akasoft: (Default)
[personal profile] akasoft
Прошедшим вечером случилась неприятная история. Хочу предупредить всех!

Системы защиты (а их у меня ажно три, одновременно действующие) были "пробиты" вирусами - Trojan.Winlock, который, в свою очередь, был, повидимому, загружен с помощью червя Trojan-Downloader.Win32.Small.jls.

Итог - появление при загрузке Windows следующего сообщения:

Система не загружается ни в каком режиме, в том числе и безопасном, переключиться на диспетчер задач невозможно. Компьютер становится неработоспособен.


Диагноз.
Часть 1. Дня три назад мне пришло по "одноклассникам" письмо от моего доброго друга, со ссылкой - типа, глянь. Доверяя сайту и своему другу - я прошел по ссылке, которая, как выяснилось, была просто "разводиловом" на деньги. Судя по всему, вирус Trojan-Downloader.Win32.Small.jls я там и подхватил (сказался низкий уровень защиты Internet Explorer, выставленный мной для работоспособности Siebel CRM). Вот похожий опыт, по данным антивирусного форума. На мое удивленное письмо друг ответил, что это хакеры взломали его пароль на "одноклассниках" и шлют спам. Пока на том я и успокоился.

Часть 2. Загруженный, по-видимому, червь (не опознаваемый еще антивирусом) закачал Trojan.Winlock и запустил его. Все защиты одновременно сработали, но ничего полезного не сделали - комп завис, пришлось его перезапускать. После перезапуска - получил то самое окно, что изображено выше...

Выводы. Ситуация серьезная. Подхватить заразу можно, зайдя практически на любой сайт. Ни антивирус (Symantec Antivirus с сигнатурами от 10.04.2009), ни файрволл (Zone Alarm 5.5) помочь не смогли. Снять вирус без специальных ухищрений (описаны ниже) невозможно.

Удаление вируса.
Для того, чтобы что-то сделать, необходимо заранее "подстелить соломки". А именно - завести себе загрузочный CD, (Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.

Далее - дело техники:
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin - это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll - это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp - там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки "праздника" из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска "servises.exe"
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ с содержанием "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe" и убрать лишнее, то есть должно быть так: "C:\\WINDOWS\\system32\\userinit.exe"

Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности броузера. В частности данные вирусы, как предполагается, проникают через исполнение JavaScript. Хотя тут дело тонкое - его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.

Чего ни в коем случае не нужно делать
1. Высылать СМС - то есть платить деньги злоумышленникам
2. Переходить по сомнительным ссылкам, даже полученным от друзей (каюсь...)
3. Открывать непонятные файлы, даже полученные от друзей


Все ссылки в данном посте проверены и безопасны! :-)

Удачи всем! Будьте осторожны! Надеюсь, тема развития не получит...

Date: 14 Apr 2009 02:18 pm (UTC)
From: [identity profile] gerraa.livejournal.com
Нифига себе! Спасибо за предупреждение...

Date: 14 Apr 2009 02:22 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Юльк, я вчера просидел за удалением 4 часа и лег в 5 утра :-(((
Интернет-то, не зная всех входящих, пришлось отключить - соответственно искал без подсказок, вслепую.
Это сегодня я такой умный - пролазав по инету целый день в поисках инфы...

Date: 14 Apr 2009 02:37 pm (UTC)
From: [identity profile] gerraa.livejournal.com
Ужас какой... Блин, не дай Бог. Как же я не люблю всю эту вирусную подставу :( У меня последним было общение с Exploit.PDF, засевшим на одной из страниц админки модерируемого мной сайта. Слава Богу, на мой комп АVG его не пускал, поэтому срабатывал он только при загрузке этой самой страницы.

Date: 14 Apr 2009 03:48 pm (UTC)
From: [identity profile] tygra12.livejournal.com
Ужас!!! :((

У меня вроде все в порядке, перезапустилась, проверилась...
Надо сказать, я по ссылкам вообще стараюсь не ходить, если в адресе не написано что-то мне понятное.
А спам в одноклассниках и даже в Аське сейчас стал настолько распространенным явлением, что я по тамошним ссылкам вообще практически не хожу.

Бедный Лёшка! Просидеть до половины пятого утра, в середине недели, утром вставать на работу!!! Ужас, бр-ррр. :((

Date: 14 Apr 2009 05:41 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Очень рад, что у тебя все хорошо!
А комп для меня - ну что-то вроде больного ребенка :-) Не могу его бросить, не оказав помощи...

Date: 14 Apr 2009 07:01 pm (UTC)
From: [identity profile] valkam.livejournal.com
Во-во, и для меня тоже (: Как я тебя понимаю!

Date: 14 Apr 2009 05:02 pm (UTC)
From: [identity profile] sashawhite.livejournal.com
Да, лихо... Благодарствуем за предостережение!

Date: 14 Apr 2009 05:42 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Всегда рад помочь :-)

Date: 14 Apr 2009 06:18 pm (UTC)
From: [identity profile] krocodl.livejournal.com
а как ты сумел такое подцепить?

Date: 14 Apr 2009 08:14 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Вить, в одноклассниках - я же написал :-)
Как говорится - и на старуху...

Date: 14 Apr 2009 07:11 pm (UTC)
From: [identity profile] valkam.livejournal.com
Слушай Леш, ну, я прям не знаю, что это такое! За такую информацию денег можно брать. И, притом, много. Ваще дивлюсь я, в смысле, удивляюсь: вот так вот читаешь, читаешь всякие шутки-прибаутки во френдленте и раз полгода нежданно-негаданно натыкаешься на какую-нибудь ценнейшую инфу. Вдруг. Спасибо тебе за инфу. Никто не застрахован, кагрится. Сейчас же твой пост распечатаю, а завтра на работе нарежу альтернативную "сидючную" загрузку. Ничего не случится, так и хрен с ним, места не пролежит (:

Date: 14 Apr 2009 07:18 pm (UTC)
From: [identity profile] valkam.livejournal.com
Леш, я там прошел по ссылке, которую ты даешь в Википедии, там много разного написано и много вариантов и есть ссылка на список дистрибутивов. А там еще больше всего до фига. Лешь, у меня 2 вопроса:
1. Не подскажешь ли конкретную ссылку, где утянуть этот LiveCD, конкретно который ты бы порекомендовал (ну, или любой из могущих быть рекомендованными, ты все-таки лучше разбираешься)
2. В статье еще написано про LiveUSB. Ну, про "флэшку", то есть. Это что ж за чудо такое? Что, нынче и "флэшки" можно грузиться? А это как? Тоже нормально? Или все же лучше диск нарезать. У тебя-то, как я понял, был запасной "винт" загрузочный, а этот ЛайвСиДи - он что, реально видит не только FAT32, но и NTFS?

Date: 14 Apr 2009 08:11 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Пока не знаю, буду искать сам.

У меня в компе стоит mobile rack с небольшим винтом и установленной XP - как раз специально на такой случай! При этом он в норме всегда выключен - то есть гарантия его сохранности 100%!

Но и Live CD я себе тоже делать буду. Как найду подходящий дистрибутив - поделюсь :-)

Да, современные компы разрешают загрузку с USB-носителей! Беда только в том, что стандартная XP этого не умеет! Поэтому делаются такие обходные технологии.

Date: 15 Apr 2009 05:46 am (UTC)
From: [identity profile] valkam.livejournal.com
Понял. Хрен с ней с USB, у меня комп очень старый. Инфу по Live CD буду ждать от тебя (:

LiveCD

Date: 16 Apr 2009 02:03 pm (UTC)
From: (Anonymous)
http://www.freedrweb.com/livecd/ - от доктора Вэба

Re: LiveCD

Date: 17 Apr 2009 05:29 am (UTC)
From: [identity profile] valkam.livejournal.com
Спасибо, Аноним (: Принял к сведению. А что Леша думает? Это достойная вещь? Это то, что надо?

Re: LiveCD

Date: 17 Apr 2009 07:41 am (UTC)
From: [identity profile] akasoft.livejournal.com
Сам пока не пробовал.
На первый взгляд, производит положительное впечатление.
С него и начнем :-)

Re: LiveCD

Date: 17 Apr 2009 07:40 am (UTC)
From: [identity profile] akasoft.livejournal.com
Спасибо.
Но все-таки очень желательно подписываться, особенно если Вы даете ссылки.

Date: 18 Dec 2011 06:15 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Обещанного 3 года ждут :-)))
Ну вот - я и уложился в указанный срок! Смотри мой последний пост (http://akasoft.livejournal.com/56042.html).

Date: 19 Dec 2011 06:25 am (UTC)
From: [identity profile] valkam.livejournal.com
Ага, спасибо :)

Date: 14 Apr 2009 08:07 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Ну, Валерка, наболело!.. 4 часа своего времени я ценю! А если брать все выяснялово - так и сутки получатся! Соответственно - не хочу, чтобы мои друзья потратили свое ценное время таким же образом.

Date: 15 Apr 2009 05:48 am (UTC)
From: [identity profile] valkam.livejournal.com
Да, блин... Спасибо ((: Я ща у себя сделаю ссылку на этот твой пост. Думаю, ты ж не будешь против.

Date: 15 Apr 2009 07:52 am (UTC)
From: [identity profile] akasoft.livejournal.com
Разумеется, только ЗА! Информацию надо распространять как можно шире :-)

Date: 14 Apr 2009 07:33 pm (UTC)
From: [identity profile] lora2401.livejournal.com
Лёш, огромное спасибо.
Я правда не всё поняла, внука подпишу разобраться и провести работы по подстраховке.

Date: 14 Apr 2009 08:12 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Ага! Очень советую подстраховаться заранее. Кстати, эта страховка универсальная и поможет против ЛЮБОГО вирусного поражения!

Date: 15 Apr 2009 06:04 am (UTC)
From: [identity profile] lora2401.livejournal.com
Лёш, спасибо.

Date: 15 Apr 2009 04:16 am (UTC)
From: [identity profile] lex-bystroff.livejournal.com
Ценнейшая информация! А то в последнее время абоненты стали жаловаться на такую штуку, теперь буду знать в какую сторону копать. Спасибо!

Date: 15 Apr 2009 07:52 am (UTC)
From: [identity profile] akasoft.livejournal.com
Очень рад, если пригодилось! :-)

к слову о фаерволах

Date: 16 Apr 2009 02:38 pm (UTC)
From: (Anonymous)
сколько и пробовал фаерволов, добросовестного для себя не нашел. зато в поисках своих наткнулся на программку, которая зашивает те дыры, которые фаерволы даже не трогают..незнаю как и чем это объяснить.
Алексей, попробуй. возможно понравится. я вообще не использую никакого фаервола, после того как делаю скан этой программой.
http://iobit.com/advancedwindowscareper.html?Str=download

Re: к слову о фаерволах

Date: 17 Apr 2009 07:15 am (UTC)
From: [identity profile] akasoft.livejournal.com
Спасибо.
Но все-таки очень желательно подписываться, особенно если Вы даете ссылки.

Date: 4 May 2009 10:37 am (UTC)
From: [identity profile] doloyzwgm.livejournal.com
Спасибо, очень ценная статья. Разрешите вопрос. У меня имеется загрузочный CD серии "реаниматор", который грузит Win98 и NortonCommander, но я не могу получить доступ к разделам NTFS, чтобы выполнить ваши действия, могу только конвертировать в FAT с помощью PartitionMagic с того же диска, но боюсь. Есть ли утилиты для чтения NTFS из Доса?

Date: 6 May 2009 11:57 am (UTC)
From: [identity profile] akasoft.livejournal.com
Да, такие драйверы точно есть - например "NTFSDOS Professional"
Ну, вот например (http://www.softpedia.com/get/System/System-Miscellaneous/NTFSDOS-Professional.shtml).

Другое дело, что чем разбираться с этой утилитой - по-моему, проще найти готовые загрузочные диски, которые все это и так умеют.

Date: 6 May 2009 12:06 pm (UTC)
From: [identity profile] doloyzwgm.livejournal.com
Спасибо.
(deleted comment)

Date: 14 Jul 2009 09:44 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Спам не приветствуется

Date: 21 Feb 2010 08:03 pm (UTC)
From: (Anonymous)
Здравствуйте Алексей!!!Меня зовут Вика,у меня такая же проблема.Вот только написано что-то про эротику и убрать без сообщения невозможно.Подскажите пожалуйста может ли быть,что сам антивирус является причиной появлением таких проблем(у меня пробная версия Nod32),после её установки мне пришло сообщение,которое не убирается с экрана,что у меня не поддлинная версия -microsoft windows.Хотела скачать мультфильм,а получила сообщение отправьте смс и ничего не предпринимайте,а то полетит комп.Просто я не уверен.пользов.компьютера,просто играю в игры и смотрю фильмы.Подскажите пожалуйста,что делать?С ув.Виктория...)))

Date: 23 Feb 2010 06:16 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Здравствуйте, Вика.

Nod32 выводить сообщения о не подлинной версии Windows не может - это исключено. То, что у вас на компе - вирус на 300%. А вот подхватить его Вы могли и скачивая Nod32, если Вы делали это не на сайте производителя, я на каком-нибудь "левом". Далее, очень большое число сайтов "левого" видео тоже заражено, ходить по ним следует с большой осторожностью.

Что делать?
1. Я не очень понял, работоспособна ли в итоге Ваша Windows. Если нет, если выходит сообщение с требованием выслать СМС на короткий номер - попробуйте с другого компа или мобильного выйти по ссылке http://www.drweb.com/unlocker/index - это антивирусный сайт "Доктор Веб" - там есть бесплатные коды разблокировки для всех наиболее распространенных клонов вируса Trojan.Winlock. Это должно помочь хотя бы восстановить работоспособность Windows - но учтите, вирус при этом не удаляется!

2. Попробуйте скачать и запустить бесплатные антивирусные сканеры, подобные тем, которые выпускает тот же Доктор Веб (http://www.freedrweb.com/cureit/), Касперский (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/) и ряд других разработчиков. Может и не получиться, потому что вирусы сейчас стали шибко умные и кроме прочего блокируею доступ к антивирусным сайтам, а также не дают запускать ряд программ.

3. Если простые меры не помогут - Вам придется вызвать специалиста, потому что дело непростое и надо как минимум иметь при себе антивирусный загрузочный диск, о котором я писал в своем посте выше. Этот же специалист даст Вам советы, как по возможности избежать повторного заражения.

Date: 24 Feb 2010 12:23 am (UTC)
From: (Anonymous)
Огромнейшее спасибо-Алексей!и с праздником Вас!!!)))
(deleted comment)

Re: знакомства для секса

Date: 31 Jan 2011 06:41 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Спам не приветствуется
(deleted comment)

Date: 4 Feb 2011 10:23 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Спам не приветствуется
(deleted comment)

Date: 21 Feb 2011 07:11 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Спам не приветствуется
(deleted comment)

Date: 8 Mar 2011 02:39 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Спам не приветствуется
(deleted comment)

Date: 17 Apr 2011 06:10 pm (UTC)
From: [identity profile] akasoft.livejournal.com
Спам не приветствуется.

Date: 15 Feb 2012 08:51 am (UTC)
From: [identity profile] kearyqix.livejournal.com
Спасибочки:) Классная тема, пишите чаше – у вас отлично получается :)Image (http://zimnyayaobuv.ru/)Image (http://zimnyaya-obuv.ru/)
Page generated 7 Jun 2025 02:26 am
Powered by Dreamwidth Studios