Winlock: антидота не существует?

23 Фев, 2010 49 комм.

Наверное у меня сейчас какая-то черная вирусная полоса в жизни. Сначала мелкая пакость на моем ноуте, потом вирус на сервере, заставивший меня в поте лица биться над ковырянием php файлов в течение трех часов. А позавчера вот поймал заразу, которую всегда считал уделом секретарей, бухгалтеров и прочих, далеких от it, личностей.
Вышел из комнаты, где стоял ноут, буквально на пять минут. Возвращаюсь, на экране logon страничка винды. Подумал еще – странно, вроде бы не должна была вылезти, никаких перезагрузок не планировалось. Провожу пальцем по сканеру и вместо рабочего стола винды получаю вот это:paravin.ru_2010-02-23_00001

Посмотрел, подумал… Вот ведь блин, на машине стоит лицензионный, “оскароносный”, выигравший миллион призов, антивирус NOD32, буквально несколько часов назад я устанавливал антивирус от майкрософт и делал полную проверку, после этого была еще одна проверка с помощью злобного CureIT от DrWeb. И НИЧЕГО. Ни одного следа хоть какого-нибудь троянчика, на который можно было бы все свалить.
Короче, конечно же и в мыслях не было отправлять никакие СМС тем уродам, которые написали эту штуку. Вспомнив почтовую рассылку от коллеги по работе, я на айфоне залез на сайт компании ESET и там нашел форму, подбирающую необходимый код для этого трояна. Нужно ввести его запрос и вуаля! Вуаля-вуалёй, а ответа на мой запрос не было. Мне было предложено зайти позже. Я подумал-подумал и ввел код, запрос на который был подобен моему. Повезло, сработало. Я попал в винду. Троян сказал что он типа “удалился”. Конечно же это было не так. Диспетчер задач, редактор реестра и msconfig не запускались. Вирус ждал следующего раза. А пока у меня был интернет, чтобы его уничтожить. Недолгое гугление показало, что перед троянами семейства winlock (на моей машине была модификация winlock.100) бессильны ВСЕ антивирусы вообще! Вот такого я не ожидал. Многие производители выложили на своих сайтах утилиты для подбора кода да и только. И в этой ситуации больше всего бесит то, что выследить хозяев трояна вообще нет никаких проблем! Ведь они получают деньги через контент-провайдеров с посредничеством сотовых операторов! СМС, по словам некоторых сайтов, стоит от 300 до 1000 рублей. Действительно, зачем тут кого то ловить и осуждать? Река золотая…
В общем ситуация невеселая. На машине троян, антивируса нет. Начал искать, как грохнуть его вручную. В безопасном режиме эта дрянь не выключалась. Помогла утилита process explorer, которую троян не блокировал. Запустив ее, я сразу же обнаружил некий USER32.EXE, шифровавшийся под утилиту от компании NERO (софтом от которой я не пользуюсь уже года три). Убив этот процесс, я получил доступ в реестр. Там обнаружились множественные записи об этом самом USER32.EXE. Зачистив их все, я загрузился в обычном режиме. Помогло, но не до конца. Диспетчер задач не работал и было подозрение, что зараза еще где-то сидит. Установил на машину любимый многими за суровость Norton Antivirus. Полная проверка ничего не дала. Вот тут терпению пришел конец. Я создал диски восстановления на моем T500 и начал процедуру восстановления системы.
Весь процесс занял часа 3-4 (сказывается все-таки неспешность жесткого диска ноута). Первое что я делаю после установки винды – установку и настройку домашней сети. Вчера я решил предварить этот процесс установкой антивируса (им был тот же Norton). Поставил, обновил базы, настраиваю сеть. В момент монтирования сетевого диска винда (НЕ АНТИВИРУС) предложила мне запустить некий MD.EXE. Внутри аж похолодело все. Дав естественно отказ, я полез посмотреть на этого умника. Уже без удивления в корне каждой сетевой шары я увидел старого знакомого – USER32.EXE. Все они сидели и ждали своего часа. У меня в голове сложилась полная аналогия с фильмом чужие, когда главная героиня попала в зал с яйцами пришельцев. В роли огнемета у меня был Norton Antivirus… Только вот он упорно молчал…Молчал он и тогда, когда я насильно дал ему файл на проверку. Проверка эта сказала – файл безопасен, запускайте на здоровье! Недолго думая, я замочил файлы вируса руками.
Мораль всей это истории: антивирусы на машине – условность, дающая некоторое спокойствие до пришествия вируса, но не гарантирующие никакой безопасности после.

Теги записи:  Winlock антидота не существует

Похожие статьи:

Жизнь, Моя жизнь

Об авторе

Дмитрий Паравин - IT-специалист, коммерческий директор компании "12 Праздников". Автор и владелец сайта Paravin.ru.

49 ответов на “Winlock: антидота не существует?”

  1. Дмитрий says:

    Антивирус нужно использовать только вместе с установленным и правильно настроенным фаерволом. *punk*

    • Дмитрий Паравин says:

      и чтобы сделал файрволл в такой ситуации?

      • Дмитрий says:

        Фаерволл должен блокировать атаки из вне на машину (когда через сеть, через нестандартные порты вирус или троян пытаются залезть в компьютер) и сетевую активность неизвестных приложений уже на компьютере.
        Антивирус же — просто ищет гадость на компе.

        • Дмитрий Паравин says:

          в том то и дело, что никаких «атак» не было. скачалась эта дрянь обычным поп-ап окном.

          против «нестандартных портов» у меня есть файрволл роутера.

  2. martens says:

    Считаю, что NOD32 самый бесполезный антивирус в принципе, за что ему только рейтинги присваивают, претензия не голословная, наблюдаю за 20 компами с лицензионным НОДом, последняя версия постоянно обновляемая и все равно пропускает постоянно всякую нечисть в виде троянов. А вообще в последнее время постоянно слышу от многих знакомых «Поймал какую то хрень, просит смс выслать, что делать?» Я в таких случаях делаю так:
    1. Ищу код разблокировки на [ссылка]
    2. Если помогает и комп разблокируется прогоняю куритом, если ничего не находит пользуюсь прогой AVZ [ссылка]. У нее очень расширенный инструментарий, как правило помогает. Перед применением стоит ознакомиться с мануалом.

    Если код разблокировки не подходит, понадобится загрузочный диск, меня с давних пор выручает liveCD с ERD коммандером который позволяет после загрузки с сиди сделать откат системы.

    Дома пользуюсь только касперским, за последний год ни разу не ловил ни одной гадости (WinXP SP3 и Windows 7 на ноуте). Хотя и он перед winlock.100 бессилен, я им прогонял принесенный от друга винт с этой гадостью, ни курит ни кошмаровский ничего не нашли, чистил при помощи AVZ. Очень бесит безнаказанность деятелеый которые распространяют эту гадость!

    • Дмитрий Паравин says:

      да. забыл написать. касперовский AVZ тоже не помог и откат системы не делался. вот такая фигня. насчет сравнения каспера и нода — не уверен, что тут есть однозначный лидер. а после такой ситуации честно говоря вообще пофиг какой антивирус стоит.

  3. Wosablok says:

    блог слепых (с) Матроскин

  4. matrozzzkin says:

    Юзай Мак)

    • Дмитрий Паравин says:

      первым дело подумал о смене ОС на убунту или макось.

      слишком много проблем это потянет за собой. придется привыкать к новому софту и искать более удобный…

      наверное поставлю виртуальную машину сначала и там опробую.

      • matrozzzkin says:

        И какой ты особенный софт используешь?)

        • Дмитрий Паравин says:

          ну вот например то что сейчас открыто:
          synology redirector
          faststone viewer
          firefox с кучей плагинов
          пунтосвитчер

          я хз есть ли они под мак.

          • matrozzzkin says:

            «synology redirector» — мультиплатформенный вообще-то :)
            если правильно понял — это download’ер? Если так, то я пользуюсь «Speed Download» — [ссылка]

            «faststone viewer» — iPhoto поставляется вместе с MacOSX — [ссылка]
            или «JustLooking» — [ссылка]

            firefox под мак тоже есть. Я лично сафари пользуюсь

            пунтосвитчер — [ссылка]

            что-то еще? :)

      • matrozzzkin says:

        Я пользуюсь макмини уже 3 года и 4 месяца — ни разу не переустанавливал систему))) только обновлял три раза — с Тигра на Леопард, потом на Снежного Барса. Он у меня почти всегда включен и в инете — полет нормальный :)

      • A Lex says:

        Вот правильно тебе говорят — юзай Mac OS или хотя бы Win7. Под Снежным Барсом есть все, что тебе нужно и даже больше ;)

  5. Алексей says:

    Ставьте, батенька, Microsoft Security Essentials.

    [ссылка]

  6. Michael says:

    Только что столкнулся с такой же заразой. Лечение следующее:

    В окошко с кодом ввести один из следующих кодов:

    2047692
    284912
    1422

    Для более подробного списка можно обратиться сюда: [ссылка]

    Это должно дать возможность загрузить систему. Но тварь еще жива и здраствует на Вашем компе.

    Далее, так как малварь блокирует Task Manager можно воспользоваться утилитой от Марка Руссиновича по убиванию процессов и убить процесс user32.exe

    После этого найти все файлы md.exe и user32.exe и удалить; также не забыть про все autorun.inf, которые находятся у вас в корневых папках на всех ваших дисках

    Для восставновления работоспособности Task Manager’а, можно воспользоваться следующей тулзой:

    [ссылка]

    Там есть ссылка на Task Manager Fix

    • Дмитрий Паравин says:

      5 баллов за комментарий!
      значит я был недалек от финальной победы. оставалось лишь таск-менеджер восстановить… его неработоспособность показалась мне признаком заражения, а я к тому моменту уже был достаточно взвинчен ситуацией =)

      пара встречных вопросов:

      1. какой у тебя стоял антивирус?
      2. как ты нашел этот пост? =)

      • Michael says:

        1. Стоял NOD32 с достаточно последними базами;
        2. Пост нашел через google по ключевому слову Winlock :))

        • Дмитрий Паравин says:

          гугль оперативненько сработал :)

          какой антивирь ставить — ума не приложу *crazy*

          • numark says:

            ни один антивирус не панацея, как видишь. Я поставил Microsoft Security Essentials и не жужжу. бесплатен если у тебя лицензионная винда (по его мнению), обновляется автоматов, нет проблем с поиском ключей баз и т.п.
            Вкупе с включенным автоматическим обновлением винды и User Account Control в Vista/Windows 7 считаю что достаточно полный вариант для защиты.
            Кстати, любопытно, какая у тебя винда стояла на ноуте ? И был ли включен UAC, если Vista/Windows7 ?
            Да, коды разблокировки тоже смотрю у Dr.Web’а, как и предыдущие комментаторы. Правда, не всегда срабатывают (в 90% получалось). Последний десяток винлокеров которых я лечил — это Winlock.938 по версии Dr.Web’а с надписью про Internet Security. такое впечатление,что эта версия уж очень сильно распространилась у нас в Засратове.
            Кстати, ранние версии Winlock’а самоуничтожались через 2 часа, практически без следов :) Интересно, сейчас это уже не так?

            Вообще, Димка, что-то ты уж очень распереживался (аж чужих и огнеметы вспомнил *lol* ). Давненько видать вирус не ловил на своем компе :) Спокойнее надо, возраст у нас уже не тот :)
            И да, скриншот на сей раз просто охуенен. *gigi* Я все-все надписи смог прочитать. PNG для скриншотов рулит. Жпег со своим адским сжатием оставь для фоток :)

            • Дмитрий Паравин says:

              сам подумай — какой нафиг скриншот в этот момент? что было в инете то и скачал.

              у меня хр. никаких UAC (кстати как ты с ней живешь — непонятно. первое что я отключаю на новых виндах — именно UAC.

              вирусов у меня не было НИКОГДА =)
              ну ваще просто никогда. все ловили антивирусы сразу.

            • Дмитрий Паравин says:

              кстать, показывается ли png в шестом эксплорере?

  7. Michael says:

    И совсем забыл про параметр в реестре — запустить regedit и поиском можно поискать все строки, содержащие user32.exe пока не найдется что-то вроде этого:

    Shell=explorer.exe,user32.exe

    Удалить user32.exe и оставить только explorer.exe

  8. Michael-Eye says:

    Описание решения продублировал здесь:

    [ссылка]

    Доступно с мобильного телефона (специально сделал без излишеств — только текст). Скоро добавлю раздел кодов для снятия блокировки c DrWeb’а тобы впредь было куда обратиться со сломанным компом

  9. numark says:

    сам подумай – какой нафиг скриншот в этот момент? что было в инете то и скачал.
    согласен, тут я тормознул. скриншот етой штуки тяжеловато снять.
    у меня хр. никаких UAC (кстати как ты с ней живешь – непонятно. первое что я отключаю на новых виндах – именно UAC.
    вот в чем корень зла. ты сидишь на дырявой, весьма старой операционке (два поколения назад) и хочешь чувствовать себя в безопасности. Автоматическое обновления хотя бы у тебя включено? Или вся надежда на NOD32 была ?
    А про UAC — несогласен. В Vista он был весьма надоедлив, да. Но в Windows 7 его маленько усмирили. И я тебе скажу, что все люди, словившие Winlock на Vista, они сами на вопрос UAC’а — запустить ли скачанные «кодеки» для просмотра порнухи, нажимали ДА. если обладать головой, то Winlock без твоего согласия в систему не залезет. Могу ошибаться, конечно, щас почитаю про winlock поподробнее.

    вирусов у меня не было НИКОГДА =)
    ну ваще просто никогда. все ловили антивирусы сразу.

    ну, как видишь, теперь это не так.. Еще раз повторюсь — ни один современный антивирус не панацея, как это ни прискорбно.

  10. Marktwen says:

    Мне сомодо помог, снес все.

    • Дмитрий Паравин says:

      антивирус комодо? он снес именно такой троян? или похожий?

      • numark says:

        снес все, тебе же говорит человек, вместе с системой *lol*

      • Marktwen says:

        Вирус похожий, картинка другая, но тоже из серии вымогателей.
        Comodo ставится комплектом (антивирус, файрвол, проативная защита) Internet Securiti.
        при заражении прогнал комп с загрузочного Докторвебовского Курета, он ничего не нашел.
        Сомодо нашел и удалил, запуск диспетчера задач восстановил правкой реестра..
        ЗЫ: систему не переустанавливал.
        ЗЫЗЫ: он конечно параноидальный антивирус, много чего спрашивает:разрешить-не разрешить, но уж пусть лучше спросит чем пропустит заразу. ;-)

  11. urik says:

    Привет! все ловят :) вот у нас на работе такую же фигню словили — симантек не среагировал :) тока нашли код в инете. вот только до сих пор не могу понять почему это до сих пор операторы сотовой связи не прикрыли…

    • Дмитрий Паравин says:

      в смысле? кто «все»?

      про операторов — ваще пипец. они конечно сразу отмажутся, что они только канал связи предоставляют. но вот тех кто сидит на конце провода найти и прижать проблем нет.

      • Wosablok says:

        совсем недавно в новостях читал… Крупнейшие ОпСоСы начинают борьбу с недобросовестными контент-провайдерами — так что возможно и прикроют эту гадость….

        • numark says:

          гыгыгы. у нас чиновники и снег должны были чисттить лопатками. И что это изменило?
          Громким заявлениям не верю, хотели бы — давно бы уж все эти короткие номера ликвидировали как класс.

      • numark says:

        все — в смысле — это массовая херня. За последние 1.5 месяца обращений с winlock’ом ко мне и к коллегам — масса.
        Что еще раз доказывает массовое отупение средневзвешенного пользователя интернета — раз.
        Многие еще пользуются «старой-доброй windows XP» — два.

  12. A Lex says:

    По сабжу: тема обсосана давно и настолько тщательно, что косточки уже блестят :D
    Например, в блоге Белая Шляпа: [ссылка]

Оставьте отзыв