Сообщение от вирлаба, что в базу добавлен Trojan.Winlock.715, мне пришло 9-01-2010. Так что обновляйте базы.Предлагаю тему не закрывать и оставить на месте.
У меня на карантине стоит машина с точно такой заразой. CureIt, скачанный во 2 половине дня по Мск 07.01.2010 при полной проверке подозрительных объектов не обнаружил. Насколько я понимаю, сигнатура Trojan.Winlock.715 появилась в базах значительно раньше.
Не рано ли праздновать победу?
Теперь под видом Internet Security
Автор
Dartline
, янв 08 2010 16:13
126 ответов в этой теме
#61
Dartline
-
- Posters
- 45 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 08:19
Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль
Сэр Уинстон Черчилль
#62
Dartline
-
- Posters
- 45 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 08:32
Как я понял из лечения зараженной машины, данный вирус запускаеся в потоке с каким-либа независимым файлом.Нарыл програмку для удаления потоков.На свой страх и риск
http://download.bleepingcomputer.com/Merijn/adsspy.zip
Скачайте программку Беляша, и посмотрите, к каким файлам на вашей машине прикреплены потоки. У меня был файл в папке inf. Для полной очистки удалите все файлы из папок C:\Documents and Settings\ИмяПользователя\Local Settings\Temp и Temporary Internet Files.
Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль
Сэр Уинстон Черчилль
#63
Netmeister
-
- Members
- 1 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 09:48
На одной из зараженных аналогичным вирусом машин ADS были обнаружены в файлах sapicpl.cpl, size3_m.cur и с_1252.nls. Один из них был обнаружен старой версией Hijackthis в безопасном режиме, остальные выявлены поиском по дате. После их замены на орининальные все более-менее заработало. Настройки политик ограниченного использования программ восстановлены AVZ и Spybot-ом.
Сообщение было изменено Netmeister: 11 Январь 2010 - 09:53
#64
Amon-Ra
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 11:26
Новый код К204014000 на номер 4460.
Начал распространятся, предположительно из c:\windows\system32\v7vga.rom:XVgf - файло было снесено вручную, но поток по-прежнему виден через AVZ. К сожалению, сразу лог не записал, а теперь уже не получается.
Все, как у всех: блокировка на реестр и деспетчер задач. Свежайший Live-CD не видит ничего.
После удаления основного файла позволил запустить Диспетчер задач, но не реестр. В Диспетчере было пришиблено 2 процесса с именами ~T{чего-то там}.tmp.
AVZ лечить отказался, предложил отправить на проверку, блокировку с реестра не снял. Пишет что-то вроде "подозрение на запуск через AppInit.dll скрытого процесса c:\windows\system32\v7vga.rom:XVgf".
После многочисленных безуспешных попыток вывести гадость (включая пару софтин по поиску файловых потоков), винда впала в синий экран. После перезагрузки и в безопасном и в обычном режиме на экране появилась байда со скринов из самого первого поста. Диспетчер задач снова стал недоступен.
Все найденные в инете ключи, а также предложенные алгоритмы их подбора, включая смену даты не прокатили.
При запуске винды, все программы, добавленные в автозагрузку выдают ошибку памяти "Память не может быть written". Но потом запускаются, кроме Outpost и DrWeb. Вымогатель стартует при запуске любого исполнимого файла, кроме Проводника или самостоятельно. При каждом новом запуске любой программы он обновляет "вирус-лист". В системе невозможно запустить ни одну софтину: она либо сразу не запускается, либо закрывается через 3-5 секунд.
Виндовые диалоги работают. mmc вроде позволяла подключать оснастку в безопасном режиме. В обычном нет. Прямое обращение не проходит.
В надежде, что программы из автозагрузки будут работать, добавил туда AVZ. Теперь при запуске винды, появляется окно AVZ, затем стартует вирус и система полностью выключает питание.
Подключиться по сети с ноута не могу, т.к. Win7Home Basic на ноуте не видит XP на десктопе, только наоборот.
Что еще можно попробовать?
UPD. Забыл. При старте винды появляется блокнот с открытм в нем файлом ~t{чего-то там}.tmp с сигнатурой исполнимого (MZ...).
Начал распространятся, предположительно из c:\windows\system32\v7vga.rom:XVgf - файло было снесено вручную, но поток по-прежнему виден через AVZ. К сожалению, сразу лог не записал, а теперь уже не получается.
Все, как у всех: блокировка на реестр и деспетчер задач. Свежайший Live-CD не видит ничего.
После удаления основного файла позволил запустить Диспетчер задач, но не реестр. В Диспетчере было пришиблено 2 процесса с именами ~T{чего-то там}.tmp.
AVZ лечить отказался, предложил отправить на проверку, блокировку с реестра не снял. Пишет что-то вроде "подозрение на запуск через AppInit.dll скрытого процесса c:\windows\system32\v7vga.rom:XVgf".
После многочисленных безуспешных попыток вывести гадость (включая пару софтин по поиску файловых потоков), винда впала в синий экран. После перезагрузки и в безопасном и в обычном режиме на экране появилась байда со скринов из самого первого поста. Диспетчер задач снова стал недоступен.
Все найденные в инете ключи, а также предложенные алгоритмы их подбора, включая смену даты не прокатили.
При запуске винды, все программы, добавленные в автозагрузку выдают ошибку памяти "Память не может быть written". Но потом запускаются, кроме Outpost и DrWeb. Вымогатель стартует при запуске любого исполнимого файла, кроме Проводника или самостоятельно. При каждом новом запуске любой программы он обновляет "вирус-лист". В системе невозможно запустить ни одну софтину: она либо сразу не запускается, либо закрывается через 3-5 секунд.
Виндовые диалоги работают. mmc вроде позволяла подключать оснастку в безопасном режиме. В обычном нет. Прямое обращение не проходит.
В надежде, что программы из автозагрузки будут работать, добавил туда AVZ. Теперь при запуске винды, появляется окно AVZ, затем стартует вирус и система полностью выключает питание.
Подключиться по сети с ноута не могу, т.к. Win7Home Basic на ноуте не видит XP на десктопе, только наоборот.
Что еще можно попробовать?
UPD. Забыл. При старте винды появляется блокнот с открытм в нем файлом ~t{чего-то там}.tmp с сигнатурой исполнимого (MZ...).
Сообщение было изменено Amon-Ra: 11 Январь 2010 - 11:42
#65
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 11 Январь 2010 - 14:16
Грузиться с внешнего носителя, и убирать в сторону c:\windows\system32\v7vga.rom:XVgfЧто еще можно попробовать?
И этот файл - ~t{чего-то там}.tmp - тоже.UPD. Забыл. При старте винды появляется блокнот с открытм в нем файлом ~t{чего-то там}.tmp с сигнатурой исполнимого (MZ...).
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#66
Amon-Ra
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 14:33
В том-то и засада, что файл я уже грохнул, но AVZ продолжает упорно сообщать, что поток остался на местеГрузиться с внешнего носителя, и убирать в сторону c:\windows\system32\v7vga.rom:XVgf
С ним сложнее. Непонятно, откуда оно грузится, но поскольку открывается в notepad, я его просто исковеркал и сохранил. Хуже уже не будет.И этот файл - ~t{чего-то там}.tmp - тоже.
Зараза живет где-то еще. Попробую очередной live-cd вечером.
#67
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 11 Январь 2010 - 14:39
Так, может, поток в другом файле?В том-то и засада, что файл я уже грохнул, но AVZ продолжает упорно сообщать, что поток остался на местеГрузиться с внешнего носителя, и убирать в сторону c:\windows\system32\v7vga.rom:XVgf
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#68
Amon-Ra
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 16:47
Вывод логичный. Вопрос где? Ничто ее не видит (ну акромя AVZ там, где ее уже не должно быть), а она есть. Суслик, блин.Так, может, поток в другом файле?
#69
Орлов Дмитрий
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 17:02
победилТак, может, поток в другом файле?В том-то и засада, что файл я уже грохнул, но AVZ продолжает упорно сообщать, что поток остался на местеГрузиться с внешнего носителя, и убирать в сторону c:\windows\system32\v7vga.rom:XVgf
решение тут http://boltunishka.berserki.ru/archives/399
#70
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 11 Январь 2010 - 17:48
И что, АВЗ видит именно в удаленном файле?Вывод логичный. Вопрос где? Ничто ее не видит (ну акромя AVZ там, где ее уже не должно быть), а она есть. Суслик, блин.Так, может, поток в другом файле?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#71
Amon-Ra
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 18:05
И что, АВЗ видит именно в удаленном файле?
Он выдает вот нечто вроде: "подозрение на запуск через AppInit_DLL скрытого процесса c:\windows\system32\v7vga.rom:XVgf" Точный лог скинуть пока не представляется возможным. Я не понимаю, как он может это выдавать, если само файло было убито, но факт есть факт...
#72
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 11 Январь 2010 - 18:13
Проверьте - действительно ли нет такого файла c:\windows\system32\v7vga.romОн выдает вот нечто вроде: "подозрение на запуск через AppInit_DLL скрытого процесса c:\windows\system32\v7vga.rom:XVgf" Точный лог скинуть пока не представляется возможным. Я не понимаю, как он может это выдавать, если само файло было убито, но факт есть факт...И что, АВЗ видит именно в удаленном файле?
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#74
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 11 Январь 2010 - 19:45
Тьфу ты... Ну конечно же.Это реакция не на файл, а на запись в реестре.подозрение на запуск через AppInit_DLL скрытого процесса c:\windows\system32\v7vga.rom:XVgf
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#75
Dartline
-
- Posters
- 45 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 21:12
Всё верно, я из под ERDCommander нашел эту ветку в реестре и убрал её. После этого вирус перестал запускаться. А вычистил его только на основе файла, который он сбрасывает на флешку. По имени привязанного потока (бессмысленный набор символов) в компе ничего не нашел, ни файлов, ни в реестре. Видно случайный код, который назначается для исполнения в потоке вирусной dll-ке, и прикрепляется к любому файлу.Это реакция не на файл, а на запись в реестре.
А файл этот чистый, мы же с вами обсуждали это постами выше. Его можно не трогать. Только вирус делает их системными скрытыми и в проводнике они не отражаются, только или в Тотале или в Фаре.Проверьте - действительно ли нет такого файла c:\windows\system32\v7vga.rom
Нужно убивать ветку в реестре с именем потока, но только из под LiveCD
Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль
Сэр Уинстон Черчилль
#76
Spamkerdyk
-
- Posters
- 3 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 21:31
Просто сообщаю.
Ко мне обратился мой приятель с заблокированным Виндовсом.
Вэлл, есть лайв CD под Линукс с сайта DrWeb, какие проблемы? А вот щазз... лайв CD от 10 января ничего не нашел. Запустился с первого попавшегоя лайв CD XPE, далее cureit 10 января, и получи: целый пакет троянов winlock 715. Причем их находит и более ранняя cureit. Но не лайв CD, рекомендованный на сайте.
Я проверил этот лайв CD еще и на своем компьютере (скопировал эти вирусы с компьютера приятеля на флэшку, отключил спайдер на своем компе, скопировал их в С:\TMP и стартовал с лайв CD). И опять, лайв CD молча отработал, а
монитор DrWeb 5.0, включившийся после перезагрузки, мгновенно удалил все.
Ко мне обратился мой приятель с заблокированным Виндовсом.
Вэлл, есть лайв CD под Линукс с сайта DrWeb, какие проблемы? А вот щазз... лайв CD от 10 января ничего не нашел. Запустился с первого попавшегоя лайв CD XPE, далее cureit 10 января, и получи: целый пакет троянов winlock 715. Причем их находит и более ранняя cureit. Но не лайв CD, рекомендованный на сайте.
Я проверил этот лайв CD еще и на своем компьютере (скопировал эти вирусы с компьютера приятеля на флэшку, отключил спайдер на своем компе, скопировал их в С:\TMP и стартовал с лайв CD). И опять, лайв CD молча отработал, а
монитор DrWeb 5.0, включившийся после перезагрузки, мгновенно удалил все.
Сообщение было изменено Spamkerdyk: 11 Январь 2010 - 21:33
#77
Dartline
-
- Posters
- 45 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 21:39
но только из под LiveCD
есть лайв CD под Линукс с сайта DrWeb
Я имел ввиду не DrWeb LiveCD, а LiveCD вашей установленной системы. В данном случае я пользуюсь ERD Commander, скачал сборку из трёх систем XP, Vista и W7, в которых при загрузке есть возможность работать с системными файлами вашего компьютера.
Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль
Сэр Уинстон Черчилль
#78
PAUK
-
- Posters
- 3 236 Сообщений:
Guru
Отправлено 11 Январь 2010 - 21:43
А вот щазз... лайв CD от 10 января ничего не нашел.
Значит пока нужно всем рекомендовать использовать ERD Сommander + последний Dr.Web CureIt!® .далее cureit 10 января, и получи: целый пакет троянов winlock 715
Но ведь должны исправить - не первый сигнал...
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#79
Spamkerdyk
-
- Posters
- 3 Сообщений:
Newbie
Отправлено 11 Январь 2010 - 22:25
Вообще-то, после того как все dll-ки трояна были удалены cureit, Виндовс спокойно запустился, далее через msconfig приятель просто отключил загрузку трояна. Я этого уже не видел, я не ждал конца работы cureit, разговор шел по телефону, на всякий случай я посоветовал приятелю найти эту ветку в реестре и убить ее. Но факт тот, что после cureit все заработало.LiveCD... ERD Commander,.. есть возможность работать с системными файлами вашего компьютера.
----
Да, забыл. Дотошный приятель перед загрузкой системы просмотрел весь компьютер на предмет наличия файлов такого же размера, как троянский dll и нашел три файла с неопределенными названиями в windows\system32 (например l.dll или fk...dll сорри, не помню, что после fk). Я сверился со своим Виндовсом, у меня таких файлов нет. Cureit не считает их троянами на всякий случай приятель их удалил.
Сообщение было изменено Spamkerdyk: 11 Январь 2010 - 22:36
#80
Amon-Ra
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 12 Январь 2010 - 00:51
Кажется, победил гаденыша!
Предложенный метод подбора ключей не сработал, а ждать таймер и возможной смены кода смс ломало.
После плясок с бубном удалось ззапустить ADSSpy. Были обнаружены 6 фалов со скрытыми потоками. Все были временными, потому потоки в них были удалены. Во всех, кроме одного. Он восстанавливался, т.к. работа проходила под "эгидой" виря.
Путного live-cd под рукой не было, да и пользоваться я ими не умею. Потому взял какую-то человек с альтернативными умственными способностямискую сборку live-cd, с ее помощью был удален этот файл, расположенный в C:\windows\system32\wdl.tmp:XVgf. Был так же руками обнаржен и уделен в папке автозагрузки файл siszyd32.exe.
Для полной гарантии был отформатирован раздел винта, на котором располагаются все временные файлы, включая файлы IE (системe так настраивал, а раздел подключен как папка ntfs). Остальным чистить все временные папки винды и IE.
После перезагрузки вирус выдал сообщение об ошибке с кодом 416. После чего стал доступен диспетчер задач. АВЗ восстановил права на реестр. Там в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows в ключе AppInit_DLLs находился путь к вирусу с именем файлового потока. В этом ключе на чистой машине стоял пробел. Поставил аналогично.
Далее прошелся по реестру в поисках имени файлового потока. У меня он был XVgf. Был обнаружен ключ HKLM\SOFTWARE\TrendMicro\HijackThis\Ignore1 со значением "O2 - AppInit_DLLs: C:\windows\system32\wdl.tmp:XVgf". Удален целиком. Больше следов не осталось.
Перезагрузился, никакой подозрительной деятельности или следов виря не нашел.
Все, ушел проверяться кьюритом, хотя сдается мне это бесполезно, т.к. не умеет оно с файловыми потоками и вирусами в них бороться. Всем спасибо и удачи!
Предложенный метод подбора ключей не сработал, а ждать таймер и возможной смены кода смс ломало.
После плясок с бубном удалось ззапустить ADSSpy. Были обнаружены 6 фалов со скрытыми потоками. Все были временными, потому потоки в них были удалены. Во всех, кроме одного. Он восстанавливался, т.к. работа проходила под "эгидой" виря.
Путного live-cd под рукой не было, да и пользоваться я ими не умею. Потому взял какую-то человек с альтернативными умственными способностямискую сборку live-cd, с ее помощью был удален этот файл, расположенный в C:\windows\system32\wdl.tmp:XVgf. Был так же руками обнаржен и уделен в папке автозагрузки файл siszyd32.exe.
Для полной гарантии был отформатирован раздел винта, на котором располагаются все временные файлы, включая файлы IE (системe так настраивал, а раздел подключен как папка ntfs). Остальным чистить все временные папки винды и IE.
После перезагрузки вирус выдал сообщение об ошибке с кодом 416. После чего стал доступен диспетчер задач. АВЗ восстановил права на реестр. Там в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows в ключе AppInit_DLLs находился путь к вирусу с именем файлового потока. В этом ключе на чистой машине стоял пробел. Поставил аналогично.
Далее прошелся по реестру в поисках имени файлового потока. У меня он был XVgf. Был обнаружен ключ HKLM\SOFTWARE\TrendMicro\HijackThis\Ignore1 со значением "O2 - AppInit_DLLs: C:\windows\system32\wdl.tmp:XVgf". Удален целиком. Больше следов не осталось.
Перезагрузился, никакой подозрительной деятельности или следов виря не нашел.
Все, ушел проверяться кьюритом, хотя сдается мне это бесполезно, т.к. не умеет оно с файловыми потоками и вирусами в них бороться. Всем спасибо и удачи!
