![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Словил вирус
Прошедшим вечером случилась неприятная история. Хочу предупредить всех!
Системы защиты (а их у меня ажно три, одновременно действующие) были "пробиты" вирусами - Trojan.Winlock, который, в свою очередь, был, повидимому, загружен с помощью червя Trojan-Downloader.Win32.Small.jls.
Итог - появление при загрузке Windows следующего сообщения:
Система не загружается ни в каком режиме, в том числе и безопасном, переключиться на диспетчер задач невозможно. Компьютер становится неработоспособен.
Диагноз.
Часть 1. Дня три назад мне пришло по "одноклассникам" письмо от моего доброго друга, со ссылкой - типа, глянь. Доверяя сайту и своему другу - я прошел по ссылке, которая, как выяснилось, была просто "разводиловом" на деньги. Судя по всему, вирус Trojan-Downloader.Win32.Small.jls я там и подхватил (сказался низкий уровень защиты Internet Explorer, выставленный мной для работоспособности Siebel CRM). Вот похожий опыт, по данным антивирусного форума. На мое удивленное письмо друг ответил, что это хакеры взломали его пароль на "одноклассниках" и шлют спам. Пока на том я и успокоился.
Часть 2. Загруженный, по-видимому, червь (не опознаваемый еще антивирусом) закачал Trojan.Winlock и запустил его. Все защиты одновременно сработали, но ничего полезного не сделали - комп завис, пришлось его перезапускать. После перезапуска - получил то самое окно, что изображено выше...
Выводы. Ситуация серьезная. Подхватить заразу можно, зайдя практически на любой сайт. Ни антивирус (Symantec Antivirus с сигнатурами от 10.04.2009), ни файрволл (Zone Alarm 5.5) помочь не смогли. Снять вирус без специальных ухищрений (описаны ниже) невозможно.
Удаление вируса.
Для того, чтобы что-то сделать, необходимо заранее "подстелить соломки". А именно - завести себе загрузочный CD, (Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.
Далее - дело техники:
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin - это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll - это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp - там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки "праздника" из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска "servises.exe"
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ с содержанием "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe" и убрать лишнее, то есть должно быть так: "C:\\WINDOWS\\system32\\userinit.exe"
Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности броузера. В частности данные вирусы, как предполагается, проникают через исполнение JavaScript. Хотя тут дело тонкое - его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.
Чего ни в коем случае не нужно делать
1. Высылать СМС - то есть платить деньги злоумышленникам
2. Переходить по сомнительным ссылкам, даже полученным от друзей (каюсь...)
3. Открывать непонятные файлы, даже полученные от друзей
Все ссылки в данном посте проверены и безопасны! :-)
Удачи всем! Будьте осторожны! Надеюсь, тема развития не получит...
Системы защиты (а их у меня ажно три, одновременно действующие) были "пробиты" вирусами - Trojan.Winlock, который, в свою очередь, был, повидимому, загружен с помощью червя Trojan-Downloader.Win32.Small.jls.
Итог - появление при загрузке Windows следующего сообщения:
Система не загружается ни в каком режиме, в том числе и безопасном, переключиться на диспетчер задач невозможно. Компьютер становится неработоспособен.
Диагноз.
Часть 1. Дня три назад мне пришло по "одноклассникам" письмо от моего доброго друга, со ссылкой - типа, глянь. Доверяя сайту и своему другу - я прошел по ссылке, которая, как выяснилось, была просто "разводиловом" на деньги. Судя по всему, вирус Trojan-Downloader.Win32.Small.jls я там и подхватил (сказался низкий уровень защиты Internet Explorer, выставленный мной для работоспособности Siebel CRM). Вот похожий опыт, по данным антивирусного форума. На мое удивленное письмо друг ответил, что это хакеры взломали его пароль на "одноклассниках" и шлют спам. Пока на том я и успокоился.
Часть 2. Загруженный, по-видимому, червь (не опознаваемый еще антивирусом) закачал Trojan.Winlock и запустил его. Все защиты одновременно сработали, но ничего полезного не сделали - комп завис, пришлось его перезапускать. После перезапуска - получил то самое окно, что изображено выше...
Выводы. Ситуация серьезная. Подхватить заразу можно, зайдя практически на любой сайт. Ни антивирус (Symantec Antivirus с сигнатурами от 10.04.2009), ни файрволл (Zone Alarm 5.5) помочь не смогли. Снять вирус без специальных ухищрений (описаны ниже) невозможно.
Удаление вируса.
Для того, чтобы что-то сделать, необходимо заранее "подстелить соломки". А именно - завести себе загрузочный CD, (Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.
Далее - дело техники:
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin - это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll - это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp - там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки "праздника" из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска "servises.exe"
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ с содержанием "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe" и убрать лишнее, то есть должно быть так: "C:\\WINDOWS\\system32\\userinit.exe"
Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности броузера. В частности данные вирусы, как предполагается, проникают через исполнение JavaScript. Хотя тут дело тонкое - его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.
Чего ни в коем случае не нужно делать
1. Высылать СМС - то есть платить деньги злоумышленникам
2. Переходить по сомнительным ссылкам, даже полученным от друзей (каюсь...)
3. Открывать непонятные файлы, даже полученные от друзей
Все ссылки в данном посте проверены и безопасны! :-)
Удачи всем! Будьте осторожны! Надеюсь, тема развития не получит...
no subject
no subject
Интернет-то, не зная всех входящих, пришлось отключить - соответственно искал без подсказок, вслепую.
Это сегодня я такой умный - пролазав по инету целый день в поисках инфы...
no subject
no subject
У меня вроде все в порядке, перезапустилась, проверилась...
Надо сказать, я по ссылкам вообще стараюсь не ходить, если в адресе не написано что-то мне понятное.
А спам в одноклассниках и даже в Аське сейчас стал настолько распространенным явлением, что я по тамошним ссылкам вообще практически не хожу.
Бедный Лёшка! Просидеть до половины пятого утра, в середине недели, утром вставать на работу!!! Ужас, бр-ррр. :((
no subject
no subject
А комп для меня - ну что-то вроде больного ребенка :-) Не могу его бросить, не оказав помощи...
no subject
no subject
no subject
no subject
no subject
1. Не подскажешь ли конкретную ссылку, где утянуть этот LiveCD, конкретно который ты бы порекомендовал (ну, или любой из могущих быть рекомендованными, ты все-таки лучше разбираешься)
2. В статье еще написано про LiveUSB. Ну, про "флэшку", то есть. Это что ж за чудо такое? Что, нынче и "флэшки" можно грузиться? А это как? Тоже нормально? Или все же лучше диск нарезать. У тебя-то, как я понял, был запасной "винт" загрузочный, а этот ЛайвСиДи - он что, реально видит не только FAT32, но и NTFS?
no subject
Я правда не всё поняла, внука подпишу разобраться и провести работы по подстраховке.
no subject
no subject
У меня в компе стоит mobile rack с небольшим винтом и установленной XP - как раз специально на такой случай! При этом он в норме всегда выключен - то есть гарантия его сохранности 100%!
Но и Live CD я себе тоже делать буду. Как найду подходящий дистрибутив - поделюсь :-)
Да, современные компы разрешают загрузку с USB-носителей! Беда только в том, что стандартная XP этого не умеет! Поэтому делаются такие обходные технологии.
no subject
no subject
Как говорится - и на старуху...
no subject
no subject
no subject
no subject
no subject
no subject
LiveCD
(Anonymous) 2009-04-16 02:03 pm (UTC)(link)к слову о фаерволах
(Anonymous) 2009-04-16 02:38 pm (UTC)(link)Алексей, попробуй. возможно понравится. я вообще не использую никакого фаервола, после того как делаю скан этой программой.
http://iobit.com/advancedwindowscareper.html?Str=download
Re: LiveCD
Re: к слову о фаерволах
Но все-таки очень желательно подписываться, особенно если Вы даете ссылки.
Re: LiveCD
Но все-таки очень желательно подписываться, особенно если Вы даете ссылки.
Re: LiveCD
На первый взгляд, производит положительное впечатление.
С него и начнем :-)
no subject
no subject
Ну, вот например (http://www.softpedia.com/get/System/System-Miscellaneous/NTFSDOS-Professional.shtml).
Другое дело, что чем разбираться с этой утилитой - по-моему, проще найти готовые загрузочные диски, которые все это и так умеют.
no subject
no subject
no subject
(Anonymous) 2010-02-21 08:03 pm (UTC)(link)no subject
Nod32 выводить сообщения о не подлинной версии Windows не может - это исключено. То, что у вас на компе - вирус на 300%. А вот подхватить его Вы могли и скачивая Nod32, если Вы делали это не на сайте производителя, я на каком-нибудь "левом". Далее, очень большое число сайтов "левого" видео тоже заражено, ходить по ним следует с большой осторожностью.
Что делать?
1. Я не очень понял, работоспособна ли в итоге Ваша Windows. Если нет, если выходит сообщение с требованием выслать СМС на короткий номер - попробуйте с другого компа или мобильного выйти по ссылке http://www.drweb.com/unlocker/index - это антивирусный сайт "Доктор Веб" - там есть бесплатные коды разблокировки для всех наиболее распространенных клонов вируса Trojan.Winlock. Это должно помочь хотя бы восстановить работоспособность Windows - но учтите, вирус при этом не удаляется!
2. Попробуйте скачать и запустить бесплатные антивирусные сканеры, подобные тем, которые выпускает тот же Доктор Веб (http://www.freedrweb.com/cureit/), Касперский (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/) и ряд других разработчиков. Может и не получиться, потому что вирусы сейчас стали шибко умные и кроме прочего блокируею доступ к антивирусным сайтам, а также не дают запускать ряд программ.
3. Если простые меры не помогут - Вам придется вызвать специалиста, потому что дело непростое и надо как минимум иметь при себе антивирусный загрузочный диск, о котором я писал в своем посте выше. Этот же специалист даст Вам советы, как по возможности избежать повторного заражения.
no subject
(Anonymous) 2010-02-24 12:23 am (UTC)(link)Re: знакомства для секса
no subject
no subject
no subject
no subject
no subject
Ну вот - я и уложился в указанный срок! Смотри мой последний пост (http://akasoft.livejournal.com/56042.html).
no subject
no subject