Словил вирус
14 Apr 2009 04:46 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
Прошедшим вечером случилась неприятная история. Хочу предупредить всех!
Системы защиты (а их у меня ажно три, одновременно действующие) были "пробиты" вирусами - Trojan.Winlock, который, в свою очередь, был, повидимому, загружен с помощью червя Trojan-Downloader.Win32.Small.jls.
Итог - появление при загрузке Windows следующего сообщения:
Система не загружается ни в каком режиме, в том числе и безопасном, переключиться на диспетчер задач невозможно. Компьютер становится неработоспособен.
Диагноз.
Часть 1. Дня три назад мне пришло по "одноклассникам" письмо от моего доброго друга, со ссылкой - типа, глянь. Доверяя сайту и своему другу - я прошел по ссылке, которая, как выяснилось, была просто "разводиловом" на деньги. Судя по всему, вирус Trojan-Downloader.Win32.Small.jls я там и подхватил (сказался низкий уровень защиты Internet Explorer, выставленный мной для работоспособности Siebel CRM). Вот похожий опыт, по данным антивирусного форума. На мое удивленное письмо друг ответил, что это хакеры взломали его пароль на "одноклассниках" и шлют спам. Пока на том я и успокоился.
Часть 2. Загруженный, по-видимому, червь (не опознаваемый еще антивирусом) закачал Trojan.Winlock и запустил его. Все защиты одновременно сработали, но ничего полезного не сделали - комп завис, пришлось его перезапускать. После перезапуска - получил то самое окно, что изображено выше...
Выводы. Ситуация серьезная. Подхватить заразу можно, зайдя практически на любой сайт. Ни антивирус (Symantec Antivirus с сигнатурами от 10.04.2009), ни файрволл (Zone Alarm 5.5) помочь не смогли. Снять вирус без специальных ухищрений (описаны ниже) невозможно.
Удаление вируса.
Для того, чтобы что-то сделать, необходимо заранее "подстелить соломки". А именно - завести себе загрузочный CD, (Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.
Далее - дело техники:
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin - это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll - это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp - там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки "праздника" из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска "servises.exe"
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ с содержанием "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe" и убрать лишнее, то есть должно быть так: "C:\\WINDOWS\\system32\\userinit.exe"
Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности броузера. В частности данные вирусы, как предполагается, проникают через исполнение JavaScript. Хотя тут дело тонкое - его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.
Чего ни в коем случае не нужно делать
1. Высылать СМС - то есть платить деньги злоумышленникам
2. Переходить по сомнительным ссылкам, даже полученным от друзей (каюсь...)
3. Открывать непонятные файлы, даже полученные от друзей
Все ссылки в данном посте проверены и безопасны! :-)
Удачи всем! Будьте осторожны! Надеюсь, тема развития не получит...
Системы защиты (а их у меня ажно три, одновременно действующие) были "пробиты" вирусами - Trojan.Winlock, который, в свою очередь, был, повидимому, загружен с помощью червя Trojan-Downloader.Win32.Small.jls.
Итог - появление при загрузке Windows следующего сообщения:

Система не загружается ни в каком режиме, в том числе и безопасном, переключиться на диспетчер задач невозможно. Компьютер становится неработоспособен.
Диагноз.
Часть 1. Дня три назад мне пришло по "одноклассникам" письмо от моего доброго друга, со ссылкой - типа, глянь. Доверяя сайту и своему другу - я прошел по ссылке, которая, как выяснилось, была просто "разводиловом" на деньги. Судя по всему, вирус Trojan-Downloader.Win32.Small.jls я там и подхватил (сказался низкий уровень защиты Internet Explorer, выставленный мной для работоспособности Siebel CRM). Вот похожий опыт, по данным антивирусного форума. На мое удивленное письмо друг ответил, что это хакеры взломали его пароль на "одноклассниках" и шлют спам. Пока на том я и успокоился.
Часть 2. Загруженный, по-видимому, червь (не опознаваемый еще антивирусом) закачал Trojan.Winlock и запустил его. Все защиты одновременно сработали, но ничего полезного не сделали - комп завис, пришлось его перезапускать. После перезапуска - получил то самое окно, что изображено выше...
Выводы. Ситуация серьезная. Подхватить заразу можно, зайдя практически на любой сайт. Ни антивирус (Symantec Antivirus с сигнатурами от 10.04.2009), ни файрволл (Zone Alarm 5.5) помочь не смогли. Снять вирус без специальных ухищрений (описаны ниже) невозможно.
Удаление вируса.
Для того, чтобы что-то сделать, необходимо заранее "подстелить соломки". А именно - завести себе загрузочный CD, (Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.
Далее - дело техники:
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin - это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll - это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp - там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки "праздника" из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска "servises.exe"
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ с содержанием "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe" и убрать лишнее, то есть должно быть так: "C:\\WINDOWS\\system32\\userinit.exe"
Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности броузера. В частности данные вирусы, как предполагается, проникают через исполнение JavaScript. Хотя тут дело тонкое - его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.
Чего ни в коем случае не нужно делать
1. Высылать СМС - то есть платить деньги злоумышленникам
2. Переходить по сомнительным ссылкам, даже полученным от друзей (каюсь...)
3. Открывать непонятные файлы, даже полученные от друзей
Все ссылки в данном посте проверены и безопасны! :-)
Удачи всем! Будьте осторожны! Надеюсь, тема развития не получит...
no subject
Date: 14 Apr 2009 02:18 pm (UTC)no subject
Date: 14 Apr 2009 02:22 pm (UTC)Интернет-то, не зная всех входящих, пришлось отключить - соответственно искал без подсказок, вслепую.
Это сегодня я такой умный - пролазав по инету целый день в поисках инфы...
no subject
Date: 14 Apr 2009 02:37 pm (UTC)no subject
Date: 14 Apr 2009 03:48 pm (UTC)У меня вроде все в порядке, перезапустилась, проверилась...
Надо сказать, я по ссылкам вообще стараюсь не ходить, если в адресе не написано что-то мне понятное.
А спам в одноклассниках и даже в Аське сейчас стал настолько распространенным явлением, что я по тамошним ссылкам вообще практически не хожу.
Бедный Лёшка! Просидеть до половины пятого утра, в середине недели, утром вставать на работу!!! Ужас, бр-ррр. :((
no subject
Date: 14 Apr 2009 05:41 pm (UTC)А комп для меня - ну что-то вроде больного ребенка :-) Не могу его бросить, не оказав помощи...
no subject
Date: 14 Apr 2009 07:01 pm (UTC)no subject
Date: 14 Apr 2009 05:02 pm (UTC)no subject
Date: 14 Apr 2009 05:42 pm (UTC)no subject
Date: 14 Apr 2009 06:18 pm (UTC)no subject
Date: 14 Apr 2009 08:14 pm (UTC)Как говорится - и на старуху...
no subject
Date: 14 Apr 2009 07:11 pm (UTC)no subject
Date: 14 Apr 2009 07:18 pm (UTC)1. Не подскажешь ли конкретную ссылку, где утянуть этот LiveCD, конкретно который ты бы порекомендовал (ну, или любой из могущих быть рекомендованными, ты все-таки лучше разбираешься)
2. В статье еще написано про LiveUSB. Ну, про "флэшку", то есть. Это что ж за чудо такое? Что, нынче и "флэшки" можно грузиться? А это как? Тоже нормально? Или все же лучше диск нарезать. У тебя-то, как я понял, был запасной "винт" загрузочный, а этот ЛайвСиДи - он что, реально видит не только FAT32, но и NTFS?
no subject
Date: 14 Apr 2009 08:11 pm (UTC)У меня в компе стоит mobile rack с небольшим винтом и установленной XP - как раз специально на такой случай! При этом он в норме всегда выключен - то есть гарантия его сохранности 100%!
Но и Live CD я себе тоже делать буду. Как найду подходящий дистрибутив - поделюсь :-)
Да, современные компы разрешают загрузку с USB-носителей! Беда только в том, что стандартная XP этого не умеет! Поэтому делаются такие обходные технологии.
no subject
Date: 15 Apr 2009 05:46 am (UTC)LiveCD
Date: 16 Apr 2009 02:03 pm (UTC)Re: LiveCD
Date: 17 Apr 2009 05:29 am (UTC)Re: LiveCD
Date: 17 Apr 2009 07:41 am (UTC)На первый взгляд, производит положительное впечатление.
С него и начнем :-)
Re: LiveCD
Date: 17 Apr 2009 07:40 am (UTC)Но все-таки очень желательно подписываться, особенно если Вы даете ссылки.
no subject
Date: 18 Dec 2011 06:15 pm (UTC)Ну вот - я и уложился в указанный срок! Смотри мой последний пост (http://akasoft.livejournal.com/56042.html).
no subject
Date: 19 Dec 2011 06:25 am (UTC)no subject
Date: 14 Apr 2009 08:07 pm (UTC)no subject
Date: 15 Apr 2009 05:48 am (UTC)no subject
Date: 15 Apr 2009 07:52 am (UTC)no subject
Date: 14 Apr 2009 07:33 pm (UTC)Я правда не всё поняла, внука подпишу разобраться и провести работы по подстраховке.
no subject
Date: 14 Apr 2009 08:12 pm (UTC)no subject
Date: 15 Apr 2009 06:04 am (UTC)no subject
Date: 15 Apr 2009 04:16 am (UTC)no subject
Date: 15 Apr 2009 07:52 am (UTC)к слову о фаерволах
Date: 16 Apr 2009 02:38 pm (UTC)Алексей, попробуй. возможно понравится. я вообще не использую никакого фаервола, после того как делаю скан этой программой.
http://iobit.com/advancedwindowscareper.html?Str=download
Re: к слову о фаерволах
Date: 17 Apr 2009 07:15 am (UTC)Но все-таки очень желательно подписываться, особенно если Вы даете ссылки.
no subject
Date: 4 May 2009 10:37 am (UTC)no subject
Date: 6 May 2009 11:57 am (UTC)Ну, вот например (http://www.softpedia.com/get/System/System-Miscellaneous/NTFSDOS-Professional.shtml).
Другое дело, что чем разбираться с этой утилитой - по-моему, проще найти готовые загрузочные диски, которые все это и так умеют.
no subject
Date: 6 May 2009 12:06 pm (UTC)no subject
Date: 14 Jul 2009 09:44 pm (UTC)no subject
Date: 21 Feb 2010 08:03 pm (UTC)no subject
Date: 23 Feb 2010 06:16 pm (UTC)Nod32 выводить сообщения о не подлинной версии Windows не может - это исключено. То, что у вас на компе - вирус на 300%. А вот подхватить его Вы могли и скачивая Nod32, если Вы делали это не на сайте производителя, я на каком-нибудь "левом". Далее, очень большое число сайтов "левого" видео тоже заражено, ходить по ним следует с большой осторожностью.
Что делать?
1. Я не очень понял, работоспособна ли в итоге Ваша Windows. Если нет, если выходит сообщение с требованием выслать СМС на короткий номер - попробуйте с другого компа или мобильного выйти по ссылке http://www.drweb.com/unlocker/index - это антивирусный сайт "Доктор Веб" - там есть бесплатные коды разблокировки для всех наиболее распространенных клонов вируса Trojan.Winlock. Это должно помочь хотя бы восстановить работоспособность Windows - но учтите, вирус при этом не удаляется!
2. Попробуйте скачать и запустить бесплатные антивирусные сканеры, подобные тем, которые выпускает тот же Доктор Веб (http://www.freedrweb.com/cureit/), Касперский (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/) и ряд других разработчиков. Может и не получиться, потому что вирусы сейчас стали шибко умные и кроме прочего блокируею доступ к антивирусным сайтам, а также не дают запускать ряд программ.
3. Если простые меры не помогут - Вам придется вызвать специалиста, потому что дело непростое и надо как минимум иметь при себе антивирусный загрузочный диск, о котором я писал в своем посте выше. Этот же специалист даст Вам советы, как по возможности избежать повторного заражения.
no subject
Date: 24 Feb 2010 12:23 am (UTC)Re: знакомства для секса
Date: 31 Jan 2011 06:41 pm (UTC)no subject
Date: 4 Feb 2011 10:23 pm (UTC)no subject
Date: 21 Feb 2011 07:11 pm (UTC)no subject
Date: 8 Mar 2011 02:39 pm (UTC)no subject
Date: 17 Apr 2011 06:10 pm (UTC)no subject
Date: 15 Feb 2012 08:51 am (UTC)