Заблокирован Windows (Trojan.Winlock, etc...)

[Obivan]

by cinder
Обзор темы, все полезные ссылки собраны здесь

Часть первая. Онлайн

Сервис деактивации вымогателей-блокеров
http://virusinfo.info/deblocker/

разблокировщик Dr.Web от Trojan.Winlock
http://www.drweb.com/unlocker/index/

разблокировщик от Касперского
http://support.kaspersky.ru/viruses/deblocker

Сервис по разблокировке от ESET
http://esetnod32.ru/support/winlock.php

Часть вторая. Оффлайн

Ransom Hide - утилита для подбора кода разблокировки
http://www.nowa.cc/showthread.php?t=262083
http://mbty2010.narod.ru/

F.A.Q. Злобный троян-вымогатель «Windows заблокирован, пошлите смс на номер…. http://www.nowa.cc/showpost.php?p=3605040&postcount=9

Восстановление userinit.exe /StayeR/
Подробнее

1. Заводим установочный диск с виндой. Винда должна быть ОБЫЧНАЯ, БЕЗ автоустановки.
2. В самом первом меню жмем "R" для запуска консоли восстановления.
3. Входим в нужную нам копию Windows, вводим пароль администратора, если такового нет - просто Enter.
4. Появится командная строка с буквой диска и путем с Windows. Запоминаем, а лучше записываем этот путь. (По умолчанию C:\windows)
5. Вводим команду map src - получаем все буквы дисков. Нас интересует CdRom. Вид такой: D: \Device\CdRom0. (По умолчанию d: )
6. Вводим букву + : (напр. D: )
7. Заходим в папку i386, для этого пишем cd i386\
8. Финальная команда EXPAND userinit.ex_ пробел и указываем путь к папке windows, который мы записывали в пункте 4 ПРИБАВЛЯЯ в конце system32\userinit.exe т.е команда по умолчанию выглядит так : expand userinit.ex_ C:\windows\system32\userinit.exe
9. Перезагружаем машину - пишем Exit.

Если же имеем неправильную строку в реестре, то тут нужно завести LiveCD, в котором есть возможность редактировать удаленный реестр. Я для этого использую Live iNFRA CD. Там все просто - цепляемся к удал. реестру исправляем ключ Userinit и в путь...

Также

Специалист ЛК учит бороться с вирусом-шантажистом
http://www.securitylab.ru/news/378527.php

Главное антивирусное средство - голова!
http://habrahabr.ru/blogs/i_am_clever/56923/

Если имеется стойкое желание дать по рогам авторам вирусов-вымогателей, то читайте
Как нахлобучить SMS-мошенников?
http://pazzive.livejournal.com/188661.html

[AndreyWM]

StayeR,
Аналогичная ситуация была сегодня у клиента. СМС t767062004, черный экран, таймер три часа. Загрузился с LiveCD, нашел два файла в system32 и в Aplication Data, xxxlib.dll удалил не помогло. Dr.Web ни чего не обнаружил. Сунул дистрибутив винды, запустил востановление системы, востановление прошло, комп загрузился. Но есть стойкое подозрение, что дрянь эта вылезет опять.

[StayeR]

Готово! Отловил! Значится вот так это выглядит, когда машина заражена:
Скрин

Вот отсюда "Ветер дует", это ссылка на загрузку вируса:
http://91.205.111.61/hotsex/movie.ph...adivanie&id=1#
ОСТОРОЖНО! При открытии ссылки, якобы должен открыться порно ролик, но система ругается, типа отсутсвует необходимый для воспроизведения кодек, и предлагает его установить. После установки - все идет по кругу, пока не закроешь эксплорер.
Имя файла который запускается: XvidDecoder1 (1).exe

Вот так выглядит процесс заражения:
Скрин

После перезагрузки будет борода...

Теперь о процессе лечения, вылечить можно только с помощью LiveCD...
Все варианты - Безопасный режим + командная строка, комбинации клавиш - наглухо заблокированны.
Инсталлируется вирус во временную папку со случайным именем.
Запускается через ключ Userinint. Запустив LiveCD и подключившись к реестру обнаружил такую строку:
C:\windows\system32\userinit.exe,C:\Documents and Settings\имя юзера\Local Settings\Temp\nod4.tmp.
Открыв саму папку Temp, обнаружил еще тела:
nod2.bin
nod2.tmp
nod3.bin
nod3.tmp
nod4.bin
nod4.tmp
nod5.bin
nod5.tmp
Благополучно вырезал их, перезагрузился и готово! Вывод: так как вирус постоянно модифицируется, значит имена могут быть самые интересные, поэтому можно смело полностью очистить временные файлы.
Основные пути:
c:\Documents and Settings\*имя пользователя*\Local Settings\Temp\
c:\Documents and Settings\*имя пользователя*\Local Settings\Temporary Internet Files\

Теперь осталось только поправить реестр по адресу HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\параметр Userinit - должен выглядеть С:\windows\system32\userinit.exe.
Теперь, в идеале заюзать AVZ+ CureIT, затем установить НОРМАЛЬНЫЙ антивирус.
Готово!
PS: Просканировал файлы своим нодом (Eset 3 версия) с сегодняшними базами - и очень расстроился...

P.P.S: Приклыдаваю сам загрузчик + распакованный вирус:

http://depositfiles.com/ru/files/wpi1hmk98
http://depositfiles.com/files/v5y9s49hu

http://rapidshare.com/files/223495839/Win.rar.html
http://rapidshare.com/files/22349604...oder1.rar.html
Пароль: Стандартный...

[maximum1]

а не кто не пробовал выждать 3 часа, и какие последствия ?

[palad]

схватил такуюже дрянь.
только вот офрмление другое.

[cinder]

Тема поднималась еще в разделе Windows. Привожу ссылку, чтобы вся информация была вместе
http://www.nowa.cc/showthread.php?t=215617

Symantec уже детектирует.



На VirusTotal только 9 из 40 вендоров детектируют.
http://www.virustotal.com/analisis/d...ee63c08dff9406

Хотя в самом начале блокер руками прищучили: самое главное антивирусное средство голова
http://habrahabr.ru/blogs/i_am_clever/56923/

[AndreyWM]

Ну что, очередной клиент с уже дорогим сердцу экраном блокировки. LiveCD, NOD32 v.3 последние базы сигнатур, запускаю NOD тут же детектирует эту дрянь с названием XvidDecoder1.exe удаляет. Дальше реестр ручками, все. Очень порадовался за ESET

[palad]

я вот схватил эту дрянь, оставил комп на ночь, разблокировалась, но нод убился, и теперь не могу его поставит, пишет что недостаточно прав. что за хрень? и реестр запустить не могу. подскажите чтонибудь

[bobruisk]

мы соратники с тобой .. поставили перед фактом, что эта фигня у главбуха.. приехал загрузился с ливе сд.. вроде помогло... но антивирь (avast) тоже убит, заново ставится, но хранилище дырявое то ли его ваще нет.. др антивири не работают.. также не запускаются реестр, msconfig, system restore.. реестр правда запустился посредством переименовки соответсв файла regedit в C\windows на regedit.com.. Кстати предполагаю, что ERD commander-ом (есть функция system restore каки в винде) можно вернуть более раннее состояние системы и поставить антивирь без проблем

[palad]

сделал откат системы, работает, тьфу тьфу тьфу

[cinder]

bobruisk
На днях я такой руткит словил на машине менеджера. Сейчас подробно расскажу как избавиться.

1) он использует три драйвера из system32 для скрытия своего присутствия - securent.sys, nicsk32.sys, port135sik.sys. Имена могут быть другие, узнать их названия можно, запустив AVZ. Но только предварительно нужно переименовать в avz.com или что-то другое. Иначе запустить не получится. AVZ еще ругнется, что запущен отладчик процессов ntsd -d (NT Simple Debugger вполне нормальный файл в недрах system32 с цифровой подписью Microsoft)
2) Дебаггер - стало ясно, почему на машине убит NOD (выдает что-то про kernel) и не работает Dr.Web CureIT, не запускается regedit.exe. Хотя если переименовать в regedit1.exe, то все в норме.
3) Запускаем редактор реестра, идем в
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
Здесь перед нами открывается богатый список процессов, которые вирус не хочет видеть запущенными:
avz4.exe ntsd -d
avz.exe ntsd -d
kav.exe ntsd -d
drweb.exe ntsd -d
и т.д.
Задача проверить все ключи этой ветки и удалить те, которые содержат ntsd -d
4) Еще возможно что-то будет здесь X:\Documents and Settings\%username%\%username%.exe

После этого (пере)установить антивирус и просканить все.

[StayeR]

Цитата: Сообщение от AndreyWM Ну что, очередной клиент с уже дорогим сердцу экраном блокировки. LiveCD, NOD32 v.3 последние базы сигнатур, запускаю NOD тут же детектирует эту дрянь с названием XvidDecoder1.exe удаляет. Дальше реестр ручками, все. Очень порадовался за ESET

Где нод смог найти этот файл - XvidDecoder1.exe??? После заражения, вирус создает батник с функцией уничтожения загрузчика... Остаются только *.tmp файлы в Temp.

palad
Банальным откатом - проблему не решишь... Практически любой, более/менее нормальный вирус скидывает свои копии в точки восстановления.
В идеале нужно прогнать нормальным антивирусом, как МИНИМУМ!

Вот последний отчет VirusTotal, на последнюю модификацию вируса:
http://www.virustotal.com/ru/analisi...b9c1a094a1ddb9

[AndreyWM]

StayeR,

Цитата: Сообщение от StayeR Где нод смог найти этот файл - XvidDecoder1.exe???

Цитата: Сообщение от cinder Еще возможно что-то будет здесь X:\Documents and Settings\%username%\%username%.exe

Только имя было оригинальное-XvidDecoder1.exe.

[Иван001]

У меня при условии что стоял лецинзионный антивирь эта сволочь все равно проскачила, и не помогают ваши советы! Блин!

[cinder]

Иван001
И другие
1) лицензионность антивируса не гарантирует 100% безопасности. Можно и сломанный использовать - все равно подцепите эту заразу. Красивые сказки про эвристические алгоритмы можно списать на маркетинговые ходы.
2) Так происходит потому, что вирусные базы обновляются по факту, т.е. после появления вирусов.
3) Вирус упакован пакером, пару байт подправили и уже антивирус не увидит.
4) Нельзя дать полный всеобъемлющий совет, который будет действовать во всех случаях, советы дают применительно к версиям, которые уже были обнаружены.

На этом оффтоп заканчиваю
Кто хочет пообсуждать какой антивирус лучше - http://www.nowa.cc/forumdisplay.php?f=43

[AndreyWM]

Цитата: Сообщение от Иван001 и не помогают ваши советы

Какие именно? Сегодня к примеру, был еще один клиент, с Black Screen of Dead Не стал возиться, некогда было, откатил винду и запустил NOD32. В этот раз он выловил это Windows\System32\djlib.dll.