Решена Trojan.Winlock.2194

Статус
В этой теме нельзя размещать новые ответы.

IgNat

Новый пользователь
Сообщения
15
Реакции
1
Доброго времени суток!

Ноутбук Dell Inspirion 1501. Хозяин захотел посмотреть клубнички, в итоге (по его словам сразу после нажатия гиперссылки): "ВНИМАНИЕ!!!
Ваша операционная система заблокирована...
Пополнить счет абонента БИЛАЙН № 89646285015 по завершению оплаты, на выданном чеке оплаты, Вам будет выдан код разблокировки..."
Появляется до входа в систему, чёрный экран с сообщением:



На разблокировщик Dr.Web от Trojan. Winlock наиболее подходящий 3-ий скриншот Trojan.Winlock.2194. 19 кодов не подошли.
Удержание Shift не даёт результатов.

В Безопасный режим не войти - BSOD 0x0000007B:



Т.е. логи никакие представить не могу, как обучающийся сам бы их попытался проанализировать :). В наличие есть только загрузка под LiveCD/WinPE. Под LiveCD была проведена проверка разделов C;D программами: AVZ, AVPTool, CureIt (с новой опцией Усиленный режим, ждал ~5 часов, не дождался) - вирусов нет.

Я сталкивался с СМС-вымогателями, но все они позволяли зайти в Безопасном режиме. Видятся варианты:
- очистка всех временных директорий;
- визуальный просмотр %SystemRoot%\System32 на предмет подозрительных файлов;
- загрузки/редактирование ветвей реестра.

Что можно сделать в данной ситуации? Может кто-то сталкивался с подобным зловредом и есть какой-то более рациональный алгоритм действий?
 
Последнее редактирование:
Только такая последовательность
загрузки/редактирование ветвей реестра.
1. Скачайте образ ERD Commander на здоровом ПК(или любой другой LiveCD с возможностью правки реестра), запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:
ветка

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.
Правильное значения для Userinit это
Код:
C:\WINDOWS\system32\userinit.exe,
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- ведёт на временные файлы интернета, самого файла vip_porno_90824(1).exe нет, как и папки в которой он якобы должен находиться. Исправил на Explorer.exe. Userinit в норме. Перезагружаемся или что-то ещё делаем под LiveCD?

Файл нашёл, оказалось две папки: Временные файлы Интернета и Temporary Internet Files. В первой папке кроме avi-файла есть _swfbanner[1].js, не есть ли это скрипт зловреда?
 
Последнее редактирование:
А подозрительные файлы (если остались), отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
 
Утилита для своей работы использует программу HiJackThis. Если на компьютере пользователя не будет найдена программа HiJackThis, то она (утилита) предпримет попытку скачать HiJackThis самостоятельно.
- если папки RSIT и HiJackThis лежат рядом на флеш, то RSIT найдёт HiJackThis или лучше RSIT.EXE положить в папку HiJackThis? И насчёт временных файлов не подсказали - удаляем/не удаляем?
 
Последнее редактирование:
IgNat, HJT должен быть установлен в системе, а не просто лежать в папке

Подготовка к диагностике

Очистите временные файлы.
Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:
скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Создайте новую контрольную точку восстановления и проведите очистку предыдущих (подробнее).
Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать....

Как бы в правилах все есть :)
 
IgNat, В крайнем случае RSIT при установленом инет-соединении сама скачает HJT.
 
А я о действиях после запуска основной Оси.
 
IgNat, Из-под LiveCD смысла делать логи нету. :(
 
Из-под LiveCD смысла делать логи нету
Т.е. логи никакие представить не могу
Спрашивал не про логи, но про удаление:
И насчёт временных файлов не подсказали - удаляем/не удаляем?
- исходил из того, что после исправления ключа реестра под LiveCD и просто перезагрузки (без каких-либо дополнительных действий, в т.ч. удаления временных файлов, где собственно и находился avi-файл. Где мог находится ещё какой-нибудь для записи в реестре при загрузке и т.д. и т.п.) не пропишется ли зловред в реестре и история повторится, то бишь ПК не будет проходить WinLogon.

Но загрузка прошла :). Сейчас сканирую.
 
Доброго времени суток!

Вчера на конференцию из-за тех.проблем не зайти было. Выкладываю логи. Человек ч/з час уезжает, может кто-нибудь успеет посмотреть и привести рекомендации по остаточному лечению. Спасибо.
 

Вложения

  • info.txt
    16.4 KB · Просмотры: 0
  • log.txt
    46.2 KB · Просмотры: 5
  • virusinfo_syscheck.zip
    36.7 KB · Просмотры: 0
  • virusinfo_syscure.zip
    36.7 KB · Просмотры: 6
Активного заражения не вижу.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу