Перейти к содержимому


Фото
- - - - -

Последствия WinLock


  • Please log in to reply
19 ответов в этой теме

#1 valeo379

valeo379

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Январь 2010 - 15:53

вчера победил заразу (почти) - побеждаю последствия...
что делал:
1. Загрузка winpe (типа LiveCD+soft) c CD.
2. Альтернативным редактором реестра открываю свой реестр и правлю т.е. удаляю HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows значение параметра AppInit_DLLs (было C:\WINDOWS\system32\dllcache\c_20880.nls:bNT7FA+yLaix5XG)
3. Качаю Virus Removal Tool от Касперского (благо загрузочный CD с WinPE сеть нормально настроил). Ставлю в корень больного С:\
4. Гружу больную ОС без шнурка (вирь не активен)
5. Старт Virus Removal Tool
результат -

4.01.2010 0:46:59 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\dllcache\c_20880.nls:bNT7FA+yLaix5XG
04.01.2010 0:46:59 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\fgpbsdtye.dll
04.01.2010 0:46:59 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\g.dll
04.01.2010 0:46:59 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\tn.dll
04.01.2010 0:47:00 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\uqthgkvn.dll
04.01.2010 0:47:00 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\xqz.dll
04.01.2010 0:47:00 Обнаружено: Trojan-Downloader.Win32.Piker.bae C:\WINDOWS\system32\zzjbojtzx.dll
Был еше ЕХЕ в кеше браузера.

6. Имею рабочий комп, но блокирован запуск реестра и диспечера, блокирующих ключей в реестре не нашел, разблокировал Групповой политикой безопасности.
7. НО!!! блокирован запуск моего антивиря (Symantec End Point...11) все тойже политикой безопасности, как победить я незнаю ПОМОГИТЕ!
процессы антивиря стартуют, но GUI вызвать нельзя ((. Где копать? и чем?

#2 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 04 Январь 2010 - 16:16

valeo379
Здравствуйте. Вы пришли в ветку форума, где действуют свои Правила
Пожалуйста, выполните их.
Все, что нашел Virus Removal Tool, пожалуйста, отправьте в вирлаб Доктора
Сделайте логи по правилам этой ветки форума. Тогда и будут возможные рекомендации.

#3 valeo379

valeo379

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Январь 2010 - 18:13

Сделал по Правилам, логи прилагаю.

Прикрепленные файлы:

  • Прикрепленный файл  TEST.7z   159,16К   51 Скачано раз


#4 Driver

Driver

    Advanced Member

  • Posters
  • 802 Сообщений:

Отправлено 04 Январь 2010 - 18:27

Сделал по Правилам, логи прилагаю.


Пофиксить:


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

#5 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 04 Январь 2010 - 18:35

C:\WINDOWS\system32\sdra64.exe- в вирлаб

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#6 valeo379

valeo379

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Январь 2010 - 21:13

C:\WINDOWS\system32\sdra64.exe файла нет на винте.

Пофиксить:

чем?

#7 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 04 Январь 2010 - 21:19

C:\WINDOWS\system32\sdra64.exe файла нет на винте.

Посмотрите наличие файла вот таким образом http://wiki.drweb.com/index.php/Скрытые_процессы

Пофиксить:

чем?

HJ
Если не получится-ручками

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#8 valeo379

valeo379

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Январь 2010 - 22:15

Fix выполнил HJ при повторном скане HJ строки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
нету.
CureIT при -sp/copy: файла не скопировал.
Но, по прежнему запуск Symantec Endpoint Protection (SymCorpUI.exe) по прежнему заблокирован политикой безопасности. ((

#9 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 04 Январь 2010 - 22:19

Fix выполнил HJ при повторном скане HJ строки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
нету.
CureIT при -sp/copy: файла не скопировал.
Но, по прежнему запуск Symantec Endpoint Protection (SymCorpUI.exe) по прежнему заблокирован политикой безопасности. ((

Распаковать-запустить.
Должно появиться 3 файла c:\drwebX.txt приложить здесь

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#10 valeo379

valeo379

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Январь 2010 - 22:37

Распаковать-запустить.
Должно появиться 3 файла c:\drwebX.txt приложить здесь

Сделано.

Прикрепленные файлы:



#11 mrbelyash

mrbelyash

    Беляш

  • Helpers
  • 25 897 Сообщений:

Отправлено 04 Январь 2010 - 22:40

Распаковать-запустить.
Должно появиться 3 файла c:\drwebX.txt приложить здесь

Сделано.

Удалить из реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{1B21CA49-D049-4CE7-85B3-0F257164181D}]
"ItemData"="C:\\Program Files\\Common Files\\Symantec Shared"
"SaferFlags"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{45BA151B-9D4E-44A5-ADE0-2116DBF684D1}]
"ItemData"="C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files"
"SaferFlags"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{A6D823DF-F0F0-4110-B427-CD275C59B227}]
"ItemData"="C:\\Program Files\\Symantec"
"SaferFlags"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{F5B37C20-506C-470C-9D54-F2029A8D4156}]
"ItemData"="C:\\Documents and Settings\\All Users\\Application Data\\Symantec"
"SaferFlags"=dword:00000000

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


#12 valeo379

valeo379

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 04 Январь 2010 - 22:58

Простите за офф, но все таки -
Низкий поклон и уважение команде раздела "Помощь по лечению" за их прямые руки и терпение к нашим кривым рукам. ))

#13 darkwish

darkwish

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 04 Январь 2010 - 23:40

Присоединяюсь к последнему автору, низкий поклон итд, НО увы у меня нет возможности/времени/желания делать все те танцы с бубном/реестром/итд что тут рекомендуют гуру drweb, и меня как конечного пользователя больше интересует КОГДА уважаемые гуру добавят возможность автоматического лечения этой бяки в LiveCD и CureIT,чтоб я тупо загрузился с LiveCD или другого винта и прогнав сканирование вычистил всю заразу с зараженного винта на корню!!!

P.S-А то советы что дают тут, давно не новы и раздаются на virusinfo,а меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!

#14 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 04 Январь 2010 - 23:52

меня как конечного пользователя больше интересует КОГДА уважаемые гуру добавят возможность автоматического лечения этой бяки в LiveCD и CureIT,чтоб я тупо загрузился с LiveCD или другого винта и прогнав сканирование вычистил всю заразу с зараженного винта на корню!!!

Не раньше, чем конкретная зараза попадет в Вирлаб, где от нее сделают противоядие.

меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!

Вам с Суппорт в таком случае: http://support.drweb.com/
С уважением,
Борис А. Чертенко aka Borka.

#15 darkwish

darkwish

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 05 Январь 2010 - 00:24

меня как конечного пользователя больше интересует КОГДА уважаемые гуру добавят возможность автоматического лечения этой бяки в LiveCD и CureIT,чтоб я тупо загрузился с LiveCD или другого винта и прогнав сканирование вычистил всю заразу с зараженного винта на корню!!!

Не раньше, чем конкретная зараза попадет в Вирлаб, где от нее сделают противоядие.

меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!

Вам с Суппорт в таком случае: http://support.drweb.com/



Спасибо конечно за оперативный ответ!

Но №1-Это-то ясно,но просто я жду-жду и непонятно, сколько времени на это потребуется,просто лично я "подцепил" 30-31,а некоторые ощутимо раньше,у меня злосчастный DownloadMaster с телефоном 4460 который даже в SAFE ничего не позволяет(И никакие когды не подходят) а т.к комп "рабочий" я себе позволить "игры" с ним не могу, и я ОЧЕНЬ надеюсь что Dr.Web решит эту проблему до 11 января, т.к лично я услышав что Софт какой либо конторы лечит эту хрень и дает гарантию что она снова не проскочит,куплю именно его!

№2-А смысл? Я базы обновлял КАЖДЫЙ день,а он всеравно "пропустил",при том что я ничего подозрительного не качал!
Так-что супорта мне скажут тожесамое что и вы в 1ом пункте!

#16 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 05 Январь 2010 - 00:37

меня как конечного пользователя больше интересует КОГДА уважаемые гуру добавят возможность автоматического лечения этой бяки в LiveCD и CureIT,чтоб я тупо загрузился с LiveCD или другого винта и прогнав сканирование вычистил всю заразу с зараженного винта на корню!!!

Не раньше, чем конкретная зараза попадет в Вирлаб, где от нее сделают противоядие.

меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!

Вам с Суппорт в таком случае: http://support.drweb.com/

Но №1-Это-то ясно,но просто я жду-жду и непонятно, сколько времени на это потребуется,просто лично я "подцепил" 30-31,а некоторые ощутимо раньше,у меня злосчастный DownloadMaster с телефоном 4460 который даже в SAFE ничего не позволяет(И никакие когды не подходят) а т.к комп "рабочий" я себе позволить "игры" с ним не могу, и я ОЧЕНЬ надеюсь что Dr.Web решит эту проблему до 11 января, т.к

Хм... Как Вы себе представляете решение проблемы? :lol: Без файла, без логов... Кстати, подавляющее большинство хватают сусликов на совершенно рабочие компы. И успешно лечатся.

лично я услышав что Софт какой либо конторы лечит эту хрень и дает гарантию что она снова не проскочит,куплю именно его!

Ну, уж гарантию точно никто не даст. ;) Даже страховой полис нынче не дает. :(

№2-А смысл? Я базы обновлял КАЖДЫЙ день,а он всеравно "пропустил",при том что я ничего подозрительного не качал!

А это неважно - качал или не качал, оно само скачивается со взломанного сайта. Так что времена, когда можно было что-то подцепить только на сайтах сомнительного содержания, давно прошли...
С уважением,
Борис А. Чертенко aka Borka.

#17 darkwish

darkwish

    Newbie

  • Posters
  • 3 Сообщений:

Отправлено 05 Январь 2010 - 00:52

меня как конечного пользователя больше интересует КОГДА уважаемые гуру добавят возможность автоматического лечения этой бяки в LiveCD и CureIT,чтоб я тупо загрузился с LiveCD или другого винта и прогнав сканирование вычистил всю заразу с зараженного винта на корню!!!

Не раньше, чем конкретная зараза попадет в Вирлаб, где от нее сделают противоядие.

меня как пользователя полноценного лицензионного Dr.Web интересует способ решения(LiveCD,СureIT итд)непосредственно от сотрудников ЭТОЙ КОМПАНИИ!

Вам с Суппорт в таком случае: http://support.drweb.com/

Но №1-Это-то ясно,но просто я жду-жду и непонятно, сколько времени на это потребуется,просто лично я "подцепил" 30-31,а некоторые ощутимо раньше,у меня злосчастный DownloadMaster с телефоном 4460 который даже в SAFE ничего не позволяет(И никакие когды не подходят) а т.к комп "рабочий" я себе позволить "игры" с ним не могу, и я ОЧЕНЬ надеюсь что Dr.Web решит эту проблему до 11 января, т.к

Хм... Как Вы себе представляете решение проблемы? :( Без файла, без логов... Кстати, подавляющее большинство хватают сусликов на совершенно рабочие компы. И успешно лечатся.

лично я услышав что Софт какой либо конторы лечит эту хрень и дает гарантию что она снова не проскочит,куплю именно его!

Ну, уж гарантию точно никто не даст. ;) Даже страховой полис нынче не дает. :lol:

№2-А смысл? Я базы обновлял КАЖДЫЙ день,а он всеравно "пропустил",при том что я ничего подозрительного не качал!

А это неважно - качал или не качал, оно само скачивается со взломанного сайта. Так что времена, когда можно было что-то подцепить только на сайтах сомнительного содержания, давно прошли...



:(

Вы меня загнали в глубокую печаль!
P.S-В общем когда появится версия LiveCD способная "вычищать" эту заразу без танцов с бубном,надеюсь на форуме сообщат!
Завтра попробую еще раз пройтись последним LIVECD на ПОЛНУЮ,а заодно из под негоже попробую сделать для вас LOGи!

#18 Dartline

Dartline

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 05 Январь 2010 - 01:02

Сделал по Правилам, логи прилагаю.


Пофиксить:


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

от этой фигни есть скрипт для AVZ, на компе висел порнобаннер.
если надо, то вот они

Прикрепленные файлы:

  • Прикрепленный файл  avz1.txt   1,05К   57 Скачано раз
  • Прикрепленный файл  avz2.txt   1,48К   80 Скачано раз

Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль

#19 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 05 Январь 2010 - 01:19

Вы меня загнали в глубокую печаль!

Ну, извините. :(

P.S-В общем когда появится версия LiveCD способная "вычищать" эту заразу без танцов с бубном,надеюсь на форуме сообщат!
Завтра попробую еще раз пройтись последним LIVECD на ПОЛНУЮ,а заодно из под негоже попробую сделать для вас LOGи!

Понимаете, в чем проблема... Это ВЫ должны сказать, способен ли Доктор вычистить эту заразу. А то аналитики, редиски, отказываются делать лечение даже по скриншоту, а тут без сэмплов, без логов, без скринов... А хрустальные шарЫ все никак из ремонта не заберут. :lol:
С уважением,
Борис А. Чертенко aka Borka.

#20 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 05 Январь 2010 - 01:24

Сделал по Правилам, логи прилагаю.

Пофиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

от этой фигни есть скрипт для AVZ, на компе висел порнобаннер.
если надо, то вот они

"Этой фигни" настолько дофига, что чужой скрипт не очень поможет. :( Точнее, очень не поможет. Скрипты прописываются хелерами, которые видят логи и точно знают, что и как делать.
С уважением,
Борис А. Чертенко aka Borka.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых