Winlock: антидота не существует?
Наверное у меня сейчас какая-то черная вирусная полоса в жизни. Сначала мелкая пакость на моем ноуте, потом вирус на сервере, заставивший меня в поте лица биться над ковырянием php файлов в течение трех часов. А позавчера вот поймал заразу, которую всегда считал уделом секретарей, бухгалтеров и прочих, далеких от it, личностей.
Вышел из комнаты, где стоял ноут, буквально на пять минут. Возвращаюсь, на экране logon страничка винды. Подумал еще – странно, вроде бы не должна была вылезти, никаких перезагрузок не планировалось. Провожу пальцем по сканеру и вместо рабочего стола винды получаю вот это:
Посмотрел, подумал… Вот ведь блин, на машине стоит лицензионный, “оскароносный”, выигравший миллион призов, антивирус NOD32, буквально несколько часов назад я устанавливал антивирус от майкрософт и делал полную проверку, после этого была еще одна проверка с помощью злобного CureIT от DrWeb. И НИЧЕГО. Ни одного следа хоть какого-нибудь троянчика, на который можно было бы все свалить.
Короче, конечно же и в мыслях не было отправлять никакие СМС тем уродам, которые написали эту штуку. Вспомнив почтовую рассылку от коллеги по работе, я на айфоне залез на сайт компании ESET и там нашел форму, подбирающую необходимый код для этого трояна. Нужно ввести его запрос и вуаля! Вуаля-вуалёй, а ответа на мой запрос не было. Мне было предложено зайти позже. Я подумал-подумал и ввел код, запрос на который был подобен моему. Повезло, сработало. Я попал в винду. Троян сказал что он типа “удалился”. Конечно же это было не так. Диспетчер задач, редактор реестра и msconfig не запускались. Вирус ждал следующего раза. А пока у меня был интернет, чтобы его уничтожить. Недолгое гугление показало, что перед троянами семейства winlock (на моей машине была модификация winlock.100) бессильны ВСЕ антивирусы вообще! Вот такого я не ожидал. Многие производители выложили на своих сайтах утилиты для подбора кода да и только. И в этой ситуации больше всего бесит то, что выследить хозяев трояна вообще нет никаких проблем! Ведь они получают деньги через контент-провайдеров с посредничеством сотовых операторов! СМС, по словам некоторых сайтов, стоит от 300 до 1000 рублей. Действительно, зачем тут кого то ловить и осуждать? Река золотая…
В общем ситуация невеселая. На машине троян, антивируса нет. Начал искать, как грохнуть его вручную. В безопасном режиме эта дрянь не выключалась. Помогла утилита process explorer, которую троян не блокировал. Запустив ее, я сразу же обнаружил некий USER32.EXE, шифровавшийся под утилиту от компании NERO (софтом от которой я не пользуюсь уже года три). Убив этот процесс, я получил доступ в реестр. Там обнаружились множественные записи об этом самом USER32.EXE. Зачистив их все, я загрузился в обычном режиме. Помогло, но не до конца. Диспетчер задач не работал и было подозрение, что зараза еще где-то сидит. Установил на машину любимый многими за суровость Norton Antivirus. Полная проверка ничего не дала. Вот тут терпению пришел конец. Я создал диски восстановления на моем T500 и начал процедуру восстановления системы.
Весь процесс занял часа 3-4 (сказывается все-таки неспешность жесткого диска ноута). Первое что я делаю после установки винды – установку и настройку домашней сети. Вчера я решил предварить этот процесс установкой антивируса (им был тот же Norton). Поставил, обновил базы, настраиваю сеть. В момент монтирования сетевого диска винда (НЕ АНТИВИРУС) предложила мне запустить некий MD.EXE. Внутри аж похолодело все. Дав естественно отказ, я полез посмотреть на этого умника. Уже без удивления в корне каждой сетевой шары я увидел старого знакомого – USER32.EXE. Все они сидели и ждали своего часа. У меня в голове сложилась полная аналогия с фильмом чужие, когда главная героиня попала в зал с яйцами пришельцев. В роли огнемета у меня был Norton Antivirus… Только вот он упорно молчал…Молчал он и тогда, когда я насильно дал ему файл на проверку. Проверка эта сказала – файл безопасен, запускайте на здоровье! Недолго думая, я замочил файлы вируса руками.
Мораль всей это истории: антивирусы на машине – условность, дающая некоторое спокойствие до пришествия вируса, но не гарантирующие никакой безопасности после.
Loading ...
Антивирус нужно использовать только вместе с установленным и правильно настроенным фаерволом. *punk*
и чтобы сделал файрволл в такой ситуации?
Фаерволл должен блокировать атаки из вне на машину (когда через сеть, через нестандартные порты вирус или троян пытаются залезть в компьютер) и сетевую активность неизвестных приложений уже на компьютере.
Антивирус же – просто ищет гадость на компе.
в том то и дело, что никаких “атак” не было. скачалась эта дрянь обычным поп-ап окном.
против “нестандартных портов” у меня есть файрволл роутера.
Считаю, что NOD32 самый бесполезный антивирус в принципе, за что ему только рейтинги присваивают, претензия не голословная, наблюдаю за 20 компами с лицензионным НОДом, последняя версия постоянно обновляемая и все равно пропускает постоянно всякую нечисть в виде троянов. А вообще в последнее время постоянно слышу от многих знакомых “Поймал какую то хрень, просит смс выслать, что делать?” Я в таких случаях делаю так:
1. Ищу код разблокировки на
2. Если помогает и комп разблокируется прогоняю куритом, если ничего не находит пользуюсь прогой AVZ . У нее очень расширенный инструментарий, как правило помогает. Перед применением стоит ознакомиться с мануалом.
Если код разблокировки не подходит, понадобится загрузочный диск, меня с давних пор выручает liveCD с ERD коммандером который позволяет после загрузки с сиди сделать откат системы.
Дома пользуюсь только касперским, за последний год ни разу не ловил ни одной гадости (WinXP SP3 и Windows 7 на ноуте). Хотя и он перед winlock.100 бессилен, я им прогонял принесенный от друга винт с этой гадостью, ни курит ни кошмаровский ничего не нашли, чистил при помощи AVZ. Очень бесит безнаказанность деятелеый которые распространяют эту гадость!
да. забыл написать. касперовский AVZ тоже не помог и откат системы не делался. вот такая фигня. насчет сравнения каспера и нода – не уверен, что тут есть однозначный лидер. а после такой ситуации честно говоря вообще пофиг какой антивирус стоит.
блог слепых (с) Матроскин
Юзай Мак)
первым дело подумал о смене ОС на убунту или макось.
слишком много проблем это потянет за собой. придется привыкать к новому софту и искать более удобный…
наверное поставлю виртуальную машину сначала и там опробую.
И какой ты особенный софт используешь?)
ну вот например то что сейчас открыто:
synology redirector
faststone viewer
firefox с кучей плагинов
пунтосвитчер
я хз есть ли они под мак.
“synology redirector” – мультиплатформенный вообще-то
если правильно понял – это download’ер? Если так, то я пользуюсь “Speed Download” –
“faststone viewer” – iPhoto поставляется вместе с MacOSX –
или “JustLooking” –
firefox под мак тоже есть. Я лично сафари пользуюсь
пунтосвитчер –
что-то еще?
я не сомневаюсь что замены можно найти почти для всего. но я ПРИВЫК пользоваться тем, чем пользуюсь. и переучиваться неохота.
))) я жжжж тебя не заставляю – лови дальше вирусы)))
не так написал – надо вот так:
))) я жжжж тебя не заставляю – ЛОВИ дальше вирусы)))
Я пользуюсь макмини уже 3 года и 4 месяца – ни разу не переустанавливал систему))) только обновлял три раза – с Тигра на Леопард, потом на Снежного Барса. Он у меня почти всегда включен и в инете – полет нормальный
Вот правильно тебе говорят – юзай Mac OS или хотя бы Win7. Под Снежным Барсом есть все, что тебе нужно и даже больше
Ставьте, батенька, Microsoft Security Essentials.
русским по белому написал – не нашел он ничего.
ты не писал про Essentials, если быть точным. Хотя я думаю, что он действительно бы не нашел
)
у майкрософта вроде только один антивирус. или нет?
если быть точным, то два:
Microsoft Security Essentials
Только что столкнулся с такой же заразой. Лечение следующее:
В окошко с кодом ввести один из следующих кодов:
2047692
284912
1422
Для более подробного списка можно обратиться сюда:
Это должно дать возможность загрузить систему. Но тварь еще жива и здраствует на Вашем компе.
Далее, так как малварь блокирует Task Manager можно воспользоваться утилитой от Марка Руссиновича по убиванию процессов и убить процесс user32.exe
После этого найти все файлы md.exe и user32.exe и удалить; также не забыть про все autorun.inf, которые находятся у вас в корневых папках на всех ваших дисках
Для восставновления работоспособности Task Manager’а, можно воспользоваться следующей тулзой:
Там есть ссылка на Task Manager Fix
5 баллов за комментарий!
значит я был недалек от финальной победы. оставалось лишь таск-менеджер восстановить… его неработоспособность показалась мне признаком заражения, а я к тому моменту уже был достаточно взвинчен ситуацией =)
пара встречных вопросов:
1. какой у тебя стоял антивирус?
2. как ты нашел этот пост? =)
1. Стоял NOD32 с достаточно последними базами;
)
2. Пост нашел через google по ключевому слову Winlock
гугль оперативненько сработал
какой антивирь ставить – ума не приложу *crazy*
ни один антивирус не панацея, как видишь. Я поставил Microsoft Security Essentials и не жужжу. бесплатен если у тебя лицензионная винда (по его мнению), обновляется автоматов, нет проблем с поиском ключей баз и т.п.
Интересно, сейчас это уже не так?
Вкупе с включенным автоматическим обновлением винды и User Account Control в Vista/Windows 7 считаю что достаточно полный вариант для защиты.
Кстати, любопытно, какая у тебя винда стояла на ноуте ? И был ли включен UAC, если Vista/Windows7 ?
Да, коды разблокировки тоже смотрю у Dr.Web’а, как и предыдущие комментаторы. Правда, не всегда срабатывают (в 90% получалось). Последний десяток винлокеров которых я лечил – это Winlock.938 по версии Dr.Web’а с надписью про Internet Security. такое впечатление,что эта версия уж очень сильно распространилась у нас в Засратове.
Кстати, ранние версии Winlock’а самоуничтожались через 2 часа, практически без следов
Вообще, Димка, что-то ты уж очень распереживался (аж чужих и огнеметы вспомнил *lol* ). Давненько видать вирус не ловил на своем компе
Спокойнее надо, возраст у нас уже не тот 
И да, скриншот на сей раз просто охуенен. *gigi* Я все-все надписи смог прочитать. PNG для скриншотов рулит. Жпег со своим адским сжатием оставь для фоток
сам подумай – какой нафиг скриншот в этот момент? что было в инете то и скачал.
у меня хр. никаких UAC (кстати как ты с ней живешь – непонятно. первое что я отключаю на новых виндах – именно UAC.
вирусов у меня не было НИКОГДА =)
ну ваще просто никогда. все ловили антивирусы сразу.
кстать, показывается ли png в шестом эксплорере?
И совсем забыл про параметр в реестре – запустить regedit и поиском можно поискать все строки, содержащие user32.exe пока не найдется что-то вроде этого:
Shell=explorer.exe,user32.exe
Удалить user32.exe и оставить только explorer.exe
да, это я тоже проделал и вроде бы написал.
Описание решения продублировал здесь:
Доступно с мобильного телефона (специально сделал без излишеств – только текст). Скоро добавлю раздел кодов для снятия блокировки c DrWeb’а тобы впредь было куда обратиться со сломанным компом
измени ссылки на страничку drweb на , сразу на страничку ведет.
а по твоим ссылкам – сначала флэш-заставка, неудобно.
Спасибо за совет – ссылки переделал!
сам подумай – какой нафиг скриншот в этот момент? что было в инете то и скачал.
согласен, тут я тормознул. скриншот етой штуки тяжеловато снять.
у меня хр. никаких UAC (кстати как ты с ней живешь – непонятно. первое что я отключаю на новых виндах – именно UAC.
вот в чем корень зла. ты сидишь на дырявой, весьма старой операционке (два поколения назад) и хочешь чувствовать себя в безопасности. Автоматическое обновления хотя бы у тебя включено? Или вся надежда на NOD32 была ?
А про UAC – несогласен. В Vista он был весьма надоедлив, да. Но в Windows 7 его маленько усмирили. И я тебе скажу, что все люди, словившие Winlock на Vista, они сами на вопрос UAC’а – запустить ли скачанные “кодеки” для просмотра порнухи, нажимали ДА. если обладать головой, то Winlock без твоего согласия в систему не залезет. Могу ошибаться, конечно, щас почитаю про winlock поподробнее.
вирусов у меня не было НИКОГДА =)
ну ваще просто никогда. все ловили антивирусы сразу.
ну, как видишь, теперь это не так.. Еще раз повторюсь – ни один современный антивирус не панацея, как это ни прискорбно.
Мне сомодо помог, снес все.
антивирус комодо? он снес именно такой троян? или похожий?
снес все, тебе же говорит человек, вместе с системой *lol*
Вирус похожий, картинка другая, но тоже из серии вымогателей.
Comodo ставится комплектом (антивирус, файрвол, проативная защита) Internet Securiti.
при заражении прогнал комп с загрузочного Докторвебовского Курета, он ничего не нашел.
Сомодо нашел и удалил, запуск диспетчера задач восстановил правкой реестра..
ЗЫ: систему не переустанавливал.
ЗЫЗЫ: он конечно параноидальный антивирус, много чего спрашивает:разрешить-не разрешить, но уж пусть лучше спросит чем пропустит заразу.
Привет! все ловят
вот у нас на работе такую же фигню словили – симантек не среагировал 
тока нашли код в инете. вот только до сих пор не могу понять почему это до сих пор операторы сотовой связи не прикрыли…
в смысле? кто “все”?
про операторов – ваще пипец. они конечно сразу отмажутся, что они только канал связи предоставляют. но вот тех кто сидит на конце провода найти и прижать проблем нет.
совсем недавно в новостях читал… Крупнейшие ОпСоСы начинают борьбу с недобросовестными контент-провайдерами – так что возможно и прикроют эту гадость….
гыгыгы. у нас чиновники и снег должны были чисттить лопатками. И что это изменило?
Громким заявлениям не верю, хотели бы – давно бы уж все эти короткие номера ликвидировали как класс.
все – в смысле – это массовая херня. За последние 1.5 месяца обращений с winlock’ом ко мне и к коллегам – масса.
Что еще раз доказывает массовое отупение средневзвешенного пользователя интернета – раз.
Многие еще пользуются “старой-доброй windows XP” – два.
Нехер по порносайтам лазить! Извращенцы! *fun*
от извращенца слышу! =)
так не обязательно порносайты, люди цепляют эту дрянь и такие, кто даже на ссылку то лишний раз боится нажать…
По сабжу: тема обсосана давно и настолько тщательно, что косточки уже блестят
Например, в блоге Белая Шляпа:
сашка никитин недавно рассказывал как он по их инструкции пытался лечить, но так до конца и не вышло ничего.