Заблокирован Windows (Trojan.Winlock, etc...)

[Obivan]

by cinder
Обзор темы, все полезные ссылки собраны здесь

Часть первая. Онлайн

Сервис деактивации вымогателей-блокеров
http://virusinfo.info/deblocker/

разблокировщик Dr.Web от Trojan.Winlock
http://www.drweb.com/unlocker/index/

разблокировщик от Касперского
http://support.kaspersky.ru/viruses/deblocker

Сервис по разблокировке от ESET
http://esetnod32.ru/support/winlock.php

Часть вторая. Оффлайн

Ransom Hide - утилита для подбора кода разблокировки
http://www.nowa.cc/showthread.php?t=262083
http://mbty2010.narod.ru/

F.A.Q. Злобный троян-вымогатель «Windows заблокирован, пошлите смс на номер…. http://www.nowa.cc/showpost.php?p=3605040&postcount=9

Восстановление userinit.exe /StayeR/
Подробнее

1. Заводим установочный диск с виндой. Винда должна быть ОБЫЧНАЯ, БЕЗ автоустановки.
2. В самом первом меню жмем "R" для запуска консоли восстановления.
3. Входим в нужную нам копию Windows, вводим пароль администратора, если такового нет - просто Enter.
4. Появится командная строка с буквой диска и путем с Windows. Запоминаем, а лучше записываем этот путь. (По умолчанию C:\windows)
5. Вводим команду map src - получаем все буквы дисков. Нас интересует CdRom. Вид такой: D: \Device\CdRom0. (По умолчанию d: )
6. Вводим букву + : (напр. D: )
7. Заходим в папку i386, для этого пишем cd i386\
8. Финальная команда EXPAND userinit.ex_ пробел и указываем путь к папке windows, который мы записывали в пункте 4 ПРИБАВЛЯЯ в конце system32\userinit.exe т.е команда по умолчанию выглядит так : expand userinit.ex_ C:\windows\system32\userinit.exe
9. Перезагружаем машину - пишем Exit.

Если же имеем неправильную строку в реестре, то тут нужно завести LiveCD, в котором есть возможность редактировать удаленный реестр. Я для этого использую Live iNFRA CD. Там все просто - цепляемся к удал. реестру исправляем ключ Userinit и в путь...

Также

Специалист ЛК учит бороться с вирусом-шантажистом
http://www.securitylab.ru/news/378527.php

Главное антивирусное средство - голова!
http://habrahabr.ru/blogs/i_am_clever/56923/

Если имеется стойкое желание дать по рогам авторам вирусов-вымогателей, то читайте
Как нахлобучить SMS-мошенников?
http://pazzive.livejournal.com/188661.html

[moroz32]

У родственника было нечто похожее - не грузился и требовал денег через СМС. Он поставил систему на другой диск (физический). Пробовал оттуда всякими антивирусами и антитроянами лечить - не помогло. Через неделю сам запустился со старого диска. Уже месяц работает без проблем. Всем удачи.

[MajestiK]

Поймал на днях на рабочей машине. Вылезло окошко что мол Windows нелицензионный и отправьте смс со словом OPLATA на номер...

Как оказалось версия какая-то простая, окошко вылезло, вроде недает свернуться. Но 5 минут игры с альт-табом и при помощи диспетчера вирь был убит. Ну а далее по ключу в реестре было определено его месторасположения. Валялся в :\Documents and Settings\*имя пользователя*\имя.exe

Драйверов и служб в системе обнаружено небыло. EXE размер где-то 23 кб. Если надо Могу залить куданить. =)

[Djpisk]

Отлично брат поймал этот вирус завтра пойду боротся сучетом всего прочитаного! блин Avira пропустила хотя и обновил за день до этого

[MajestiK]

Немного не такой но все же зловред! =)
Поймал сегодня новую гадость (вот она правда высокоскоростного безлимита).
Очевидно что неменее поганые банеры и окна связаны с погаными зловредами.

Процесс таков, открыл браузер на движке осла. И во время серфинга браузер перестал отвечать, вкладок была куча. Мелькнуло ДОС окошко )))) что то нето... - подумал я.

В процессах ничего, хм... В корне диска С обнаружил icq2009tempfile.exe весом в пол-метра!!! Проверив онлайном оказался бэкдор что значит что есть еще файлы... Далее нашел процесс riodrv.exe - путь System32. На этом еще невсе.
Гадость грамотно грузиться
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nt\currentversion\winlogon\
* userinit = userinit.exe,riodrv.exe

Накосячить видимо неуспела, убил.

Так же в системе може присутствовать лоадер calc.ifo - в папке System32 при помощи него и грузиться видимо зловред.
В автозагрузке он прописан так Shell=explorer.exe rundll32.exe calc.ifo beforemain
Его могут также использовать с СМС-вымогалками.

Еще инфо тут _http://vil.nai.com/vil/content/v_169269.htm

[SHALUN76]

Кто сталкивался с проблемой Винды, когда вдруг перестает работать сетевая карта! У меня это ввиде эпидемии! Что делать?

[dimasky]

Цитата: Сообщение от MajestiK Процесс таков, открыл браузер на движке осла.

Дальше всё понятно, только осел цепляет всю гадость типа порнобаннеров в т.ч. и данное г.....
Используйте альтернативные браузеры тем более они бесплатны, угрозу легче предотвратить чем лечить.

[Djpisk]

Струдом но справился, в моем случае Файл зарылся в папку C:/Windows/help и назвался hlp.exe
Загрузился с инфры диска удалил файл перезагрузил и немог включить. После ввода пароля система открывалась и сразу закрывалась до места пароля т. е. завершение сеанса. Пришлось востанавливать винду! я недождался (на работу опоздывал уже на час) обьяснил брату он просканировал и нашел 52 зараженных файла система заработала ура!

[m4mind]

Спасибо за полезную информацию щас буду мутить live cd.

[Deementor]

Не бахвальство ради, а любопытства ради, шнырял по инету без файрвола и антивируса, т.е. под окнами /други знают, что моя основная OS - *nix/ целых два месяца, так вот.
Windows xp обновления безопасности до 13 февраля 2009 г.
Браузер - Firefox 3.0.10
Активный плагин NoScript

Так вот, ни одного "блокиратора" не цепанул, мало того, тем, кому удавалось залететь на машину были "нежизнеспособны".
Данные изыскания проводились в подтверждение поста http://www.nowa.cc/showpost.php?p=2361017&postcount=43 ответственный наблюдатель: http://www.nowa.cc/member.php?u=204710 / http://www.nowa.cc/showgroups.php?
Удачи,
с уважение Deementor /x-wave™/

[MajestiK]

dimasky, так я и сижу обычно в фаерфоксе) задолбали порнобанеры - в ослоподобном отключил картинки чтоб с обменников качать и вот что вышло... =)


Deementor, а IP у тебя серый или белый? ) а то с белым IP без фаер жить нельзя, да и антивирь тоже нужен... навсякий, хотя на мой взгляд грамотно настроенный фаервол и можно жить без антивиря.

Еще есть прога для мониторинга изменения папок. Вспомню - скажу. Ее можно настроить на папки типа Windows и Document and Seting ....

[Deementor]

Цитата: Deementor, а IP у тебя серый или белый? ) а то с белым IP без фаер жить нельзя, да и антивирь тоже нужен... навсякий, хотя на мой взгляд грамотно настроенный фаервол и можно жить без антивиря.

Что правда то правда, ip серый. Что же касается фаервола, то возможно ты прав, но разговоры о том, что грамотно настраивать фаервол надо, мне уже все глаза проели.
Фаервол сможет заблокировать только троянские даунлоодары в момент их загрузки инструкций с управляющего сервера, но не более. Вирусы - вредители он просто не заметит, ибо принцип их работы соверенно другой и не в какой интернет они не просятся и по этому фаерволу их не по каким признакам. Хочу напомнить, что троянская программа не относится к вирусам. Принцип другой да и цели тоже другие. Это уж неграмотные журналисты гребут всех под одну гребенку, как троянов с вирусами путают так и хакеров называют приступниками.
По поводу программ, хм, много их, вот небольшой список которыми я пользовался:

OpenedFilesView
Process_Explorer
Regmon
ProcessMonitor
ProcessActivityView

Все программы представлены по названию их экзешника.

[MajestiK]

Deementor, про фаер я так написал потому как - большинство рядовых юзеров тупо ставит что антивирь что фаервол и ненастраивает его, а потом пишут что неработает и дрянь лезет...
Согласен что троян и вирус вещи разные, самого раздражает когда вместо вредоносоного ПО пишут вирус (а потом как оказыватся это или бэкдор или трой или просто малаврь). Про вирусы могу сказать что они мене распространены в интернете, на мой взгляд в 90% случаях его проще поймать с флешки чем с инета. А вот троян это да, но его и при загрузке (это в идеале, и вирус поидее тож) можно спалить и при попытке соединения. Вот тока щас лоадеры используют, в них и пичкают всякое для обхода и антивиря и фаера....

Половину программ из списка сам использую, еще полезные Autoruns, HiJackFree, Gmer - их особенно рекомендую! (если вдруг нету))
Программа для слежения за папками FolderSpy.

[Deementor]

Цитата: Сообщение от MajestiK самого раздражает когда вместо вредоносоного ПО пишут вирус

Сори за оффтоп:
Бесит еще когда по новостному каналу крутят и упоминают один и тот же антивирусник )))

Цитата: про фаер я так написал потому как-...

Не сомневаюсь в твоей компитентности.

Цитата: Вот тока щас лоадеры используют, в них и пичкают всякое для обхода и антивиря и фаера....

Хм...для чего парится с обходом защиты антивиря и фаера, когда скрипт, использующий уязвимость в браузере зальет то что надо и так. Ибо в антивире и фаере, браузер стоит в белом листе и ему можно все, при чем, если не лезть в конфиги, а использовать настройки по умолчанию.
А вот с над тем, что прилетит юзеру, надо естественно попотеть, но и то, другой криптор и пол дела сделано.
Ни сколько не сомневаюсь что ты и большинство присутствующих тут знают про это. Это уж я так, для развития диалога.

[MajestiK]

Вот честно говоря дома ловил Pinch (картина была следующая, дистриб USD при запуске развернулся на весь экран. Распаковался баник который сменил дату на 2000 год, а тогда в каспере дырка была, и каспер отключился выдав сообщение, увидев это я первым делом отрубил кабель от модема, далее грохнул пинча))) вообще было забавно) и то потому что он был приаттачен к дистрибутиву пойманому по "рыбалке" а на работе прям чудеса! Ежедневно новая гадость)))) Конечно и ком тут настроен не мной и поидее нежедательно ставить нелицензионный софт.... но увы НОД я за антивирус несчитаю, что привело к его сегодняшней утилизации =)
Последнее что успел пропустить НОД это - червяк-спамер, (процессы servises.exe и (или) update.exe) которого я успешно обезвредил руками, после этого я решил поставить что то приличное, как оказалось от касперского выходит 2010 версия... вот его я и поставил (KIS 2010 вроде как несовсем RC но уже и не Beta), от разнообразия настроек даже глаза побежали (дааа есть что поковырять! Но для ленивых есть авто режим, как и в прдидущих версиях). Посомтрим как справиться он со своей задачей.

Если незнаите чем защитить компьютер я бы посоветовал то чем пользуюсь дома:
- XP.sp2 - Avira Free + Ashampo Firewall
- XP.sp3 KAV7 + Outpost Firewall (сейчас наверно и KAV8 можно)

Но у Авиры есть один минус, она кричит почти на все упаковыне файлы (особенно winupack нелюбит, как и я)))

[dimasky]

Цитата: Сообщение от Deementor Хм...для чего парится с обходом защиты антивиря и фаера, когда скрипт, использующий уязвимость в браузере зальет то что надо и так. Ибо в антивире и фаере, браузер стоит в белом листе и ему можно все

Утверждение спорно, т.к. в некоторых антивирусах стоит мониторинг на исполнение скриптов в браузерах, у меня допустим аваст за полгода правда но 2 раза запуск скрипта в опере предотвратил (хотя не факт что этот запуск был бы удачен и без антивиря) но как говорится факты на лицо.