Dmitr_M

Вирус требует отправить смс

В этой теме 32 сообщений

940225.jpg

программы не запускаются, диспетчер задач тоже. Можно ли как нибудь от этого избавиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
...

программы не запускаются, диспетчер задач тоже. Можно ли как нибудь от этого избавиться?

Проверьте, пожалуйста, наблюдается ли такая картина, если загрузиться в Безопасном режиме (F8 при старте Windows)? Если нет, то сделайте, пожалуйста, лог программы HijackThis (кнопка Do a system scan and save a log file) и полученный лог прикрепите здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
в безопасном режиме тоже самое... :(

Тогда имеет смысл загрузиться с LiveCD (того же Dr.Web Live CD) и просканировать им диски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

загрузился с Dr.Web Live CD. Дальше просто запускать сканнер и ждать? обновлять его не надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
загрузился с Dr.Web Live CD. Дальше просто запускать сканнер и ждать? обновлять его не надо?

Обновить базы и запустить сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

запустил сканирование без обновления, не могу понять как интернет настроить. Что то долго очень сканирует уже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
запустил сканирование без обновления, не могу понять как интернет настроить. Что то долго очень сканирует уже

Есть рез-ты сканирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

теперь виндоус не запускается... черный экран и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
теперь виндоус не запускается... черный экран и все

Лихо, однако!... :(

При сканировании Dr.Web LiveCD были ли обнаружены вредоносные объекты? Загружается ли компьютер в Безопасном режиме?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При сканировании было что то обнаружено. Потом запустил виндоус, а там черный экран только с мышкой. В безопасном режиме тоже черный экран, только написано безопасный режим по бокам. Через LiveCD скопировал все, отформатировал жесткий диск и переустановил виндоус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
При сканировании было что то обнаружено. Потом запустил виндоус, а там черный экран только с мышкой. В безопасном режиме тоже черный экран, только написано безопасный режим по бокам. Через LiveCD скопировал все, отформатировал жесткий диск и переустановил виндоус.

Понятно. =/

Жаль, что не сохранились имена найденных объектов, можно было бы попробовать воспроизвести ситуацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вчера несколько часов потратил на то, чтобы с одного заражённого компьютера dll добыть. Сейчас должны детектировать. Нашему сканеру запускаться даёт. А вот при попытке запустить многие утилиты, которые могут помочь в деле выковыривания этих сэмплов, они либо не запускались, либо компьютер отправлялся в шатдаун.

Вообще, особенностей много, это основная.

AVZ не запускается ни обычный, ни полиморфный. Hijackthis запускается переименованный, но если нажать кнопку, которая сканирует и показывает лог в Блокноте, то система после сканирования отправляется в шатдаун. Если провести только сканирование, можно видеть строчку типа такой:

O20: AppInit_DLLs: c:\Windows\system32\абракадабра.dll

Фиксить с помощью хайджека это не получается - при очередном сканировании видно, что прописывается новая dll (с новым сгенерированным именем).

Так что качайте свежий Dr.Web CureIt! и сканируйте. Там окно не на весь экран, а на тех полях, что остаются, вполне можно сканером рулить.

Правда, есть сведения, что CureIt! не запускается, я сам не пробовал. Пробовал обычный сканер, входящий в состав Dr.Web ES - работает.

Этот вчерашний геморрой аналитики добавили как Trojan.Winlock.514.

Был добавлен вчера около 17 вечера.

Если будет новая модификация, надеюсь, доступно объяснил, что делать.

Да, если у кого-то есть дроппер, выложите где-нить и дайте ссылку в личку. Ну, или дайте ссылку на страницу, откуда раздаётся. Если пострадавших много, может, кто-нибудь вспомнит, после какого сайта начало появляться окно. Спасибо.

P.S. Пострадавших на самом деле приличное количество:

http://search.otvet.mail.ru/?q=ubest+netspeed+pro

При сканировании было что то обнаружено.

Да, кстати. Припоминаю, что перед тем как заниматься этим компьютером, приходили сообщения от ES-сервера, что спайдер на этом компьютере находил куски этого винлокера. Но это ситуацию не спасало на тот момент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
O20: AppInit_DLLs: c:\Windows\system32\абракадабра.dll

А если прописать LoadAppInit_DLLs=0?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А если прописать LoadAppInit_DLLs=0?

Не знаю такого слова в этой букве. Где и как прописывается?

Кстати, в активном состоянии этой бяки Редактор реестра и Диспетчер задач блокируются.

Правда, можно создать reg-файл, конечно.

Если бяка не мониторит соответствующий ключ реестра (а может вполне), то может и сработать.

Ещё создаются временно exe-шники типа таких:

O4 - HKLM\..\Run: [708AF5] C:\WINDOWS\system32\CDB8A6\708AF5.EXE

(когда с LiveCD по dll-ки загрузился, папка CDB8A6 оказалась пустой).

upd. Нагуглил, где прописывается, вместе с другой интересной инфой:

For security reasons, Windows Vista does not support AppInit_DLLs, which is a registry key that specified a DLL to load into every process (a popular feature with spyware writers). The complete key is HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Instead, there’s a new key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs, which can only be set by administrator-level applications.

Правильно ли понял, что ключ LoadAppInit_DLLs появился только в Windows Vista?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дроппер тоже нашёлся. Добавлен под тем же именем - Trojan.Winlock.514. Всем спасибо, все свободы. И берегите себя :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Есть линки с вирустотал?

Линки не сохраняю. Только в текстовике детект.

Файл bqag.dll получен 2009.12.02 12:56:05 (UTC)Результат: 7/40 (17.5%)Антивирус	 Версия	 Обновление	 Результатa-squared	4.5.0.43	2009.12.02	-AhnLab-V3	5.0.0.2	2009.12.02	-AntiVir	7.9.1.92	2009.12.02	-Antiy-AVL	2.0.3.7	2009.12.02	-Authentium	5.2.0.5	2009.12.02	-Avast	4.8.1351.0	2009.12.02	-AVG	8.5.0.426	2009.12.02	-BitDefender	7.2	2009.12.02	-CAT-QuickHeal	10.00	2009.12.02	-ClamAV	0.94.1	2009.12.02	-Comodo	3103	2009.12.01	Heur.Packed.UnknownDrWeb	5.0.0.12182	2009.12.02	-eSafe	7.0.17.0	2009.12.01	-eTrust-Vet	35.1.7152	2009.12.02	-F-Prot	4.5.1.85	2009.12.01	-F-Secure	9.0.15370.0	2009.11.29	-Fortinet	4.0.14.0	2009.12.02	-GData	19	2009.12.02	-Ikarus	T3.1.1.74.0	2009.12.02	-K7AntiVirus	7.10.906	2009.11.27	-Kaspersky	7.0.0.125	2009.12.02	-McAfee	5819	2009.12.01	-McAfee+Artemis	5819	2009.12.01	Artemis!4247DC236926McAfee-GW-Edition	6.8.5	2009.12.02	-Microsoft	1.5302	2009.12.02	-NOD32	4654	2009.12.02	-Norman	6.03.02	2009.12.02	-nProtect	2009.1.8.0	2009.12.02	-Panda	10.0.2.2	2009.12.02	-PCTools	7.0.3.5	2009.12.02	HeurEngine.MaliciousPackerPrevx	3.0	2009.12.02	Medium Risk MalwareRising	22.24.02.09	2009.12.02	-Sophos	4.48.0	2009.12.02	Sus/UnkPack-CSunbelt	3.2.1858.2	2009.12.02	Trojan.Win32.Bredolab.Gen.1 (v)Symantec	1.4.4.12	2009.12.02	Packed.Generic.269TheHacker	6.5.0.2.083	2009.12.01	-TrendMicro	9.100.0.1001	2009.12.02	-VBA32	3.12.12.0	2009.12.02	-ViRobot	2009.12.2.2068	2009.12.02	-VirusBuster	5.0.21.0	2009.12.01	-Дополнительная информацияFile size: 88608 bytesMD5...: 4247dc236926bdeac95ba9c33c3878b9SHA1..: 958d5e2ab998325fd75a1caaa15ebbc74f0704b8SHA256: 655e03ec7563a908d1e3364f803a6b7b6bbc00740e6aa6029a8f21c14c88f001
Файл mrgn3vzpxmpl.exe получен 2009.12.03 07:51:16 (UTC)Результат: 9/41 (21.96%)Антивирус	 Версия	 Обновление	 Результатa-squared	4.5.0.43	2009.12.03	-AhnLab-V3	5.0.0.2	2009.12.03	-AntiVir	7.9.1.92	2009.12.02	-Antiy-AVL	2.0.3.7	2009.12.03	-Authentium	5.2.0.5	2009.12.02	-Avast	4.8.1351.0	2009.12.03	-AVG	8.5.0.426	2009.12.02	SHeur2.BWFEBitDefender	7.2	2009.12.03	-CAT-QuickHeal	10.00	2009.12.03	(Suspicious) - DNAScanClamAV	0.94.1	2009.12.03	-Comodo	3103	2009.12.01	Heur.Packed.UnknownDrWeb	5.0.0.12182	2009.12.03	-eSafe	7.0.17.0	2009.12.02	-eTrust-Vet	35.1.7154	2009.12.03	Win32/Bredolab!genericF-Prot	4.5.1.85	2009.12.02	-F-Secure	9.0.15370.0	2009.12.03	Suspicious:W32/Malware!GeminiFortinet	4.0.14.0	2009.12.03	-GData	19	2009.12.03	-Ikarus	T3.1.1.74.0	2009.12.03	-Jiangmin	13.0.900	2009.12.02	-K7AntiVirus	7.10.910	2009.12.02	-Kaspersky	7.0.0.125	2009.12.03	Trojan.Win32.Obfuscated.aiunMcAfee	5819	2009.12.01	-McAfee+Artemis	5819	2009.12.01	Artemis!180E312FC93AMcAfee-GW-Edition	6.8.5	2009.12.03	-Microsoft	1.5302	2009.12.03	-NOD32	4656	2009.12.02	-Norman	6.03.02	2009.12.02	-nProtect	2009.1.8.0	2009.12.03	-Panda	10.0.2.2	2009.12.03	-PCTools	7.0.3.5	2009.12.03	-Prevx	3.0	2009.12.03	Medium Risk MalwareRising	22.24.03.03	2009.12.03	-Sophos	4.48.0	2009.12.03	Sus/UnkPack-CSunbelt	3.2.1858.2	2009.12.03	-Symantec	1.4.4.12	2009.12.03	-TheHacker	6.5.0.2.083	2009.12.01	-TrendMicro	9.100.0.1001	2009.12.03	-VBA32	3.12.12.0	2009.12.03	-ViRobot	2009.12.3.2069	2009.12.03	-VirusBuster	5.0.21.0	2009.12.02	-Дополнительная информацияFile size: 131584 bytesMD5...: 180e312fc93aacbea6bf9bf82ec12f0aSHA1..: fbd8fd550bf7bad4e7712ca70f9f3764a24113e6SHA256: 1b0030e3e170da78263ba0f06c5fedc3c06208af968ca7d86d935492386ab7ce

Это на момент, когда я обнаружил dll и, соответственно, дроппер.

К сожалению, по отзывам пользователей, данный винлокер ставился по крайней мере при активном КАВ/КИС, Dr.Web и NOD32.

По поводу последнего как раз повод задуматься, так ли спасает проактивка и так ли не нужно организовывать лечение.

Для таких вредоносных программ, как Trojan.Winlock в последнее время это может требоваться достаточно часто.

Как видим, эвристики сработали только на пакер.

Если б оно было незапакованное или запакованное новым типом пакера, то не было бы даже такого детекта.

Эвристик на такие программы настраивать весьма сложно, насколько понимаю.

На мой взгляд, здесь очень тонкая грань между винлокерами и легальными программами.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
upd. Нагуглил, где прописывается, вместе с другой интересной инфой:

Правильно ли понял, что ключ LoadAppInit_DLLs появился только в Windows Vista?

Неправильно. Это связка. В 7&2008R2 добавился ещё RequireSignedAppInit_DLLs.

LoadAppInit_DLLs (REG_DWORD) globally enables or disables AppInit_DLLs.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
К сожалению, по отзывам пользователей, данный винлокер ставился по крайней мере при активном КАВ/КИС, Dr.Web и NOD32.

По поводу последнего как раз повод задуматься, так ли спасает проактивка и так ли не нужно организовывать лечение.

Для таких вредоносных программ, как Trojan.Winlock в последнее время это может требоваться достаточно часто.

Как видим, эвристики сработали только на пакер.

Если б оно было незапакованное или запакованное новым типом пакера, то не было бы даже такого детекта.

Эвристик на такие программы настраивать весьма сложно, насколько понимаю.

На мой взгляд, здесь очень тонкая грань между винлокерами и легальными программами.

Дак отправте в техподержку Исета и этим вы многим поможете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дак отправте в техподержку Исета и этим вы многим поможете.

Кого куда отправить? Отправьте пострадавших пользователей НОДа в техподдержку НОДа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кого куда отправить? Отправьте пострадавших пользователей НОДа в техподдержку НОДа.

Чтобы Исет детектил этот троян.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Чтобы Исет детектил этот троян.

MD5 я выложил. Думаю, несложно будет сэмплы найти. Кстати, virustotal.com вроде бы уже не спрашивая рассылает сэмплы вендорам, не так ли? Если честно, у меня не хватит времени, чтобы устраивать мир во всём мире. Пострадавших много, сэмплы без труда можно найти. Вендоров тоже много.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Правда, есть сведения, что CureIt! не запускается, я сам не пробовал.

не запускается, факт!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DinaMItVV
      Не удивительно, мы информатику изучали в старших классах и ВУЗах, а дети наши с первого класса.  Кибернетическое поколение растет.  Да и требования в школах по многим предметам сейчас связаны с компьютером напрямую.  А по вопросу созлания сайта наверное лучше обратиться на тематические форумы, там больше  знающих ІТ-технологии людей общается, могут и чайникам помочь.
    • 7006605
      22 мая в Творческой мастерской им. А. Н. Сокурова Кабардино-Балкарского государственного университета им. Х. М. Бербекова прошла Всероссийская акция «СТОП ВИЧ/СПИД», приуроченная к Международному дню памяти жертв СПИДа. Акция проводилась медицинским факультетом университета для старшеклассников города Нальчика.  Как отметила доцент кафедры факультетской терапии МФ КБГУ, доктор медицинских наук Зарета Камбачокова, главная задача акции – привлечь внимание к проблеме ВИЧ-инфекции и СПИДа, донести до каждого правильную и полную информацию об этой болезни и, главное, помочь защитить себя и своих близких.  Программа встречи предусматривала интерактивную лекцию, фильм по профилактике ВИЧ-инфекции, также ведущие зачитали письмо женщины, которая рассказывала о своей жизни после того, как узнала о своем диагнозе. Со статистической информацией выступила врач-терапевт центра СПИД КБР Марина Хакунова. У всех участников акции была возможность задать специалистам интересующие их вопросы и получить исчерпывающие ответы.
    • Dion
      Полностью с вами согласен, что заморачиваться в крайней степени незачем, в наше время всё поставлено на поток и  максимально автоматизировано. У меня ещё не было такого, чтобы посылка не пришла всё вопрос времени, когда быстрее посылка придёт когда медленнее но всегда приходила!
    • rustlakov
      Умные люди всегда найдут на чём заработать и как. Тем более что возможностей заработать деньги в наше время очень и очень большое количество. Только слепой не увидит их. А что уж там говорить про интернет. Он сейчас настолько развит что в нём даже можно уже деньги зарабатывать. Лет десять назад про это ещё никто не знал. Сейчас же ситуация очень изменилась.
    • Pechalka
      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.