 |
eXeL@B —› Вопросы новичков —› Винлок, подменяющий shell. Помогите разблокировать |
| Посл.ответ | Сообщение |
|
|
Создано: 12 июля 2011 21:41 · Личное сообщение · #1 Добрый день. Есть проблема - комп подхватил винлок. Внешне похож на тот, что в аттаче, только номера отличаются. Из того, что про него удалось узнать: Заменяет shell на C:\Documents and Settings\All Users.WINDOWS\Application Data\ 22СС6С32.exe Удаляю из другой системы - файл возвращается обратно. Коды разблокировки не существуют (по крайней мере на сайтах антивирусников). Пробовал разблокировать через Kaspersky Windows Unlocker, судя по отчёту, он ветки реестра лечит, но при загрузке, винлок опять появляется. Повторный запуск unlocker'а доблестно лечит те же ветки реестра, а винлок опять приходит. ОС Windows XP SP3 Zver Edition. Телефон на который просит закинуть деньги: 89111361025 Никто не знает, как вычистить заразу?  3bdc_12.07.2011_EXELAB.rU.tgz - trojan-ransom.win32.pornoasset.png
 |
|
|
Создано: 12 июля 2011 21:45 · Поправил: [-alex-] · Личное сообщение · #2 Code:
UPD файл C:/Windows/system32/config/software = куст HKEY_LOCAL_MACHINE\SOFTWARE UPD заодно можно и автозагрузку почистить(путь к ней надеюсь гугл подскажет), наверняка и там что найдется. |
|
|
Создано: 12 июля 2011 21:59 · Поправил: mysterio · Личное сообщение · #3 Anonimous http://support.kaspersky.ru/viruses/deblocker - введешь номер телефона должно предложить эту ссылку: http://forum.kaspersky.com/showtopic=209673 Здесь коды разблокировки, введешь телефон: http://www.drweb.com/unlocker/index/ P.S. Раз антивирь такое счастье пропустил - значит что-то хорошее стояло: НОД, АВАСТ или Доктор Веб ? ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 12 июля 2011 22:20 · Личное сообщение · #4 кстати как вариант возможно, что сборка уже изначально было с трояном))) там тогда дело глухо совсем - проще будет тогда систему снести и заново поставить более прозрачную. |
|
|
Создано: 12 июля 2011 22:32 · Личное сообщение · #5 userinit.exe замени на нормальный. |
|
|
Создано: 12 июля 2011 22:35 · Поправил: OLEGator · Личное сообщение · #6 Эта версия трояна подменяет собой userinit.exe и правки реестра не достаточно. При запуске кидает свое тело в: C:\Documents and Settings\All Users\Application Data\22CC6C32.exe и прописывает его в реестре вместо проводника HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell - Это отвлекающий манёвр. Удаляет: userinit.exe (точнее переименовывает в 03014D3F.exe) и taskmgr.exe в папке C:\WINDOWS\system32\, вместо них подсовывает своё тело. Тоже самое в каталоге C:\WINDOWS\system32\dllcache\, чтоб операционная система не восстановила файлы.  з.ы. Я на этих троянах заработал уже довольно приличную сумму.  но не подумайте ничего плохого, я их лечу у юзеров. ----- AutoIt |
|
|
Создано: 12 июля 2011 22:39 · Поправил: OnLyOnE · Личное сообщение · #7 Anonimous пишет: Заменяет shell на C:\Documents and Settings\All Users.WINDOWS\Application Data\ 22СС6С32.exe Бред не пиши пожалуйста...  Замена userinit.exe и taskmgr.exe и все...Система у тебя какая? Для WinXP все просто до безобразия... Выполняешь инструкцию по пунктам и все будет ок... 1. Качаешь аттач и кидаешь его на флешку, втыкаешь в комп зараженный, перед включением 2. Загружаешься с любого LiveCD, желательно ERD Commander 3. по данному пути C:\Documents and Settings\All Users.WINDOWS\Application Data\ 22СС6С32.exe "убиваешь" файл. 4. Запускаешь файл с флешки 5. Ребут 6. Радуешься жизни  P.S. В инстолляторе, что приаттаченный мною, валидные userinit.exe и taskmgr.exe f6db_12.07.2011_EXELAB.rU.tgz - system32.exe
----- aLL rIGHTS rEVERSED! | Сообщение посчитали полезным: Anonimous |
|
|
Создано: 12 июля 2011 22:40 · Личное сообщение · #8 OLEGator, userinit одной версии на ОСь, или где берешь?) |
|
|
Создано: 12 июля 2011 22:43 · Личное сообщение · #9 OLEGator А ты ужо сталкивался с винлоком который себя в бутсектор на жесткий прописывает?  Вот это будет по интереснее.. ----- aLL rIGHTS rEVERSED! |
|
|
Создано: 12 июля 2011 22:46 · Поправил: [-alex-] · Личное сообщение · #10 груб или диск с windows обычно и бутсектор неплохо лечат. |
|
|
Создано: 12 июля 2011 22:52 · Личное сообщение · #11 [-alex-] пишет: груб или диск с windows обычно и бутсектор неплохо лечат. некоторые умудряются сносить партицию у мня 3 клиента так умудрились.. решили сэкономить денег..
----- aLL rIGHTS rEVERSED! |
|
|
Создано: 12 июля 2011 22:57 · Личное сообщение · #12 Эм, лечить форматом mbr кстати тоже можно, я и не подумал... ПС:кто бы подсказал, вы по имени файла в доках определили вирус и его поведение?) потому что я по старинке мбр сбрасываю, прогоняю антивирусом из под бубунты, да реестр правлю. |
|
|
Создано: 12 июля 2011 23:14 · Личное сообщение · #13 еще и в потоках файлов не забывайте их подчищать, попадались, которые к explorer.exe, userinit.exe, user32.dll и т.п. дописывались и запускались оттуда. |
|
|
Создано: 12 июля 2011 23:19 · Личное сообщение · #14 /me не видел таких и доволен. Чистить зараженную систему дело вообще неблагодарное, ее защитить проще заранее >_< |
|
|
Создано: 12 июля 2011 23:21 · Поправил: OLEGator · Личное сообщение · #15 [-alex-] пишет: userinit одной версии на ОСь, или где берешь?) Его не надо нигде брать он лежит в томже каталоге под именем 03014D3F.exe это в случае windowsXP, при заражении семёрки он его вообще не трогает. Довольствуется только подменой ключей реестра, при том сразу обоих OnLyOnE пишет: А ты ужо сталкивался с винлоком который себя в бутсектор на жесткий прописывает? Даже больше - с двумя модификациями. Первая лечится простейшим FIXBOOT и FIXMBR из консоли восстановления (если заражена XP). Второя модификация поражала файл NTLDR, лечилась заменой на оригинальный с установочного диска. И в большинстве случаев, заражение происходило через ява плугин в браузере. решето блин. Ну там обычно связка сплоитов висит и перебирает все эксплоиты, а пробивает чаще всего яву. ----- AutoIt |
|
|
Создано: 13 июля 2011 00:13 · Личное сообщение · #16 Всем спасибо! Вылечил. Отдельное спасибо OnLyOnE'у за его очень простой способ уничтожения этой заразы. Тему можно считать закрытой. |
|
|
Создано: 13 июля 2011 00:42 · Личное сообщение · #17 Подскажите такую заразу как OneHalf фарматированием харда можно убить? |
|
|
Создано: 13 июля 2011 00:45 · Личное сообщение · #18 OneHalf шифрует диск, так что при форматировании убивается вместе с содержимым. |
|
|
Создано: 13 июля 2011 00:53 · Личное сообщение · #19 Т.е. только данные потиряются а вирус останеться? И как тогда быть? |
|
|
Создано: 13 июля 2011 01:17 · Личное сообщение · #20 parovoZZ, если НЕ форматировать, то да читай внимательнее. у вируса есть тело, оно хранится в файловой системе, обеспечивает себе запуск средствами ОС. Так как он может остаться после форматирования?
----- AutoIt |
|
|
Создано: 13 июля 2011 01:25 · Личное сообщение · #21 Извиняюсь невнимательно прочитал А другие способы кроме фарматирования есть?
|
|
|
Создано: 13 июля 2011 03:10 · Личное сообщение · #22 parovoZZ пишет: А другие способы кроме фарматирования есть? A чё у тебя винда не грузится? какая проблема? |
|
|
Создано: 13 июля 2011 10:44 · Личное сообщение · #23 parovoZZ пишет: А другие способы кроме фарматирования есть? DrWEB помому Лечит данный Вирус ! |
|
eXeL@B —› Вопросы новичков —› Винлок, подменяющий shell. Помогите разблокировать |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати