» Windows заблокирован!

И мне на днях попался на "лечение(операцию)" комп, хорошо не ноут (трахался 2 вечера, пока прибил). Был "засран" по самые уши, только СМС-вымогателей 3(ТРИ), не считая авторана и прочеи мелочи. Это предисловие, а так в голову пришел простой способ.
1. Отстегнул родной винт (SATA).
2. Подстегнул свой старинький (АТА)
3. Залил быстренько Винду и поставил КИС2010 в демо-лицензии, AVZ, Spibot
4. Подстегнул (по горячему) родной винт и .... что тут началось., вобщем часа чере 4, данные все (почти) спас, винду и софт пришлось поставить заново.
Вобщем вот такой способ. Могет кому поможет.

kpuk, да обязательно. предвижу, что ещё не один вызов будет с таким зверьком.
и тело дай для опытов на виртуалке погонять. Надо быть готовым к нашествию. Качаю alkid.live.cd.usb.full.2009.12.21

-------------- updated ----------------
Vigorous, спасибо за совет. Уже качаю...

1Kipovec

Цитата:

Подстегнул (по горячему)

вот это совсем лишнее...


все проще решается через Live CD


Добавлено:
ynbIpb
лучше несколько дисков при себе иметь,
качни ещё - "RusLiveFull"

я лично считаю лучшим "NhT LiveCD"
(правда староват, но легко дорабатывается)

Попалась такая хрень По Касперскому
trojan-downloader.win32.Piker.atv в народе
Download master SMS на номер 4460
Пробовал всем чем можно(AVZ, HiJackThis, gmer, ERD, minDrWebLiveCD-5.0.1 ,...) , но берется тока Kaspersky Rescue Disk со свежими базами!!!
И так По порядку
1. Скачиваем Kaspersky Rescue Disk
2. Обновляем базы с помощью этой инструкции
3.Режем изошник

pungva, а какие имена файлов и где расположены были?

ynbIpb
dll`ки windows/system32 штук 15 и такие же windows/temp и еще у пользователей в Local Settings/Temp

pungva
Если это разновидность Get Accelerator, то могут быть ещё заражённые драйвера. Вы лог AVZ сделать можете и выложить? Желательно с включенным AVZPM.

gjf
Окно локера ушло, прошел AVZ с PM ! Вроде все заработало Буду исследовать дальше!
-----------------------------------------------------------
Протокол антивирусной утилиты AVZ версии 4.32
Сканирование запущено в 28.12.2009 21:38:49
Загружена база: сигнатуры - 255950, нейропрофили - 2, микропрограммы лечения - 56, база от 27.12.2009 20:03
Загружены микропрограммы эвристики: 374
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 162411
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Видимый процесс с PID=3576, имя = "\Device\HarddiskVolume2\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe"
>> обнаружена подмена имени, новое имя = "c:\progra~1\intel\wireless\bin\dot1xcfg.exe"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 53
Количество загруженных модулей: 368
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Documents and Settings\ор\Local Settings\Temp\~DF4960.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 6 TCP портов и 7 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\oswfxt.dll"
>>> Обратите внимание - заблокирован диспетчер задач
>>> Обратите внимание - заблокирован редактор реестра
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Блокировка редактора реестра
>>> Блокировка редактора реестра - исправлено
>> Блокировка диспетчера задач
>>> Блокировка диспетчера задач - исправлено
>> Заблокированы настройки системы System Restore
>>> Заблокированы настройки системы System Restore - исправлено
Проверка завершена
Просканировано файлов: 61756, извлечено из архивов: 56024, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 28.12.2009 21:45:01
------------------------------------------------------------------------

этот падоначный вирус (Download master SMS) насоздавал на более чем 5гб длл-ок в систем32 размером 140кб!!
самое оптимальное решение в данной ситуации я считаю переустановка системы!

kpuk
если это все что он наделал - оптимальное решение батник

bomzzz
ха ну я так понимаю это не просто там лежит..
Короче я вот с 9 утра по 16 вечера пытался его вывести разными способами, и безуспешно. Но потом просто поставил заново винду и проблема ушла. Вот именно поэтому я написал что в этом случае лучше и легче перебить виндовс.
К томуже в моём случае это даже предпочтительнее - там стояла полурусская хр без сп.
зы: хотя я более предпочитаю винду поднять чем переставить!

где бы подцепить исходное тело, с которого начинается заражение. хочется исследовать.

ynbIpb

Цитата:

Самое интересное: палит заголовки окон, если в нём есть: AVZ, Total commander, process explorer, антивирус и тд. сразу выключает комп.

Палевом окон, и как следствие невозможностью запустить под виндой тот же авз отличается например kates вирусы. Его хорошо лечит kateskiller на касперском. Может у тебя попалась новая версия?

slay1212
Kates палит не по окнам а по именам ресурсов в исполняемом файле. Во всяком случае - последние версии.

нее... мой исключительнопо заголовкам палил. даже просто папку с названием "антивирусы" он тутже закрывал. Переименовал в "12345" и норм открылось. И в отличии от каты мой тушил винду а не эксплорер.

сегодня бился на работе целый день с вирусом про download master, на сколько возможно биться с вирусом в 9-тиэтажке полной компов и моих любимых пользователей
пока знаю что:
в Application Data создаёт свою папку
в temp папках хранится
в system32 плодится
в безопасном тоже пашет
не лечится куритом 5ти дневной давности
блокирует taskmgr.exe и regedit.exe

пробовал забить память бААААльшим количеством запусков тоталкомандера - помогало не всегда

пробовал вообще забить комп всякими прогами случайными - помогало потом запустить тоталкоммандер

мой тотал может в реестр коннектиться, но и успешно запущеный тотал с возможностью править реестр не смог помочь - разблокировался taskmgr.exe и при его запуске ничего не происходило

удивлённ был что редактор за место блокнота в сборке zver (там кажется bred3 или другой редатор) спокойно запускается, видимо написал на редком языке и екзешник сжат как то особо

работает по разному, то dll наплодит в temp папке, то в system32 начнёт dll создавать

при запуске почти любого екзешника либо выскакивало окно вируса ещё одно либо ничего не происходило и закрывалось приложение

есть ещё много мыслей - завтра буду пробовать

пробовал время перевести, пробовал загрузку последней удачной - неа

noook
попробуй просканируйчерез Kaspersky Rescue Disk .Тока с новыми базами, можно с флешки обновиться.

короче утро вечера умдреннее
поборолся!
и винду менять не надо - считаю переустановку винды дорогим удовольствием
ну и не профессиональным способом
в итоге как я понял:
копируется значит вирус видимо с инета, с дрянного сайта, в файл *.tmp
от туда переименовываясь в exe запускается
качает с инета остатки и вкладывается в dll в папку system32
и прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="XXXXXXXXXX.dll"
вот этот вот dll надо удалить и почистить временные файлы всего (windows, ie, ...)
нашёл похожих файлов с размером 147968 байт в system32 и тоже удалил
//
http://narod.ru/disk/16463657000/temp.rar.html пароль 111
вот тут я слил файл в котором лежат файлы из папки temp и system32
там есть ещё папка с xxx там непонятные мне файлы из system32
//
я загружался с ORDO 6.3

теперь понятно почему он неубиваем в самой винде, потомучто он инжектится в каждый процесс через этот ключ реестра.
Раз он докачивает себя, фаервол в данном случае решает. У моих клиентов как раз его не было, вот и подцепили.
По ходу изначально он попадает на машину через эксплоит в браузере. или связку сплоитов.
Мой NOD32 2.7 опознал кучу DLL'ок как модифицированный Win32/Kryptik.BHX троян (вероятно спалил по использованому криптору)
Спасибо за информацию.

---- add ----
И так имеем виртуальную машину XP, инет через прокси. всё идёт через проксифер.
Переименовал *tmp файлик в virus.exe и понеслось... сразу же тупо на видном месте прописывает себя а автозапуск (видно через msconfig, стыд и срам афтору )
далее следущее:
[09:02] virus.exe - google.com:80 open
[09:02] virus.exe - google.com:80 close, 0 bytes sent, 0 bytes received
[09:02] virus.exe - download.microsoft.com:80 open
[09:02] virus.exe - download.microsoft.com:80 close, 548 bytes sent, 1369431 bytes (1.30 MB) received
дальше процесс умирает из-за внутренней ошибки, о чём пишет докторватсон в своём логе.
после ребута всё посторяется...
чтоже он скачал с микрософта я так и не понял.

noook
аналогичная шняга. найден в system32 - ibgate.dll
был прописан в инитах.

"чтоже он скачал с микрософта я так и не понял." - .NET FrameWork

скорее это проверка доступа к обновлениям и тп

Полезная ссылка для пострадавших:
http://support.kaspersky.ru/viruses/deblocker

gjf
долго рожали, у др.веба давно такая страница есть...

Не все афторы смсвымогателей такие порядочные, им главное получить смс деньгу, а что там дальше с юзером будет их не волнует и по сути разблокирущего кода может не существовать.

ynbIpb
подтверждаю, уже несколько раз лечил после уплаты пострадавшим смс
(кстати берут уже 600 руб, а не 300 как раньше и в минус)

мои лошки тоже посылали, благо не было столько денег на счёти и им отказали. В минус не дали.

Ну давайте поделюсь своими траблами. Попал недели 2 назад на какую-то модификацию sdra64. Система Windows XP SP3. С помощью связки DrWeb+AVZ снес заразу, но не полностью. Т.к. часто пользуюзь спящим режимом, то сначала и не заметил. Каждый раз при перезагрузке вирус прописывает себя в автозагрузку + в реестр в userinit. Плюс еще в Temporary Internet Files активируется (делает попытку) JS.Clicker (видимо с его же подачи). В безопасном режиме вирусы не видны. Что можно сделать? Как можно поиграться с автозагрузкой, чтобы найти процесс, инициализирующий цепочку? Где еще может лежать ссылка на скрипт(реестр, %USER/Application Data)?
Сам ИТшник, но не могу понять, как все излечить.

Всем спасибо.

Цитата:

noook

в итоге как я понял:
копируется значит вирус видимо с инета, с дрянного сайта, в файл *.tmp

Адрес сайтика не подскажете?

А у кого есть сами эти вирусы? Выложите куда-нибудь, хочу подетальней разобраться.

Хочу прожку написать чтоб она их по быстрому удаляла.