Перейти к содержанию
Dmitr_M

Вирус требует отправить смс

Recommended Posts

Dmitr_M

940225.jpg

программы не запускаются, диспетчер задач тоже. Можно ли как нибудь от этого избавиться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
...

программы не запускаются, диспетчер задач тоже. Можно ли как нибудь от этого избавиться?

Проверьте, пожалуйста, наблюдается ли такая картина, если загрузиться в Безопасном режиме (F8 при старте Windows)? Если нет, то сделайте, пожалуйста, лог программы HijackThis (кнопка Do a system scan and save a log file) и полученный лог прикрепите здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
в безопасном режиме тоже самое... :(

Тогда имеет смысл загрузиться с LiveCD (того же Dr.Web Live CD) и просканировать им диски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

загрузился с Dr.Web Live CD. Дальше просто запускать сканнер и ждать? обновлять его не надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
загрузился с Dr.Web Live CD. Дальше просто запускать сканнер и ждать? обновлять его не надо?

Обновить базы и запустить сканирование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

запустил сканирование без обновления, не могу понять как интернет настроить. Что то долго очень сканирует уже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
запустил сканирование без обновления, не могу понять как интернет настроить. Что то долго очень сканирует уже

Есть рез-ты сканирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

теперь виндоус не запускается... черный экран и все

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
теперь виндоус не запускается... черный экран и все

Лихо, однако!... :(

При сканировании Dr.Web LiveCD были ли обнаружены вредоносные объекты? Загружается ли компьютер в Безопасном режиме?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitr_M

При сканировании было что то обнаружено. Потом запустил виндоус, а там черный экран только с мышкой. В безопасном режиме тоже черный экран, только написано безопасный режим по бокам. Через LiveCD скопировал все, отформатировал жесткий диск и переустановил виндоус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
При сканировании было что то обнаружено. Потом запустил виндоус, а там черный экран только с мышкой. В безопасном режиме тоже черный экран, только написано безопасный режим по бокам. Через LiveCD скопировал все, отформатировал жесткий диск и переустановил виндоус.

Понятно. =/

Жаль, что не сохранились имена найденных объектов, можно было бы попробовать воспроизвести ситуацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Вчера несколько часов потратил на то, чтобы с одного заражённого компьютера dll добыть. Сейчас должны детектировать. Нашему сканеру запускаться даёт. А вот при попытке запустить многие утилиты, которые могут помочь в деле выковыривания этих сэмплов, они либо не запускались, либо компьютер отправлялся в шатдаун.

Вообще, особенностей много, это основная.

AVZ не запускается ни обычный, ни полиморфный. Hijackthis запускается переименованный, но если нажать кнопку, которая сканирует и показывает лог в Блокноте, то система после сканирования отправляется в шатдаун. Если провести только сканирование, можно видеть строчку типа такой:

O20: AppInit_DLLs: c:\Windows\system32\абракадабра.dll

Фиксить с помощью хайджека это не получается - при очередном сканировании видно, что прописывается новая dll (с новым сгенерированным именем).

Так что качайте свежий Dr.Web CureIt! и сканируйте. Там окно не на весь экран, а на тех полях, что остаются, вполне можно сканером рулить.

Правда, есть сведения, что CureIt! не запускается, я сам не пробовал. Пробовал обычный сканер, входящий в состав Dr.Web ES - работает.

Этот вчерашний геморрой аналитики добавили как Trojan.Winlock.514.

Был добавлен вчера около 17 вечера.

Если будет новая модификация, надеюсь, доступно объяснил, что делать.

Да, если у кого-то есть дроппер, выложите где-нить и дайте ссылку в личку. Ну, или дайте ссылку на страницу, откуда раздаётся. Если пострадавших много, может, кто-нибудь вспомнит, после какого сайта начало появляться окно. Спасибо.

P.S. Пострадавших на самом деле приличное количество:

http://search.otvet.mail.ru/?q=ubest+netspeed+pro

При сканировании было что то обнаружено.

Да, кстати. Припоминаю, что перед тем как заниматься этим компьютером, приходили сообщения от ES-сервера, что спайдер на этом компьютере находил куски этого винлокера. Но это ситуацию не спасало на тот момент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
O20: AppInit_DLLs: c:\Windows\system32\абракадабра.dll

А если прописать LoadAppInit_DLLs=0?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А если прописать LoadAppInit_DLLs=0?

Не знаю такого слова в этой букве. Где и как прописывается?

Кстати, в активном состоянии этой бяки Редактор реестра и Диспетчер задач блокируются.

Правда, можно создать reg-файл, конечно.

Если бяка не мониторит соответствующий ключ реестра (а может вполне), то может и сработать.

Ещё создаются временно exe-шники типа таких:

O4 - HKLM\..\Run: [708AF5] C:\WINDOWS\system32\CDB8A6\708AF5.EXE

(когда с LiveCD по dll-ки загрузился, папка CDB8A6 оказалась пустой).

upd. Нагуглил, где прописывается, вместе с другой интересной инфой:

For security reasons, Windows Vista does not support AppInit_DLLs, which is a registry key that specified a DLL to load into every process (a popular feature with spyware writers). The complete key is HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Instead, there’s a new key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs, which can only be set by administrator-level applications.

Правильно ли понял, что ключ LoadAppInit_DLLs появился только в Windows Vista?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Дроппер тоже нашёлся. Добавлен под тем же именем - Trojan.Winlock.514. Всем спасибо, все свободы. И берегите себя :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Есть линки с вирустотал?

Линки не сохраняю. Только в текстовике детект.

Файл bqag.dll получен 2009.12.02 12:56:05 (UTC)Результат: 7/40 (17.5%)Антивирус	 Версия	 Обновление	 Результатa-squared	4.5.0.43	2009.12.02	-AhnLab-V3	5.0.0.2	2009.12.02	-AntiVir	7.9.1.92	2009.12.02	-Antiy-AVL	2.0.3.7	2009.12.02	-Authentium	5.2.0.5	2009.12.02	-Avast	4.8.1351.0	2009.12.02	-AVG	8.5.0.426	2009.12.02	-BitDefender	7.2	2009.12.02	-CAT-QuickHeal	10.00	2009.12.02	-ClamAV	0.94.1	2009.12.02	-Comodo	3103	2009.12.01	Heur.Packed.UnknownDrWeb	5.0.0.12182	2009.12.02	-eSafe	7.0.17.0	2009.12.01	-eTrust-Vet	35.1.7152	2009.12.02	-F-Prot	4.5.1.85	2009.12.01	-F-Secure	9.0.15370.0	2009.11.29	-Fortinet	4.0.14.0	2009.12.02	-GData	19	2009.12.02	-Ikarus	T3.1.1.74.0	2009.12.02	-K7AntiVirus	7.10.906	2009.11.27	-Kaspersky	7.0.0.125	2009.12.02	-McAfee	5819	2009.12.01	-McAfee+Artemis	5819	2009.12.01	Artemis!4247DC236926McAfee-GW-Edition	6.8.5	2009.12.02	-Microsoft	1.5302	2009.12.02	-NOD32	4654	2009.12.02	-Norman	6.03.02	2009.12.02	-nProtect	2009.1.8.0	2009.12.02	-Panda	10.0.2.2	2009.12.02	-PCTools	7.0.3.5	2009.12.02	HeurEngine.MaliciousPackerPrevx	3.0	2009.12.02	Medium Risk MalwareRising	22.24.02.09	2009.12.02	-Sophos	4.48.0	2009.12.02	Sus/UnkPack-CSunbelt	3.2.1858.2	2009.12.02	Trojan.Win32.Bredolab.Gen.1 (v)Symantec	1.4.4.12	2009.12.02	Packed.Generic.269TheHacker	6.5.0.2.083	2009.12.01	-TrendMicro	9.100.0.1001	2009.12.02	-VBA32	3.12.12.0	2009.12.02	-ViRobot	2009.12.2.2068	2009.12.02	-VirusBuster	5.0.21.0	2009.12.01	-Дополнительная информацияFile size: 88608 bytesMD5...: 4247dc236926bdeac95ba9c33c3878b9SHA1..: 958d5e2ab998325fd75a1caaa15ebbc74f0704b8SHA256: 655e03ec7563a908d1e3364f803a6b7b6bbc00740e6aa6029a8f21c14c88f001
Файл mrgn3vzpxmpl.exe получен 2009.12.03 07:51:16 (UTC)Результат: 9/41 (21.96%)Антивирус	 Версия	 Обновление	 Результатa-squared	4.5.0.43	2009.12.03	-AhnLab-V3	5.0.0.2	2009.12.03	-AntiVir	7.9.1.92	2009.12.02	-Antiy-AVL	2.0.3.7	2009.12.03	-Authentium	5.2.0.5	2009.12.02	-Avast	4.8.1351.0	2009.12.03	-AVG	8.5.0.426	2009.12.02	SHeur2.BWFEBitDefender	7.2	2009.12.03	-CAT-QuickHeal	10.00	2009.12.03	(Suspicious) - DNAScanClamAV	0.94.1	2009.12.03	-Comodo	3103	2009.12.01	Heur.Packed.UnknownDrWeb	5.0.0.12182	2009.12.03	-eSafe	7.0.17.0	2009.12.02	-eTrust-Vet	35.1.7154	2009.12.03	Win32/Bredolab!genericF-Prot	4.5.1.85	2009.12.02	-F-Secure	9.0.15370.0	2009.12.03	Suspicious:W32/Malware!GeminiFortinet	4.0.14.0	2009.12.03	-GData	19	2009.12.03	-Ikarus	T3.1.1.74.0	2009.12.03	-Jiangmin	13.0.900	2009.12.02	-K7AntiVirus	7.10.910	2009.12.02	-Kaspersky	7.0.0.125	2009.12.03	Trojan.Win32.Obfuscated.aiunMcAfee	5819	2009.12.01	-McAfee+Artemis	5819	2009.12.01	Artemis!180E312FC93AMcAfee-GW-Edition	6.8.5	2009.12.03	-Microsoft	1.5302	2009.12.03	-NOD32	4656	2009.12.02	-Norman	6.03.02	2009.12.02	-nProtect	2009.1.8.0	2009.12.03	-Panda	10.0.2.2	2009.12.03	-PCTools	7.0.3.5	2009.12.03	-Prevx	3.0	2009.12.03	Medium Risk MalwareRising	22.24.03.03	2009.12.03	-Sophos	4.48.0	2009.12.03	Sus/UnkPack-CSunbelt	3.2.1858.2	2009.12.03	-Symantec	1.4.4.12	2009.12.03	-TheHacker	6.5.0.2.083	2009.12.01	-TrendMicro	9.100.0.1001	2009.12.03	-VBA32	3.12.12.0	2009.12.03	-ViRobot	2009.12.3.2069	2009.12.03	-VirusBuster	5.0.21.0	2009.12.02	-Дополнительная информацияFile size: 131584 bytesMD5...: 180e312fc93aacbea6bf9bf82ec12f0aSHA1..: fbd8fd550bf7bad4e7712ca70f9f3764a24113e6SHA256: 1b0030e3e170da78263ba0f06c5fedc3c06208af968ca7d86d935492386ab7ce

Это на момент, когда я обнаружил dll и, соответственно, дроппер.

К сожалению, по отзывам пользователей, данный винлокер ставился по крайней мере при активном КАВ/КИС, Dr.Web и NOD32.

По поводу последнего как раз повод задуматься, так ли спасает проактивка и так ли не нужно организовывать лечение.

Для таких вредоносных программ, как Trojan.Winlock в последнее время это может требоваться достаточно часто.

Как видим, эвристики сработали только на пакер.

Если б оно было незапакованное или запакованное новым типом пакера, то не было бы даже такого детекта.

Эвристик на такие программы настраивать весьма сложно, насколько понимаю.

На мой взгляд, здесь очень тонкая грань между винлокерами и легальными программами.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
upd. Нагуглил, где прописывается, вместе с другой интересной инфой:

Правильно ли понял, что ключ LoadAppInit_DLLs появился только в Windows Vista?

Неправильно. Это связка. В 7&2008R2 добавился ещё RequireSignedAppInit_DLLs.

LoadAppInit_DLLs (REG_DWORD) globally enables or disables AppInit_DLLs.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

dr_dizel, понятно, спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
К сожалению, по отзывам пользователей, данный винлокер ставился по крайней мере при активном КАВ/КИС, Dr.Web и NOD32.

По поводу последнего как раз повод задуматься, так ли спасает проактивка и так ли не нужно организовывать лечение.

Для таких вредоносных программ, как Trojan.Winlock в последнее время это может требоваться достаточно часто.

Как видим, эвристики сработали только на пакер.

Если б оно было незапакованное или запакованное новым типом пакера, то не было бы даже такого детекта.

Эвристик на такие программы настраивать весьма сложно, насколько понимаю.

На мой взгляд, здесь очень тонкая грань между винлокерами и легальными программами.

Дак отправте в техподержку Исета и этим вы многим поможете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Дак отправте в техподержку Исета и этим вы многим поможете.

Кого куда отправить? Отправьте пострадавших пользователей НОДа в техподдержку НОДа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Cooller
Кого куда отправить? Отправьте пострадавших пользователей НОДа в техподдержку НОДа.

Чтобы Исет детектил этот троян.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Чтобы Исет детектил этот троян.

MD5 я выложил. Думаю, несложно будет сэмплы найти. Кстати, virustotal.com вроде бы уже не спрашивая рассылает сэмплы вендорам, не так ли? Если честно, у меня не хватит времени, чтобы устраивать мир во всём мире. Пострадавших много, сэмплы без труда можно найти. Вендоров тоже много.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr
Правда, есть сведения, что CureIt! не запускается, я сам не пробовал.

не запускается, факт!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×