Перейти к содержанию
Dmitr_M

Вирус требует отправить смс

Recommended Posts

Dmitr_M

940225.jpg

программы не запускаются, диспетчер задач тоже. Можно ли как нибудь от этого избавиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
...

программы не запускаются, диспетчер задач тоже. Можно ли как нибудь от этого избавиться?

Проверьте, пожалуйста, наблюдается ли такая картина, если загрузиться в Безопасном режиме (F8 при старте Windows)? Если нет, то сделайте, пожалуйста, лог программы HijackThis (кнопка Do a system scan and save a log file) и полученный лог прикрепите здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

в безопасном режиме тоже самое... :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
в безопасном режиме тоже самое... :(

Тогда имеет смысл загрузиться с LiveCD (того же Dr.Web Live CD) и просканировать им диски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

загрузился с Dr.Web Live CD. Дальше просто запускать сканнер и ждать? обновлять его не надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
загрузился с Dr.Web Live CD. Дальше просто запускать сканнер и ждать? обновлять его не надо?

Обновить базы и запустить сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

запустил сканирование без обновления, не могу понять как интернет настроить. Что то долго очень сканирует уже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
запустил сканирование без обновления, не могу понять как интернет настроить. Что то долго очень сканирует уже

Есть рез-ты сканирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

теперь виндоус не запускается... черный экран и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
теперь виндоус не запускается... черный экран и все

Лихо, однако!... :(

При сканировании Dr.Web LiveCD были ли обнаружены вредоносные объекты? Загружается ли компьютер в Безопасном режиме?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

При сканировании было что то обнаружено. Потом запустил виндоус, а там черный экран только с мышкой. В безопасном режиме тоже черный экран, только написано безопасный режим по бокам. Через LiveCD скопировал все, отформатировал жесткий диск и переустановил виндоус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
При сканировании было что то обнаружено. Потом запустил виндоус, а там черный экран только с мышкой. В безопасном режиме тоже черный экран, только написано безопасный режим по бокам. Через LiveCD скопировал все, отформатировал жесткий диск и переустановил виндоус.

Понятно. =/

Жаль, что не сохранились имена найденных объектов, можно было бы попробовать воспроизвести ситуацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Вчера несколько часов потратил на то, чтобы с одного заражённого компьютера dll добыть. Сейчас должны детектировать. Нашему сканеру запускаться даёт. А вот при попытке запустить многие утилиты, которые могут помочь в деле выковыривания этих сэмплов, они либо не запускались, либо компьютер отправлялся в шатдаун.

Вообще, особенностей много, это основная.

AVZ не запускается ни обычный, ни полиморфный. Hijackthis запускается переименованный, но если нажать кнопку, которая сканирует и показывает лог в Блокноте, то система после сканирования отправляется в шатдаун. Если провести только сканирование, можно видеть строчку типа такой:

O20: AppInit_DLLs: c:\Windows\system32\абракадабра.dll

Фиксить с помощью хайджека это не получается - при очередном сканировании видно, что прописывается новая dll (с новым сгенерированным именем).

Так что качайте свежий Dr.Web CureIt! и сканируйте. Там окно не на весь экран, а на тех полях, что остаются, вполне можно сканером рулить.

Правда, есть сведения, что CureIt! не запускается, я сам не пробовал. Пробовал обычный сканер, входящий в состав Dr.Web ES - работает.

Этот вчерашний геморрой аналитики добавили как Trojan.Winlock.514.

Был добавлен вчера около 17 вечера.

Если будет новая модификация, надеюсь, доступно объяснил, что делать.

Да, если у кого-то есть дроппер, выложите где-нить и дайте ссылку в личку. Ну, или дайте ссылку на страницу, откуда раздаётся. Если пострадавших много, может, кто-нибудь вспомнит, после какого сайта начало появляться окно. Спасибо.

P.S. Пострадавших на самом деле приличное количество:

http://search.otvet.mail.ru/?q=ubest+netspeed+pro

При сканировании было что то обнаружено.

Да, кстати. Припоминаю, что перед тем как заниматься этим компьютером, приходили сообщения от ES-сервера, что спайдер на этом компьютере находил куски этого винлокера. Но это ситуацию не спасало на тот момент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
O20: AppInit_DLLs: c:\Windows\system32\абракадабра.dll

А если прописать LoadAppInit_DLLs=0?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А если прописать LoadAppInit_DLLs=0?

Не знаю такого слова в этой букве. Где и как прописывается?

Кстати, в активном состоянии этой бяки Редактор реестра и Диспетчер задач блокируются.

Правда, можно создать reg-файл, конечно.

Если бяка не мониторит соответствующий ключ реестра (а может вполне), то может и сработать.

Ещё создаются временно exe-шники типа таких:

O4 - HKLM\..\Run: [708AF5] C:\WINDOWS\system32\CDB8A6\708AF5.EXE

(когда с LiveCD по dll-ки загрузился, папка CDB8A6 оказалась пустой).

upd. Нагуглил, где прописывается, вместе с другой интересной инфой:

For security reasons, Windows Vista does not support AppInit_DLLs, which is a registry key that specified a DLL to load into every process (a popular feature with spyware writers). The complete key is HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Instead, there’s a new key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs, which can only be set by administrator-level applications.

Правильно ли понял, что ключ LoadAppInit_DLLs появился только в Windows Vista?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Дроппер тоже нашёлся. Добавлен под тем же именем - Trojan.Winlock.514. Всем спасибо, все свободы. И берегите себя :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Есть линки с вирустотал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Есть линки с вирустотал?

Линки не сохраняю. Только в текстовике детект.

Файл bqag.dll получен 2009.12.02 12:56:05 (UTC)Результат: 7/40 (17.5%)Антивирус	 Версия	 Обновление	 Результатa-squared	4.5.0.43	2009.12.02	-AhnLab-V3	5.0.0.2	2009.12.02	-AntiVir	7.9.1.92	2009.12.02	-Antiy-AVL	2.0.3.7	2009.12.02	-Authentium	5.2.0.5	2009.12.02	-Avast	4.8.1351.0	2009.12.02	-AVG	8.5.0.426	2009.12.02	-BitDefender	7.2	2009.12.02	-CAT-QuickHeal	10.00	2009.12.02	-ClamAV	0.94.1	2009.12.02	-Comodo	3103	2009.12.01	Heur.Packed.UnknownDrWeb	5.0.0.12182	2009.12.02	-eSafe	7.0.17.0	2009.12.01	-eTrust-Vet	35.1.7152	2009.12.02	-F-Prot	4.5.1.85	2009.12.01	-F-Secure	9.0.15370.0	2009.11.29	-Fortinet	4.0.14.0	2009.12.02	-GData	19	2009.12.02	-Ikarus	T3.1.1.74.0	2009.12.02	-K7AntiVirus	7.10.906	2009.11.27	-Kaspersky	7.0.0.125	2009.12.02	-McAfee	5819	2009.12.01	-McAfee+Artemis	5819	2009.12.01	Artemis!4247DC236926McAfee-GW-Edition	6.8.5	2009.12.02	-Microsoft	1.5302	2009.12.02	-NOD32	4654	2009.12.02	-Norman	6.03.02	2009.12.02	-nProtect	2009.1.8.0	2009.12.02	-Panda	10.0.2.2	2009.12.02	-PCTools	7.0.3.5	2009.12.02	HeurEngine.MaliciousPackerPrevx	3.0	2009.12.02	Medium Risk MalwareRising	22.24.02.09	2009.12.02	-Sophos	4.48.0	2009.12.02	Sus/UnkPack-CSunbelt	3.2.1858.2	2009.12.02	Trojan.Win32.Bredolab.Gen.1 (v)Symantec	1.4.4.12	2009.12.02	Packed.Generic.269TheHacker	6.5.0.2.083	2009.12.01	-TrendMicro	9.100.0.1001	2009.12.02	-VBA32	3.12.12.0	2009.12.02	-ViRobot	2009.12.2.2068	2009.12.02	-VirusBuster	5.0.21.0	2009.12.01	-Дополнительная информацияFile size: 88608 bytesMD5...: 4247dc236926bdeac95ba9c33c3878b9SHA1..: 958d5e2ab998325fd75a1caaa15ebbc74f0704b8SHA256: 655e03ec7563a908d1e3364f803a6b7b6bbc00740e6aa6029a8f21c14c88f001
Файл mrgn3vzpxmpl.exe получен 2009.12.03 07:51:16 (UTC)Результат: 9/41 (21.96%)Антивирус	 Версия	 Обновление	 Результатa-squared	4.5.0.43	2009.12.03	-AhnLab-V3	5.0.0.2	2009.12.03	-AntiVir	7.9.1.92	2009.12.02	-Antiy-AVL	2.0.3.7	2009.12.03	-Authentium	5.2.0.5	2009.12.02	-Avast	4.8.1351.0	2009.12.03	-AVG	8.5.0.426	2009.12.02	SHeur2.BWFEBitDefender	7.2	2009.12.03	-CAT-QuickHeal	10.00	2009.12.03	(Suspicious) - DNAScanClamAV	0.94.1	2009.12.03	-Comodo	3103	2009.12.01	Heur.Packed.UnknownDrWeb	5.0.0.12182	2009.12.03	-eSafe	7.0.17.0	2009.12.02	-eTrust-Vet	35.1.7154	2009.12.03	Win32/Bredolab!genericF-Prot	4.5.1.85	2009.12.02	-F-Secure	9.0.15370.0	2009.12.03	Suspicious:W32/Malware!GeminiFortinet	4.0.14.0	2009.12.03	-GData	19	2009.12.03	-Ikarus	T3.1.1.74.0	2009.12.03	-Jiangmin	13.0.900	2009.12.02	-K7AntiVirus	7.10.910	2009.12.02	-Kaspersky	7.0.0.125	2009.12.03	Trojan.Win32.Obfuscated.aiunMcAfee	5819	2009.12.01	-McAfee+Artemis	5819	2009.12.01	Artemis!180E312FC93AMcAfee-GW-Edition	6.8.5	2009.12.03	-Microsoft	1.5302	2009.12.03	-NOD32	4656	2009.12.02	-Norman	6.03.02	2009.12.02	-nProtect	2009.1.8.0	2009.12.03	-Panda	10.0.2.2	2009.12.03	-PCTools	7.0.3.5	2009.12.03	-Prevx	3.0	2009.12.03	Medium Risk MalwareRising	22.24.03.03	2009.12.03	-Sophos	4.48.0	2009.12.03	Sus/UnkPack-CSunbelt	3.2.1858.2	2009.12.03	-Symantec	1.4.4.12	2009.12.03	-TheHacker	6.5.0.2.083	2009.12.01	-TrendMicro	9.100.0.1001	2009.12.03	-VBA32	3.12.12.0	2009.12.03	-ViRobot	2009.12.3.2069	2009.12.03	-VirusBuster	5.0.21.0	2009.12.02	-Дополнительная информацияFile size: 131584 bytesMD5...: 180e312fc93aacbea6bf9bf82ec12f0aSHA1..: fbd8fd550bf7bad4e7712ca70f9f3764a24113e6SHA256: 1b0030e3e170da78263ba0f06c5fedc3c06208af968ca7d86d935492386ab7ce

Это на момент, когда я обнаружил dll и, соответственно, дроппер.

К сожалению, по отзывам пользователей, данный винлокер ставился по крайней мере при активном КАВ/КИС, Dr.Web и NOD32.

По поводу последнего как раз повод задуматься, так ли спасает проактивка и так ли не нужно организовывать лечение.

Для таких вредоносных программ, как Trojan.Winlock в последнее время это может требоваться достаточно часто.

Как видим, эвристики сработали только на пакер.

Если б оно было незапакованное или запакованное новым типом пакера, то не было бы даже такого детекта.

Эвристик на такие программы настраивать весьма сложно, насколько понимаю.

На мой взгляд, здесь очень тонкая грань между винлокерами и легальными программами.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
upd. Нагуглил, где прописывается, вместе с другой интересной инфой:

Правильно ли понял, что ключ LoadAppInit_DLLs появился только в Windows Vista?

Неправильно. Это связка. В 7&2008R2 добавился ещё RequireSignedAppInit_DLLs.

LoadAppInit_DLLs (REG_DWORD) globally enables or disables AppInit_DLLs.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

dr_dizel, понятно, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
К сожалению, по отзывам пользователей, данный винлокер ставился по крайней мере при активном КАВ/КИС, Dr.Web и NOD32.

По поводу последнего как раз повод задуматься, так ли спасает проактивка и так ли не нужно организовывать лечение.

Для таких вредоносных программ, как Trojan.Winlock в последнее время это может требоваться достаточно часто.

Как видим, эвристики сработали только на пакер.

Если б оно было незапакованное или запакованное новым типом пакера, то не было бы даже такого детекта.

Эвристик на такие программы настраивать весьма сложно, насколько понимаю.

На мой взгляд, здесь очень тонкая грань между винлокерами и легальными программами.

Дак отправте в техподержку Исета и этим вы многим поможете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Дак отправте в техподержку Исета и этим вы многим поможете.

Кого куда отправить? Отправьте пострадавших пользователей НОДа в техподдержку НОДа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Кого куда отправить? Отправьте пострадавших пользователей НОДа в техподдержку НОДа.

Чтобы Исет детектил этот троян.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Чтобы Исет детектил этот троян.

MD5 я выложил. Думаю, несложно будет сэмплы найти. Кстати, virustotal.com вроде бы уже не спрашивая рассылает сэмплы вендорам, не так ли? Если честно, у меня не хватит времени, чтобы устраивать мир во всём мире. Пострадавших много, сэмплы без труда можно найти. Вендоров тоже много.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Правда, есть сведения, что CureIt! не запускается, я сам не пробовал.

не запускается, факт!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Curtismab
      Неотразимые мягкие места в уборной выставляют дивчины https://devkis.net на развратных фотках
    • Dmitrius
      БигПикча новости в фотографиях Бигпикча – это уникальный портал, который предлагает ознакомиться с самыми интересными и увлекательными новостями. Они понравятся каждому, кто всегда желает держать руку на пульсе и быть в курсе последних новостей, событий в мире. Этот портал уникален тем, что все материалы сопровождаются красочной фотографией для наглядности. Сайт приковывает к себе внимание с самых первых минут. Его хочется постоянно рассматривать, наслаждаться интересной подачей материала. Над его созданием трудились лучшие авторы, настоящие эксперты в своем деле, которые преподносят информацию таким образом, чтобы она понравилась людям любого возраста и независимо от социального положения. На bigpicture.ru только интересные, яркие новости на самые злободневные темы, а потому вы обязательно найдете что-то стоящее для себя. Есть любопытные статьи про животных, людей, еду, оригинальные вещи. Имеются факты, а также топы, которые интересно пересматривать вновь. Администрация сайта регулярно выкладывает статьи, которые помогут взглянуть на привычные вещи под другим углом. Если и вы хотите развлечься после трудового дня или в выходной, то скорей заходите на этот сайт, который знает, что вам предложить, чтобы разнообразить досуг и сделать его ярким, насыщенным. Авторы умеют удивлять, поэтому при составлении контента учитываются интересы всех читателей. Рассматриваются факты, о которых раньше вы даже не догадывались. Они прольют свет на многие вопросы. Новости в фотографиях, увлекательные путешествия, истории, лонгриды и многое другое представлено на этом сайте. Добавляйте его в закладки, чтобы не потерять, ведь этот портал является пищей для мозга, возможностью расширить свое сознание и повысить уровень интеллекта. Ищите любимый сайт в социальных сетях.
    • Curtismab
      Офигенные соски в усадьбе показывают глупышки https://devkis.net на эро фотокарточках
    • Dmitrius
      Арбитражный управляющий Каждый может оказаться в такой ситуации, когда требуется профессиональная и своевременная поддержка юриста. Если и вы вынуждены стать банкротом и оформить это по закону, то необходимо обратиться за такой услугой в центр банкротства. В компании работают квалифицированные специалисты с большим опытом, а в их багаже большое количество успешно завершенных дел. Именно поэтому вы сможете надеяться на отличный результат. Важно учесть тот момент, что специалисты детально изучают вопрос для того, чтобы подробно рассмотреть вопрос, после чего выявить возможности благоприятного результата. Списать долги Волгоград (Списание кредитов) получится по закону. Нет необходимости в том, чтобы переживать за процесс. Так специалисту удастся списать те долги, которые вы не в силах выплатить. Увы, но этот процесс может занять несколько месяцев, к тому же он не бесплатный. Банкротство физических лиц в Волгограде ведет компетентный сотрудник – он добросовестно и ответственно подойдет к решению вопроса. Он будет защищать интересы клиента, руководствуясь Конституцией. Юрист по банкротству займется оформлением документов и заявления, подготовит все факты в пользу того, чтобы объявить вас неплатежеспособным. Опыт сотрудников позволяет браться за дела различной сложности. Арбитражный управляющий Волгоград поможет вам избавиться от долгов. Что касается расценок, то на них влияют самые разные факторы, включая расходы на законодательном уровне. Подписывается договор на указание услуг – в нем указываются обязанности каждой стороны, набор услуг. Юрист рассмотрит все аспекты вашего дела. Важным моментом является то, что все ваши долги будут списаны в полном объеме при положительном исходе дела. Специалист использует все ресурсы, которые потребуются для того, чтобы получить положительный результат.
    • Dmitrius
      Септик в Москве и Московской области Компания долгое время и на выгодных условиях оказывает услуги, связанные со строительством автономной канализации в Москве и области. Если Вам необходима выгребная яма – ознакомьтесь с интересующей информацией на официальном портале. Автономная канализация, организованная на дачном участке, положительно влияет на уровень комфорта. Несмотря на то, планируется ли круглый год проживать на участке или только летом, вы почувствуете удобство. Цену на ее установку вы сможете узнать на сайте. Компания длительное время работает в данной сфере, а потому предлагает только выгодные условия, доступные цены, а сами работы выполняются быстро, аккуратно и в наиболее комфортное время. Она наладила сотрудничество с проверенными и надежными поставщиками оборудования. Специалисты создадут высокотехнологичную и работающую систему под ключ. В работе используются только надежные, качественные материалы, выполняются технологические условия. Если говорить о ценах, то они остаются на среднем уровне, а потому воспользоваться услугой смогут все, кто хочет. Кольцевой накопитель отлично подходит для сбора сточных вод при условии, что в доме на постоянной основе проживают до 7 человек. Все работы будут выполнены в минимальные сроки и тогда, когда это удобно именно вам. С собой будут все необходимые инструменты, а также материалы. Сотрудники осуществят установку и выполнят все нужные работы. При появлении вопросов задайте их сотрудникам, которые все пояснят, а также определят общую стоимость работ. Специалисты выполнят все необходимые работы, несмотря на время года. Отсутствуют дополнительные наценки, переплаты, только прозрачные условия сотрудничества.
×