      Размер файла:
      36,7 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      36,7 КБ
      Просмотров:
      6
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Активного заражения не вижу.
     
    4 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей