Принесли пол-часа назад домашний ноутбук с вирусом, который просит отправить СМС, чтобы якобы активировать копию некого Internet Security. Так и пишет большими буквами:
Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере., а чуть ниже:
Вы не зарегистрировали вашу копию Internet Security
Дальше всякую чушь о лицензионном соглашении и предложение: Отправьте СМС с кодом K204114200 на номер 7373.
Вот он "красавец” (сбросил наконец-то фотку с коммуникатора):
Такой мне еще не попадался, так что буду смотреть можно ли от него излечить компьютер, так как переустанавливать систему очень не хочется, хотя это и быстрее будет :) Если, что выясню - отпишусь.
Пока, загрузившись при помощи диска с WinPE, проверяю ноутбук последним CureIT. Нашелся троян, который носит называние Trojan.Winlock.715. Если учесть, что на сайте DrWeb последний старший номер подобного вируса - 592, то наверное и правда вирус "свеженький”.
Чтобы проверка прошла быстрее рекомендую удалять файлы из каталогов:
1 2 3 4 | C:\Documents and Settings\Имя профиля\Local
Settings\Temp C:\documents and settings\Имя профиля\Local Settings\Temporary Internet Files\Content.IE5 (кроме index.dat - в нем хранится история посещений для IE) C:\Windows\Temp |
Добавлено 18:28
Только, что закончил проверку. CureIT нашел несколько десятков вирусов. Загрузил Windows на ноутбуке. Пока сообщение не появляется. Запустил еще раз CureIT (до этого CureIT в системе не запускался, как и другие приложения). Завтра буду тестировать дальше.
Пока предварительно могу сказать, что необходимо вставить флешку, на которой будет последний CureIT, в ноутбук, загрузиться с загрузочного диска с Windows (WinPE, BartPE). Удаляйте все временные файлы (ссылки выше) и запускайте проверку диска. Я использую свой загрузочный диск WinPE с 2005-го года и он еще ни разу меня не подводил. То есть он хоть и не новый, но зато 100%-но рабочий. Поэтому выложил его для скачивания и рекомендую скачать и записать себе его на будущее. Такой диск в будущем вам очень поможет (если у вас Windows XP, для Vista, Seven не использовал), если снова вдруг случится беда. Загружаясь с такого диска вы не даете вирусам активироваться и антивирус сможет его без проблем удалить.
Добавлено 12.01.2010
За ночь ничего не изменилось - вирус не обнаружен, программы запускаются и работают. Кроме антивируса. Как его разблокировать написал ЗДЕСЬ. Так, что пока все хорошо. Буду проверять дальше. Следите за развитием событий :)
Не знаю последствия этого вируса или другого (как я писал там целый рассадник был), но были недоступны средства редактирования реестра и не запускался диспетчер задач. Исправляется это просто. Если у вас Windows XP Professional, то достаточно набрать в Пуск -> Выполнить команду gpedit.msc. Далее в открытом окне идем по меню: Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система. Выбрав последнее (Система), в правой части ищем Сделать недоступными средства редактирования реестра, делаем двойной щелчок, выбираем пункт "Отключена” и нажимаем Ок. После этого уже начинает запускаться regedit. В этом же окне групповой политики сразу отключил и автозапуск с носителей - Отключить автозапуск. Установить это свойство во Включен и выбрать "на всех дисководах”.
Далее запустил regedit нашел пункт HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, в нем был параметр DisableTaskMgr. Необходимо либо удалить его или установить в ноль. После этого будет запускаться и диспетчер задач.
Если у вас Windows XP Home, то gpedit.msc
у вас не будет и нужно воспользоваться сторонним средством
редактирования реестра или вручную как написано здесь.
В двух словах, чтобы включить
редактирование реестра нужно выполнить команду:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System” /v DisableRegistryTools /t REG_DWORD /d 0 /f
Чтобы включить диспетчер задач нужно выполнить команду:
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System” /v DisableTaskMgr /t REG_DWORD /d 0 /f
Прошелся утилитой AVZ - тоже чисто.
Ну вот и все. Работоспособность операционной системы Windows XP на ноутбуке - полностью восстановлена. Пришлось еще немного почистить реестр. Сначала утилитой CCleaner, а затем руками, так как, например, параметр UserInit ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, программа почему-то пропустила. У меня там был дописан исполняемый файл C:\Windows\system32\sdra64.exe, который является вирусом. Удалил руками запись C:\Windows\system32\sdra64.exe из параметра UserInit. Необходимо было сделать двойной щелчок по параметру UserInit, и в открывшемся окне редактирования параметра удалить запись о вирусе так чтобы осталось следующее: C:\WINDOWS\system32\userinit.exe,.
Так как остались скриншоты найденных вирусов, то можно было бы посмотреть не осталось ли чего лишнего в реестре, но времени нет, да и ноутбук пора возвращать. Вечером постараюсь выложить здесь имена файлов которые нашел CureIT и каталоги в которых они размещались.
Всем спасибо за внимание. Если будут вопросы - задавайте. По возможности - буду отвечать.
Как и обещал - ФАЙЛЫ которые были определены как новый вирус.
В дополнение к выше написанному выложил видео-ролик как удалить вирус при помощи диска WinPE и CureIT.
Также рекомендую к прочтению как записать диск iso и как сделать образ операционной системы, чтобы можно было быстро ее восстановить в случае нарушения работоспособности.
Рекомендую также прочесть статью (видео инструкцию) о том как создать загрузочную флешку на основе диска WinPE. Выручает когда нет CD-привода (например в нетбуке).
Добавлено 20.01.2010
Выложил видео инструкцию как
восстановить реестр Windows XP с помощью диска WinPE.
После восстановления реестра вирус не должен активироваться и должен
работать запуск всех программ. После этого обязательная чистка временных
каталогов и проверка системы антивирусом.
Тем, чья система не заражена рекомендую прочесть Сохраняем копию реестра Windows XP.
Вирус Internet Security - есть контакт
Наконец, мне посчастливилось - один из
посетителе прислал мне ссылку на файла, который 100% оказался носителем
модификации вируса Internet Security (не бойтесь - это ссылка на статью
о вирусе). Это оказался обычный exe
файла по видом крэка к одной из программ. Вирус
активируется при запуске файла. Причем сам файл exe тут
же удаляет. Вирусу Internet Security необходима для
полной активации - перезагрузка системы. До перезагрузки он блокирует
запуск редактора реестра, и диспетчера задач,
но программы (AVZ, браузер с полным
доступом к интернету) запускаются и, что важно, еще не удалены точки
восстановления.
После перезагрузки вирус Internet Security уже не дает
запускать приложения, а при попытке зайти в проводник - вирус
Internet Security завершает работу операционной системы.
Баннера не было. Возможно потому, что перезагрузку я делал без
подключения системы к интернету и вирусу не удалось
скачать дополнительные файлы. После перезагрузки точек восстановления, а
соответственно и файлов реестра в системе уже нет.
Из хороших новостей, то что восстановление реестра как описано здесь полностью восстанавливает работоспособность операционной системы, вопрос только в том есть ли у вас эти копии. Еще раз рекомендую, сохранить их в альтернативное место, когда восстановите работоспособность компьютера.
Что еще успел заметить - после восстановления реестра AVZ не находит подозрительных объектов. До перезагрузки AVZ находил три файла с двоеточием в имени (предположительно это тело вируса).
К сожалению вчера было уже поздно, поэтому это то что за 10 минут удалось посмотреть. Завтра будут уже исследовать более подробно и дополнять эту статью. Так, что заходите - думаю получиться раскопать, что-то интересное. Главное, что один из способов заражения уже ясен - исполняемые файлы, которые мы сами и запускаем.
Сообщите пожалуйста, друзьям, знакомым, кто не заразился этим вирусом, чтобы воздержались сейчас от установки всякого рода крэков и подозрительного ПО в целом (в том числе игрушек). И пусть обязательно сделают копию реестра. Это поможет быстрее вернуть работоспособность системы после заражения вирусом Internet Security.
Продолжение завтра…
Добавлено 29.01.2010
К большому моему сожалению, CureIT определяет данный
вирус не как Trojan.Winlocker, а как Trojan.Packed.19647
:( Даже не знаю имеет ли смысл продолжать его исследовать… Хотя ведет
себя очень похоже. Только баннер не появляется и CMC
не просит. В любом случае пока выкладываю отчет программы Process
Monitor в котором показано какие ключи реестра менял вирус Trojan.Packed.19647.
Будет полезно принять это к сведению, чтобы обратить внимание на них
при ручной чистке. Когда копии реестра нет. Еще раз подчеркиваю это
ключи, которые меняет вирус определяемый CureIT как Trojan.Packed.19647.
Если нужен в более читабельном формате, пишите на почту вышлю csv-файл.
Operation Path Result Detail
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired
Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type:
REG_BINARY, Length: 80, Data: 86 70 1E C7 F0 6C 4D 14 52 89 52 A0 A2 C3
01 2D
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
NAME NOT FOUND Desired Access: All Access
RegCreateKey HKLM\SOFTWARE SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\Policies SUCCESS Desired Access: Maximum
Allowed
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft SUCCESS Desired Access:
Maximum Allowed
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT SUCCESS Desired
Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
SUCCESS Desired Access: All Access
RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows
NT\SystemRestore\DisableConfig SUCCESS Type: REG_DWORD, Length: 4, Data:
1
RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows
NT\SystemRestore\DisableSR SUCCESS Type: REG_DWORD, Length: 4, Data: 1
RegCreateKey HKLM\SOFTWARE\TrendMicro\HijackThis NAME NOT FOUND Desired
Access: All Access
RegCreateKey HKLM\SOFTWARE SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKLM\SOFTWARE\TrendMicro SUCCESS Desired Access: Maximum
Allowed
RegCreateKey HKLM\SOFTWARE\TrendMicro\HijackThis SUCCESS Desired Access:
All Access
RegSetValue HKLM\SOFTWARE\TrendMicro\HijackThis\Ignore1 SUCCESS Type:
REG_SZ, Length: 126, Data: O20 - AppInit_DLLs:
C:\DOCUME~1\admin\LOCALS~1\Temp\ifcrdz.dll
RegSetValue HKLM\SOFTWARE\TrendMicro\HijackThis\IgnoreNum SUCCESS Type:
REG_SZ, Length: 4, Data: 1
RegSetValue
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
SUCCESS Type: REG_DWORD, Length: 4, Data: 0
RegCreateKey HKCU\Software SUCCESS Desired Access: All Access
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired
Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type:
REG_BINARY, Length: 80, Data: 50 E6 B6 90 76 59 6F F2 2B BE 00 42 77 C6
7F 15
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired
Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type:
REG_BINARY, Length: 80, Data: 57 FC 10 45 6A 92 54 FB F5 7C E8 97 A0 D6
F6 CF
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired
Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type:
REG_BINARY, Length: 80, Data: 7F 85 20 AF 60 E7 D7 70 6D 23 12 A0 3C E6
00 F8
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired
Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type:
REG_BINARY, Length: 80, Data: B0 BD 8F 72 12 C8 D1 8F F7 50 0C 86 0D 66
4E DD
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired
Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type:
REG_BINARY, Length: 80, Data: 7D 81 E0 79 D5 E2 5E 57 CE 51 66 30 5A 44
F3 16
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired
Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type:
REG_BINARY, Length: 80, Data: 3D 3F EF 79 DF 29 2E D3 1F C5 5E 76 76 2D
30 D6
RegCreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Desired
Access: Set Value
RegSetValue HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed SUCCESS Type:
REG_BINARY, Length: 80, Data: 01 32 88 0B E8 CC 30 5E 17 EC BA 1F 81 00
D1 99
RegSetValue HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs SUCCESS Type: REG_SZ, Length: 88,
Data: C:\WINDOWS\Help\colormgt.chm:HxhXBEoxL73LED
RegCreateKey
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System NAME NOT
FOUND Desired Access: All Access
RegCreateKey HKCU\Software SUCCESS Desired Access: Maximum Allowed
RegCreateKey HKCU\Software\Microsoft SUCCESS Desired Access: Maximum
Allowed
RegCreateKey HKCU\Software\Microsoft\Windows SUCCESS Desired Access:
Maximum Allowed
RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion SUCCESS
Desired Access: Maximum Allowed
RegCreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
SUCCESS Desired Access: Maximum Allowed
RegCreateKey
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System SUCCESS
Desired Access: All Access
RegSetValue
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
SUCCESS Type: REG_DWORD, Length: 4, Data: 1
RegCreateKey HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
SUCCESS Desired Access: All Access
RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows
NT\SystemRestore\DisableConfig SUCCESS Type: REG_DWORD, Length: 4, Data:
1
RegSetValue HKLM\SOFTWARE\Policies\Microsoft\Windows
NT\SystemRestore\DisableSR SUCCESS Type: REG_DWORD, Length: 4, Data: 1
RegSetValue
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
SUCCESS Type: REG_DWORD, Length: 4, Data: 0
RegCreateKey
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
SUCCESS Desired Access: All Access
RegDeleteKey
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}
SUCCESS
RegCreateKey HKLM\Software\ODBC\ODBC.INI SUCCESS Desired Access: All
Access
RegSetValue HKLM\SOFTWARE\ODBC\ODBC.INI\(Default) SUCCESS Type: REG_SZ,
Length: 30, Data: hw4Xe6plkWKUoD