Winlocker-ы и методы устранения.

[Alexandra]

Простите,но....,и это "но" уже всех.
...
Предлагаю здесь делится инфой по безболезненному,относительно,удалению заразы,если унлокеры от дяди Жени и Игоря Данилова не работают.

[Fishkin]

WestGott спасибо, инструкции довольно подробные и если-бы я лично занимался, то думаю, осилил бы... а вот неспециалисту как это передать... буду думать, как попроще ему это воплотить.
Пару раз помогал знакомым с винлокерами в режиме: скажи номер и текст смс, ввожу на сайте Касперского, передаю им ответный код... тогда это работало, а тут надо подумать, как помочь товарищу...
спасибо

[WestGott]

Цитата (Fishkin) »

а вот неспециалисту как это передать...

Fishkin
О! А вот тут проблема, не думаю, что у твоего знакомого будет диск с ERD Commander, да и в BIOS Setup неспециалисту IMHO лучше не лазить.

[hunta]

словил локера "детская порнография и т.д."

Удалил руками, потому что антивиры не чухали (даже тут же скачаный cureit). Удалил при помощи диска Alkid live cd.
Данный вирус подменяет своим файлом стандартный Userinit.exe.


Вот тут подробности: что удалял и откуда http://imho-karma.blogspot.com/2011/04/hosieexe_13.html

Вкратце: удалил 3 файла, переименовал 1 файл...
В реестр я думаю можно не лазить.

[garniv]

Цитата (hunta) »

В реестр я думаю можно не лазить.

Можно запустить AVZ - это достаточно просто

[Бизя]

Цитата (garniv) »

Можно запустить AVZ - это достаточно просто

а он есть на загрузочнике каком-нибудь? просто аварийный диск от компании этой я знаю. а есть загрузочник самого avz? недавно лечились у знакомого от подобной шняги. но там нашли код на сайте вендора, повезло. хотелось бы иметь аварийник на такие случаи.

[Alexandra]

Цитата (hunta) »

В реестр я думаю можно не лазить.

Конечно,подумаеш раздулся маненько,ну по медленнее машинка грузится будет,но ведь работает-ты Хирой.Ага.

[Butcher]

hunta
Сегодня удалял такую хрень.
Действия просты, как обычно, но нужно иметь при себе userinit.exe и taskmgr.exe
Итак
1 - грузимся с загрузочного СД или флешки
2 - в windows\system32 находим userinit.exe и taskmgr.exe и запоминаем как выглядит иконка этих файлов
3 - удаляем оба, потом в windows\system32\DllCash тоже удаляем
4 - поиском на системном диске ищем *.ехе и удаляем все, что имеет иконку как у удаленных userinit.exe и taskmgr.exe(они у меня имели фон бежевого цвета и было их аж 14 шт, естественно с бредовым названием, в папке с оперой, с хромом, в папке allusers, так же попали в папку с виндой, во временных темпах всех, а самое интересное, что нашел и в папке с распакованным драйвером ATI)
5 - подставляем заготовленные userinit.exe и taskmgr.exe в windows\system32 и windows\system32\DllCash соответственно и перезагружаемся.
6 - получаем черный экран, жмем ctrl+alt+del, новая задача - regedit в ветке HLM\Software\Microsoft\Windows NT\Current Version\Winlogon меняем ту чушь что в shell на explorer.exe. Ниже исправляем всю строчку userinit на c:\windows\system32\userinit.exe(желательно все что после userinit.exe написано удалить нах вручную с системы). Так же смотрим внимательно, не прописан ли какой лишний и непонятный аплет в этой ветке, при наличии такого удаляем.
7 - Перезагружаемся и радуемся жизни.

Этот локер тупо подменяет или изменяет userinit.exe и taskmgr.exe.

[Freeuse]

Цитата (Butcher) »

удаляем все, что имеет иконку как у удаленных userinit.exe и tackmgr.exe

[garniv]

taskmgr.exe

[Butcher]

garniv
исправил, что-то я совсем тупо опечатался, а потом копипастил))

Freeuse
что смешного? ты посмотри на эти файлы, они с реальными картинками на файло ничего общего не имеют...
либо рябь, либо монотонный фон...

[Freeuse]

Цитата (Butcher) »

ты посмотри на эти файлы,

Спасибо, не хочется...
А насчёт иконок, так это всего лишь отображение типа файла (либо найденного в файле изображения) и в зависимости от сборки загрузочного диска изображение может меняться. Совсем не факт, что удаленные вами файлы

Цитата (Butcher) »

аж 14 шт, естественно с бредовым названием, в папке с оперой, с хромом, в папке allusers, так же попали в папку с виндой, во временных темпах всех, а самое интересное, что нашел и в папке с распакованным драйвером ATI)

были вирусом. Под "бредовыми названиями" файлов могут быть и временные файлы с посещаемых страниц и системные файлы. Трудно представить, что Winlocker будет создавать что-то в папке с драйвером ATI. В таком случае это уже больше похоже на файловый вирус, а Winlocker более всё-таки скриптовый. По-моему. Именно поэтому ваш подход к борьбе с блокировщиком и вызвал у меня улыбку. Но в любом случае, уже хорошо, что вы его сняли.

[Smirnoff]

Цитата (Butcher) »

Этот локер тупо подменяет или изменяет userinit.exe и taskmgr.exe.

Не бьётся вот с этим:

Цитата (Butcher) »

в ветке HLM\Software\Microsoft\Windows NT\Current Version\Winlogon меняем ту чушь что в shell на explorer.exe. Ниже исправляем всю строчку userinit на c:\windows\system32\userinit.exe(желательно все что после userinit.exe написано удалить нах вручную с системы).

Если действительно был заменён файл userinit.exe - зачем было локеру ещё и ветку в реестре курочить?..

Добавлено через 1 минуту

P.S. Скорее всего, достаточно было загрузиться с любого Live-CD и подправить реестр.

[Butcher]

Smirnoff
Если есть желание, я те пришлю эти файлики, я их для коллекции сохранил.

[Smirnoff]

Цитата (Butcher) »

эти файлики, я их для коллекции сохранил

Ты лучше скачай свежий Dr.Web CureIt и проверь им...

[Fishkin]

На выходных случился у кума винлокер , речи о детской порнографии не было, якобы Служба безопасности Майкрософта просекла и требует смс-очку... на Билайн или МТС или платежную сеть КИВИ...
Экран черный, текст белый с красным. Тикает счетчик... Ничем не сворачивается и только режим Full-screen, даже при загрузке в безопасном режиме.
С рядом лежащего бука я воспользовался помощью с форума сайта Касперского, а именно:
скачать, нарезать и загрузиться с Win7PE_uVS.iso, далее запустить саму прогу uVS, сбросить ключи винлогона в начальное состояние и дополнительно прибить показавшиеся явно подозрительные файлы (из найденных прогой uVS).
В сети образы Win7PE_uVS.iso попадались только на ресурсах, предсотавляющих довольно медленную скорость (40-60кб/сек без голд-аккаунта) и закачка растянулась на час примерно...
Сама uVS весит метра 2,5... Поэтому я загрузился с какого-то самосборного DVD (типа ZverDVD-XPsp3), там образ WinPE уже есть как правило..
Для начала прошелся AVZ, включил авто-исправление системных дырок, прибил пару "чего-то", может быть скринсейверов ...
а потом уже uVS, завершил начатое и избавились от Винлокера.
Смотрю, что же в системе стоит? Др.Вэб с завершенным ключом и Аутпост с таким же.. Не знаю как Аутпост, а со стороны Вэба, при завершении ключа переставать работать - это западло! Я понимаю политику антивируса, когда по завершении ключа ему не дают новых баз сигнатур и не обновляют модули. Но полученное в оплаченный срок должно продолжать работать!
Поэтому кум получил (уже pirates) ESS v.4 и надеюсь, это поможет не попадать болеше в такие ситуации... ну хоть какое то время

[garniv]

Цитата (Fishkin) »

Но полученное в оплаченный срок должно продолжать работать!

Расскажи это еще другим антивирусным компаниям, Касперскому например

[Smirnoff]

Цитата (Fishkin) »

Др.Вэб с завершенным ключом и Аутпост с таким же.. Не знаю как Аутпост, а со стороны Вэба, при завершении ключа переставать работать - это западло!

Возможно, когда ключ ещё был рабочим, владелец не сказал ему "блокировать изменения важных объектов Windows", а со старыми базами Dr.Web мог свежий локер и не узнать...
Далее: а разве не "западло" работать, когда тебя уже уволили и зарплату не платят?

[C@pral]

а почему все грешат на АВ? АВ не могут определить данную гадость как угрозу, лишь предупредить о том, что ресурс опасный и с него может загрузиться бяка. Блокеры не имеют ничего подозрительного и юзер, в первую очередь, сам разрешает загрузку (кому-то интересно поюзать сканер одежды, или где находится его подруга), игнорируя предупреждения АВ. А уж потом блокер меняет реестр для своего запуска и блокировки средств его отключения.
Однажды мне удалось со смехом удалить блокиратор: деблокер от каспера не помог (не потому что бесполезен, потому что автор блокера не оставил варианты буквенного ввода, только цифры). Так я его "замучил", что он просто завис))) И после этого удалось запустить диспетчер, получить имя повисшего блокера, найти тело, все изменённые ветки реестра. Для пущей убедительности проверил найденное тело и каспером и курятиной и АВЗ. Никто из них ничего не нашёл, потому что тело было простым флеш-файлом.

[garniv]

Цитата (C@pral) »

простым флеш-файлом

оО а это что такое?..

[C@pral]

Цитата (garniv) »

это что такое?..

.swf
попадались и просто .avi, имя обычно состоит из кучи цифр.