Решена Trojan.Winlock.2194

[IgNat]

Доброго времени суток!

Ноутбук Dell Inspirion 1501. Хозяин захотел посмотреть клубнички, в итоге (по его словам сразу после нажатия гиперссылки): "ВНИМАНИЕ!!!
Ваша операционная система заблокирована...
Пополнить счет абонента БИЛАЙН № 89646285015 по завершению оплаты, на выданном чеке оплаты, Вам будет выдан код разблокировки..."
Появляется до входа в систему, чёрный экран с сообщением:



На разблокировщик Dr.Web от Trojan. Winlock наиболее подходящий 3-ий скриншот Trojan.Winlock.2194. 19 кодов не подошли.
Удержание Shift не даёт результатов.

В Безопасный режим не войти - BSOD 0x0000007B:



Т.е. логи никакие представить не могу, как обучающийся сам бы их попытался проанализировать . В наличие есть только загрузка под LiveCD/WinPE. Под LiveCD была проведена проверка разделов C;D программами: AVZ, AVPTool, CureIt (с новой опцией Усиленный режим, ждал ~5 часов, не дождался) - вирусов нет.

Я сталкивался с СМС-вымогателями, но все они позволяли зайти в Безопасном режиме. Видятся варианты:
- очистка всех временных директорий;
- визуальный просмотр %SystemRoot%\System32 на предмет подозрительных файлов;
- загрузки/редактирование ветвей реестра.

Что можно сделать в данной ситуации? Может кто-то сталкивался с подобным зловредом и есть какой-то более рациональный алгоритм действий?

 

[Drongo]

Только такая последовательность

Под LiveCD

загрузки/редактирование ветвей реестра.

1. Скачайте образ ERD Commander на здоровом ПК(или любой другой LiveCD с возможностью правки реестра), запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Правильное значения для Userinit это

C:\WINDOWS\system32\userinit.exe,

 

[IgNat]

2. Пуск - Выполнить - erdregedit

- сразу позволяет работать с удалённым реестром или как обычно подгружать в реестр LiveCD?

 

[Drongo]

- сразу позволяет работать с удалённым реестром

Позволяет сразу работать с реестром.

 

[IgNat]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- ведёт на временные файлы интернета, самого файла vip_porno_90824(1).exe нет, как и папки в которой он якобы должен находиться. Исправил на Explorer.exe. Userinit в норме. Перезагружаемся или что-то ещё делаем под LiveCD?

Файл нашёл, оказалось две папки: Временные файлы Интернета и Temporary Internet Files. В первой папке кроме avi-файла есть _swfbanner[1].js, не есть ли это скрипт зловреда?

 

[Drongo]

Перезагружаемся

И делаем логи AVZ + RSIT

 

[akok]

А подозрительные файлы (если остались), отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

 

[IgNat]

RSIT

- так я его ещё не изучал Временные файлы не удаляем? Просто я хочу отправить найденное на: virusinfo и касперскому или куда там ещё надо

 

[akok]

IgNat, а что его изучать?

Как подготовить логи RSIT

 

[IgNat]

Утилита для своей работы использует программу HiJackThis. Если на компьютере пользователя не будет найдена программа HiJackThis, то она (утилита) предпримет попытку скачать HiJackThis самостоятельно.

- если папки RSIT и HiJackThis лежат рядом на флеш, то RSIT найдёт HiJackThis или лучше RSIT.EXE положить в папку HiJackThis? И насчёт временных файлов не подсказали - удаляем/не удаляем?

 

[akok]

IgNat, HJT должен быть установлен в системе, а не просто лежать в папке

Подготовка к диагностике

Очистите временные файлы.
Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:
скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Создайте новую контрольную точку восстановления и проведите очистку предыдущих (подробнее).
Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать....

Как бы в правилах все есть

 

[Drongo]

IgNat, В крайнем случае RSIT при установленом инет-соединении сама скачает HJT.

 

[IgNat]

Как бы в правилах все есть

- я спрашивал про удаление под LiveCD

 

[akok]

А я о действиях после запуска основной Оси.

 

[Drongo]

IgNat, Из-под LiveCD смысла делать логи нету.

 

[IgNat]

Из-под LiveCD смысла делать логи нету

Т.е. логи никакие представить не могу

Спрашивал не про логи, но про удаление:

И насчёт временных файлов не подсказали - удаляем/не удаляем?

- исходил из того, что после исправления ключа реестра под LiveCD и просто перезагрузки (без каких-либо дополнительных действий, в т.ч. удаления временных файлов, где собственно и находился avi-файл. Где мог находится ещё какой-нибудь для записи в реестре при загрузке и т.д. и т.п.) не пропишется ли зловред в реестре и история повторится, то бишь ПК не будет проходить WinLogon.

Но загрузка прошла . Сейчас сканирую.

 

[IgNat]

Доброго времени суток!

Вчера на конференцию из-за тех.проблем не зайти было. Выкладываю логи. Человек ч/з час уезжает, может кто-нибудь успеет посмотреть и привести рекомендации по остаточному лечению. Спасибо.

 

[akok]

Активного заражения не вижу.