Перейти к содержимому


- - - - -

Троян не дает зайти в систему.


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 37

#1 puxovik

puxovik

    Новичок

  • Members
  • Pip
  • 4 сообщений

Отправлено 13 Апрель 2009 - 17:36

Всем привет.У меня возникла какая проблема: каким-то образо проник вирус (не смотря на то, что стоит антивир NOD32). И сейчас не могу зайти в систему, т.к. при загрузке выходит окно с требованием ввести код(который я могу получить отправив смс с кодом на определенный номер) и тогда данное окно исчезнет. Может кто знает как с этим можно бороться.
Заранее спасибо

#2 Dima100

Dima100

    Живёт на форуме

  • Members
  • PipPipPipPipPipPipPip
  • 1 169 сообщений
  • Пол:Мужчина
  • Город:Старые Химки
  • Интересы:Блондинки с большой грудью или брюнетки с маленькой. Можно наоборот.

Отправлено 13 Апрель 2009 - 18:47

Новости на сайте DrWEB

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки

Подробности на сайте

#3 .creo

.creo

    Свой человек

  • Members
  • PipPipPipPipPipPip
  • 786 сообщений
  • Пол:Мужчина
  • Город:DefaultCity
  • Интересы:лучше вам и не знать %)

Отправлено 13 Апрель 2009 - 19:44

Безвыходных ситуаций нет !

#4 puxovik

puxovik

    Новичок

  • Members
  • Pip
  • 4 сообщений

Отправлено 13 Апрель 2009 - 20:49

Просмотр сообщенияDima100 (13.04.2009, 20:47) писал:

Новости на сайте DrWEB

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки

Подробности на сайте

Огромное спасибо. ;)

#5 MaZaHaKa

MaZaHaKa

    Втянувшийся

  • Members
  • PipPipPip
  • 249 сообщений
  • Пол:Мужчина
  • Город:пос. Ржавки
  • Интересы:глобальные и локальные сети, сетевое администрирование, сборка компов

Отправлено 14 Апрель 2009 - 00:13

буквально сегодня заходила соседка с такой же хренью... спасибо вам за решение, завтра пойду чинить ей!

#6 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 14 Апрель 2009 - 09:38

Цитата

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска.

завтра оно уже само починится.

#7 Cosworth

Cosworth

    Посетитель

  • Members
  • PipPip
  • 73 сообщений
  • Пол:Мужчина
  • Город:Новокуркино, Молодежная 50

Отправлено 19 Апрель 2009 - 12:36

У моего тестя таже ситуация но в другом виде - черный экранже просьба с СМС и обратный отсчет (1 час)!
Ходил по вашей ссылке - не помогло!
Подождать до конца отсчета?!
или начинать беспокоиться?!

#8 A1ex

A1ex

    Посетитель

  • Members
  • PipPip
  • 64 сообщений
  • Пол:Мужчина

Отправлено 20 Апрель 2009 - 09:17

У моего знакомого тоже вылезла табличка с черным экраном и обратный отсчет до удаления операционной системы и всех файлов на жестком диске.

Он испугался, послал СМС по этому номеру и с его телефона было списано 500 рублей.  :)



Цитата

291693524 (10:12:27 20/04/2009)
Запрос авторизации
у меня аську угнали  пишу с телефона знакомого.У меня на выходные предки сваливают!Приходи буду ждать!кстати посмотри это для тебя   ht

И по ICQ идет развод по полной, будьте бдительны! не ведитесь на подобные сообщения!

#9 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 22 Апрель 2009 - 11:47

Вышла новая версия зверя. Код от DRWeb уже не прокатывает, shift не вызывает окно спецвозможностей. Тем не менее, победить удалось. LiveCD и мозги рулят.

Наблюдаемая картина у пациента:
1. При загрузке после ввода пароля для входа в систему возникает черный экран с красной табличкой посередине, который всё так же просит отправить смс для разблокировки ПК.
2. Компьютер уже не реагирует на удержание shift и на остальные типовые комбинации клавиш.
3. В фоне слышны звуки Windows, т.е. приложения в фоне загружаются, но переключиться к ним не представляется возможным.
4. Загрузка в безопасном режиме, загрузка последней удачной конфигурации не приносят успеха.

Пораскинув мозгами по монитору, загрузился с LiveCD. Прицепил в regedit'e ветку реестра от ранее установленной на жестком диске Windows. Для этого из под Live CD запустил regedit, открыл раздел %Windows%\System32\config\ и загрузил в regedit куст из файла software
Перешел в импортированном кусте в раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  и у параметра "Userinit" вернул прежнее значение - "C:\WINDOWS\system32\userinit.exe"
после чего выгрузил измененный куст реестра обратно.
При исправлении этого ключа стало ясно, откуда растут ноги у трояна, что приписался в хвостик к Userinit.exe
А росли они из:
Прикрепленный файл  blocker.PNG   190,18К   98 Количество загрузок:

ниже привожу детект зловреда антивирусами:

Цитата

a-squared 4.0.0.101 2009.04.22 -
AhnLab-V3 5.0.0.2 2009.04.22 -
AntiVir 7.9.0.148 2009.04.22 -
Antiy-AVL 2.0.3.1 2009.04.22 -
Authentium 5.1.2.4 2009.04.22 -
Avast 4.8.1335.0 2009.04.21 -
AVG 8.5.0.287 2009.04.21 -
BitDefender 7.2 2009.04.22 -
CAT-QuickHeal 10.00 2009.04.22 -
ClamAV 0.94.1 2009.04.22 -
Comodo 1124 2009.04.21 -
DrWeb 4.44.0.09170 2009.04.22 Trojan.Winlock.50
eSafe 7.0.17.0 2009.04.21 -
eTrust-Vet 31.6.6440 2009.04.20 -
F-Prot 4.4.4.56 2009.04.22 -
F-Secure 8.0.14470.0 2009.04.22 -
Fortinet 3.117.0.0 2009.04.22 -
GData 19 2009.04.22 -
Ikarus T3.1.1.49.0 2009.04.22 -
K7AntiVirus 7.10.710 2009.04.21 -
Kaspersky 7.0.0.125 2009.04.22 Trojan-Ransom.Win32.Blocker.x
McAfee 5591 2009.04.21 -
McAfee+Artemis 5591 2009.04.21 -
McAfee-GW-Edition 6.7.6 2009.04.22 -
Microsoft 1.4602 2009.04.22 -
NOD32 4027 2009.04.22 -
Norman 6.00.06 2009.04.22 -
nProtect 2009.1.8.0 2009.04.22 -
Panda 10.0.0.14 2009.04.21 -
PCTools 4.4.2.0 2009.04.21 -
Prevx1 V2 2009.04.22 -
Rising 21.26.23.00 2009.04.22 -
Sophos 4.40.0 2009.04.22 -
Sunbelt 3.2.1858.2 2009.04.21 -
Symantec 1.4.4.12 2009.04.22 -
TheHacker 6.3.4.0.312 2009.04.22 -
TrendMicro 8.700.0.1004 2009.04.22 -
VBA32 3.12.10.2 2009.04.21 -
ViRobot 2009.4.22.1704 2009.04.22 -
VirusBuster 4.6.5.0 2009.04.21 -

весьма негусто, надо сказать.
Фанаты аваста, нода и пр. зарубежной антивирусной защиты в залёте.
Рядышком с вражеским .tmp файлом лежал еще также одноименный .bin файл. Он вообще не детектировался ни одним антивирусом. Вообщем, я грохнул обоих и перезагрузился. Вуаля.

#10 Аркадий

Аркадий

    Новичок

  • Members
  • Pip
  • 1 сообщений

Отправлено 25 Апрель 2009 - 07:56

Если "красная" табличка WinLock-ера не дает Вам загрузиться (даже в безопасном режиме), для лечения компа загрузите Windows c любого компакт диска и удалите все содержимое в пользовательских папках Temp (например c:\Documents and Settings\Имя_пользователя\Local Settings\Temp) на системном жестком диске, все равно там находится только пользовательский мусор из временных файлов, среди которых и спрятался троян в двух файлах с одинаковыми именами и расширениями bin и tmp. После очистки этих папок компьютер должен загрузиться без красной таблички и дальше Вы можете продолжить лечение "традиционными" методами, например, загрузить свежую версию антивируса и проверить и почистить содержимое системного реестра и файлы на жестких дисках.

#11 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 25 Апрель 2009 - 09:48

На ноуте с Мастадем засел такой зверюга:
Trojan-Spy.Win32.Zbot.ikh

Самое смешное то, что на ноутбуке зверь сидит даже не один...
Появляется табличка, мол, вы нам деньги, мы вам виндовс и внизу написано, перестановка Windows повредит ваш BIOS и все, что было, удалится (*тихо ржу*)

Ладно, думаю, ща посмотрим кто кого, давлю CTRL+ALT+DEL - оп-паньки Администратор отключил диспетчер задач, ля ля ля.

Ладно, думаю, полез в безопасный режим: Убрал запись в реестре, полез удалять злосчастный файл twex.exe в system32.
И тут меня постигает неудача: Администратор то оказывается отключил возможность удаления файлов...

На этом выключил ноутбук, сейчас выкачаю LiveCD Dr.Web и прибью таки гадов :) (Либо грузанусь с Ubuntu и потру все)
Плохо одно, ноутбук не мой :rolleyes:

P.S. Чистил все файлы (Папки Temp) - все равно подгружается.

Сообщение отредактировал Lexxus: 26 Апрель 2009 - 16:50


#12 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 27 Апрель 2009 - 13:19

Поделюсь, как вылечил:

1) Загрузился с liveCD Ubuntu 9.04
2) Убил файл twex.exe и twex.dll из папки C:\WINDOWS\system32
3) Почистил папку temp
4) Перезагрузился в виндовый безопасный режим
5) Пуск - Выполнить - regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit - удалил подгрузку twex.exe - оставив только "C:\WINDOWS\system32\userinit.exe"
6) Перезагрузился в обычный режим (Выскочила табличка снова)

-Ламерский способ-
7) много раз давим шифт (давим пароаметры)
8) Давим на значок вопроса и щелкаем им на Настройка
9) На высветившейся табличке давим пр. кл. мыши - выбираем печать раздела
10) Выбираем Microsoft Office Document Image - Давим Настройка
11) Выбираем вкладку Дополнительно
12) Видим папка по умолчанию - давим Обзор
13) В высветившимся меню кликаем правой кл. мыши на диске С - выбираем Проводник
14) Вы должны увидеть внизу вашу панель. Щелкаем по ней правой кл. мыши, выбираем Диспетчер задач

Если диспетчер задач не активен:
Пуск - Выпонить - gpedit.msc
Выбираем Конфигурация пользователя -> Административные шаблоны -> Система -> Возможности ctrl+alt+del -> Удалить диспетчер задач
Давим свойства - выбираем: Отключен.
Жмякаем Применить

И пробуем вызвать Диспетчер задач снова.

15) Ищем процесс portmap.exe (их может быть несколько)
Убиваем все.

16) Качаем утилиту CureIT - проверяем компьютер.

-Способ для труЪ-
Начиная с 5-го пункта:
6) Пуск Выолнить msconfig
7) Вкладка Автозагрузка
8) Видим portmap.exe  - снимаем галочку. Давим применить
9) Перезагружаемся
Далее №16)


Q: Как избавиться от этих проблем побыстрее?
A: http://ubuntu.himki.net

#13 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 29 Апрель 2009 - 09:29

Всё гениальное просто:
http://www.viruslist...logid=207758824

Но я уже придумал, как заблокировать гениальное или помешать его выполнению. И вполне возможно, что не один я придумал...

#14 Vorador

Vorador

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 013 сообщений
  • Пол:Мужчина
  • Город:portus salutis

Отправлено 29 Май 2009 - 20:40

Такая же проблема, белый экран, просьба прислать смс на номер и ввести код для лечения, но код с сайта доктор веб не помогает :/

Сижу в безопасном режиме, подскажите что делать?

З.Ы. сейчас попробую выполнить описанное в ссылке XL'я

Сообщение отредактировал Vorador: 29 Май 2009 - 20:48


#15 Vorador

Vorador

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 013 сообщений
  • Пол:Мужчина
  • Город:portus salutis

Отправлено 29 Май 2009 - 20:59

Действия по ссылке Xl'я не помогли, так как на комбинацию Win+U ничего не происходит

#16 Vorador

Vorador

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 013 сообщений
  • Пол:Мужчина
  • Город:portus salutis

Отправлено 30 Май 2009 - 18:27

Dr.WebCureIt этот вирус не видит :/

#17 .creo

.creo

    Свой человек

  • Members
  • PipPipPipPipPipPip
  • 786 сообщений
  • Пол:Мужчина
  • Город:DefaultCity
  • Интересы:лучше вам и не знать %)

Отправлено 30 Май 2009 - 18:39

Так найди сам зловреда, раз в безопасный пускает. Или в этой теме ни бум-бум ?

#18 Vorador

Vorador

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 013 сообщений
  • Пол:Мужчина
  • Город:portus salutis

Отправлено 30 Май 2009 - 19:20

Нет, в вирусах, к сожалению, мало что понимаю

#19 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 31 Май 2009 - 09:00

Vorador, смотри мое :)

Наверняка у тебя twex.exe + portmap.exe :)

Попробуй по приколу давить shift несколько раз...
А дальше читай мой пост.

#20 Vorador

Vorador

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 013 сообщений
  • Пол:Мужчина
  • Город:portus salutis

Отправлено 31 Май 2009 - 09:16

Да, у меня именно твоя болячка видимо, но ещё он в userinit.exe прописывает sdra64.exe какой-то.

На шифт не реагирует + LiveCD у меня нет, но twex.exe/dll я вроде удалил с помощью скрипта АВЗ




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных