1

Тема: OFF: Поймал вирус

Вот оно и случилось. ((( Поймал на рабочий ноутбук жуткую заразу - WinLocker. Пролезла в реестр и теперь при загрузке системы висит громадный баннер с "милой" просьбой поделиться пожертвования. Читаю форум drweb, информации много, общие направления указаны, но как всегда все сугубо индивидуально. Закатал DrWeb LiveCD USB, запустил сканирование... Ужасно долго из-за большого количества файлов. Видимо процесс ну очень долгий - сколько там родных системных файлов, сколько дополнительных служебных файлов, своих рабочих... Источник заразы - flacworld_com (намеренно не даю ссылку).

( 2 * b ) || ! ( 2 * b )

2 (изменено: Dmitrii, 2011-05-05 16:02:30)

Re: OFF: Поймал вирус

Rumata, обзаведитесь "ERD Commander" (лучше всего вариант "три в одном"). Даёт возможность напрямую редактировать реестр (блокировщики чаще всего стартуют оттуда).

3

Re: OFF: Поймал вирус

Dmitrii, спасибо. Уже там полазил по форуме - часто упоминается ERD Commander. Как я понял, это пакет от разработчика Sysinternals. Однако быстро ссылку на скачивание на сайте не нашел.

( 2 * b ) || ! ( 2 * b )

4

Re: OFF: Поймал вирус

Если интересно, могу рассказать, что же со мной было и как я (надеюсь) избавился от заразы.

( 2 * b ) || ! ( 2 * b )

5

Re: OFF: Поймал вирус

По личному опыту могу предложить ещё один вариант(особенно подходит для админов, обычно имеющих в подчинении хотя бы одну семёрку). Берём установочный диск семёрки, грузимся с него, выбираем восстановление. Если на ноуте другая ОС, то восстановление ничего не может и предлагает поработать напильником самому
Дальше всё просто - втыкаем флэшку с тотал коммандером, открываем консоль, запускаем тотал. Теперь по профилю пользователя и папке Windows(обычно SYSTEM32, но лучше подстраховаться) ищем все exe, dll, sys с датой создания например за неделю(если точно известно что зараза проникла вчера, то можно и за пару дней искать). Внимательно осматриваем найденные файлы - обычно вирусные легко опознаются по названию и местонахождению. Переносим их все в другую папку(если есть сомнения в назначении файла, то обязательно запоминаем где лежал - чтобы можно было вернуть его обратно). В принципе, все файлы вышеуказанных типов найденные в папке TEMP и в временных файлах интернет браузеров можно удалять не задумываясь. Даже больше - папку TEMP можно очистить всю
Можно конечно прогнать каким-нибудь антивирусным сканером...

Дальше загружаемся нормально и чистим следы жизнидеятельности локера(например с помощью AVZ).  ERD может пригодиться только в особо тяжолых случаях.

Опробовано неоднократно.

P.S. Если провинился юзер(т.е. админских прав нет), то всё гораздо проще - заходим под админом и чистим аналогичным способом профиль юзера.
P.P.S. ERD - он же кажется платный? Тогда для работы админа установочный диск семёрки безопаснее

6

Re: OFF: Поймал вирус

Да, забыл упомянуть - иногда локер подменяет системные файлы(особенно любит winlogon.exe). Исправные можно поискать(в порядке предпочтения) в system32\dllcache, на аналогичной системе или на крайний случай с дистрибутива ОС.

7

Re: OFF: Поймал вирус

Rumata пишет:

Если интересно, могу рассказать, что же со мной было и как я (надеюсь) избавился от заразы.

Расскажите. Виды блокеров бывают разные, поэтому, думается, дополнительная информация будет полезной.

8

Re: OFF: Поймал вирус

BeS Yara пишет:

... ERD - он же кажется платный?..

Похоже, платный.

9

Re: OFF: Поймал вирус

Dmitrii пишет:

Расскажите. Виды блокеров бывают разные, поэтому, думается, дополнительная информация будет полезной.

Вообще-то я столкнулся, на мой непрофессиональный взгляд, со стандартным блокером. Но опыта у меня в этом деле мало... Поэтому на первом месте были эмоции, а не холодный ум. Вот ссылка на оригинал с картинками - http://forum.drweb.com/index.php?showtopic=302068. Здесь - с небольшими купюрами и без картинок.

Это не полноценное руководство, скорее альтернативный способ борьбы с заразой подручными средствами. Уверен, что опытные пользователи порекомендовали бы использовать более продвинутые инструменты, однако на тот момент их у меня не было, а желания на их освоение и понимание не было. При этом опыт борьбы с вирусами у меня незначительный, а инциденты случались раз в несколько лет.

Вначале зараза проявила себя небольшим баннером с сообщением о блокировке Windows из-за просмотра "ай-яй-яй" контента.

Через TaskManager закрыл окно браузера, убил все приложения "123" (именно так назывались процессы в списке на моей машине) и решил убедиться, что зараза проникла именно через недавно открытую страничку сайта (честно, это был сайт музыкального содержания) - повторно открыл эту страницу. В результате этой "проверки" вместо одного окна появилось два окна - предыдущее, а за ним новое - с сообщением о блокировке всего компьютера.

А система была уже заблокирована. Перезагрузки в любом из режимов (безопасный, с командной строкой) не помогали. После входа в систему, моментально появлялось второе окошко, которое полностью блокировало систему. Понятно, что необходимо чистить реестр, но доступа к нему нет. И подцепить диск к другому компьютеру не могу - не чем. Нахожу ближайший LiveCD (DrWeb LiveCD), загружаюсь с него (перед этим надо в BIOS изменить порядок загрузки - на первом месте USB HDD или CD/DVD).

Нахожу файл

C:\Windows\System32\config\SOFTWARE

доставляю этот файл на другую машину чтобы удалить заразу.

Здесь на форуме советуют использовать ERD Commander, но его у меня еще нет и надо еще в нем освоиться (что и куда "тыкать"). С давних времен я пользуюсь Far'ом со своим набором плагинов. Один из них Registry Browser - вот на него я и возлагал все свои надежды.

Нахожу ключи и исправляю на правильные:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe"

Перед этим запоминаю предыдущие значения, хранящиеся там - в последствии, вернувшись на зараженную машину, эти файлы надо будет удалить.

Так как зараза может прописать себя сразу в нескольких местах убеждаемся, что ветки реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

не содержат запуска подозрительных программ. Под подозрение сразу подпадают программы, запускаемые из любого другого места, отличного от C:\Program Files или C:\WINDOWS. Содержимое подозрительных ключей запоминаем или сразу находим на зараженной машине и удаляем, а ключи удаляем.

Обновленный файл SOFTWARE возвращаем в систему и, пытаемся перезагрузить машину с диска (вынув загрузочную флешку или CD и вернув прежние настройки BIOS). Для надежности загружаемся в безопасном режиме, входим в систему, проверяем систему и пытаемся загрузиться в нормальном режиме.

Это не 100%-ное избавление от заразы. Нельзя исключать того, что вирус мог вписать себя в другие ветки реестра, или даже бинарные файлы.

( 2 * b ) || ! ( 2 * b )

10

Re: OFF: Поймал вирус

Rumata пишет:

...Один из них Registry Browser...

Супер !!! Давно пользуюсь Far'ом, но не знал что есть такой чудесный Plugin !!!

Времени не хватает... :-(

11

Re: OFF: Поймал вирус

Похожая ситуация с вирусом была, честно говоря и не вспомню что я в точности тогда делал, помню что чистил реестр загрузившись с Alkid Live CD утилитой RegEditPE, но на память осталось следующее титьки и аналогичный файл SMS_вымогатели2.doc, кроме того был один вирус который заблоикровал выход на  страницы антивирусов, решение было найдено здесь

12

Re: OFF: Поймал вирус

Евген пишет:

Супер !!! Давно пользуюсь Far'ом, но не знал что есть такой чудесный Plugin !!!

А есть ещё и RegEditor — редактор системного реестра.

13 (изменено: Dmitrii, 2011-05-06 10:38:20)

Re: OFF: Поймал вирус

Rumata пишет:

Нахожу ключи <...> [HKEY_LOCAL_MACHINE\...]...

Блокер может стартовать из ветки [HKU], из подветки конкретного пользователя.

14 (изменено: Rumata, 2011-05-06 11:10:59)

Re: OFF: Поймал вирус

Dmitrii, спасибо. Учту на будущее. А скажите как можно определить, что эта ветка [HKEY_USERS\S-1-5-21-xxx-xxx-xxx-xxx] моя? Хотя я проверил на двух машинах (но с разными Windows), она и правда одинаковая. Или это потому что пользователь один и тот же?

( 2 * b ) || ! ( 2 * b )

15 (изменено: BeS Yara, 2011-05-06 11:43:46)

Re: OFF: Поймал вирус

Rumata пишет:

как можно определить, что эта ветка [HKEY_USERS\S-1-5-21-xxx-xxx-xxx-xxx] моя? Хотя я проверил на двух машинах (но с разными Windows), она и правда одинаковая. Или это потому что пользователь один и тот же?

"S-1-5-21-xxx-xxx-xxx-xxx" - это SystemID пользователя. Насколько я понимаю он генерируется(что-то вроде GUID в SQL-Server) так что всегда уникален(не весь - только "XXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"). Разве что могут совпадать(теоретически) только если систему клонировали.
Well-Known SID Structures

Была утилита для поиска имени пользователя по sid, но не могу вспомнить ни точного названия, ни откуда она(ресорчкит, сисинтернал и т.д.). Да и работает она в пределах запущенной ОС.

HKEY_USERS\S-1-5-21-XXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-1003\Volatile Environment\HOMEPATH - папка профиля этого пользователя. Думаю по этому ключу можно идентифицировать чья ветка
______________________________
Well-known SIDs (Windows)(в другой части MSDN )

SECURITY_NT_NON_UNIQUE S-1-5-21 SIDS are not unique.

Видимо могут и совпадать

16

Re: OFF: Поймал вирус

это SystemID пользователя. Насколько я понимаю он генерруется(что-то вроде GUID в SQL-Server) так что всегда уникален(не весь - только "XXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX").

То есть для пользователя, который ввел одни и те же данные при регистрации (логин, пароль, электронная почта, что-то еще) SID будет всегда уникален?

Была утилита для поиска имени пользователя по sid

У меня cygwin показал как система помнит меня.

( 2 * b ) || ! ( 2 * b )

17

Re: OFF: Поймал вирус

Rumata пишет:

То есть для пользователя, который ввел одни и те же данные при регистрации (логин, пароль, электронная почта, что-то еще) SID будет всегда уникален?

Позже нашел другое описание SID(приписка в конце последнего сообщения) - судя по нему SID начинающиеся с "S-1-5-21" не уникальны.
Хотя, полагаю, это относится только к локальной базе пользователей конкретного компьютера. Т.е. SID могут совпасть на разных компьютерах, но не на одном. Три предпоследние группы цифр отличаются на разных компах, но на одном конкретном совпадают. Последние 4 цифры - это уже идентификаторы пользователей. Если не ошибаюсь, то "1" - "пользователь", 001...и т.д. порядковый номер добавления пользователя(для встроенного админа последняя группа цифр 500, одинаковая на всех компах). Старые, оставшиеся от удалённых пользователей, "номера" больше не используются. Именно об этом выдаётся предупреждение при удалении пользователя - новый пользователь с тем-же именем и тем-же паролем для локальной системы это другой пользователь. Это особенно существенно если пользователь использовал шифрование NTFS - тут даже сброс админом пароля пользователя приведёт к потере зашифрованных данных(если заранее сертификат пользователя не забэкапить). Поэтому если на какой-нибудь файл были установлены права на пользователя и потом пользователь был удалён то при просмотре прав вместо имени будет SID. Можно такое увидеть и без удаления пользователя, достаточно на отформатированной под NTFS флешке задать права для локального пользователя, потом просмотреть права доступа на другом компьютере.

Кстати, пока экспериментировал обнаружилось что в HK_Users отобразаются только ветки активных пользователей(залогинен, запущен процесс от его имени). Поэтому если это не сервер терминалов, то там будет одна ветка на 1ххх - текущего пользователя

Если компьютеры в домене, и пользователь доменовский, то SID у этого пользователя на всех компьютерах домена(при входе с доменной авторизацией) будет одинаковый.

18

Re: OFF: Поймал вирус

Вспомнил что за утилита
psgetsid.exe - Руссиновича(Sysinternal)

По результатам запуска без ключа получилось что SID без последней группы цифр это SID компьютера:

C:\aTools\.cmdTools\sysinternals>psgetsid.exe

PsGetSid v1.43 - Translates SIDs to names and vice versa
Copyright (C) 1999-2006 Mark Russinovich
Sysinternals - www.sysinternals.com

SID for \\XXXXX:
S-1-5-21-220523388-1425521274-1801674531

Тогда вопрос уникальности "220523388-1425521274-1801674531" остаётся открытым.
Ещё выяснилось что SID = Security ID (а не SystemID  как я писал ранее).
про реестр:

Windows NT/ 2000/ХР или Windows Server 2003 идентифицируют пользователей не по входным именам (login names), а по идентификаторам безопасности (Security IDs, SIDs), большинство из которых является уникальными для каждого пользователя (в том числе и для пользовательских учетных записей в разных системах). Исключение составляют только так называемые "хорошо известные" SID (well-known SIDs), например, такие, как встроенная группа Everyone (S-1-1-0) или пользователь Creator Owner (S-1-3-0), полный список которых можно найти в статье Microsoft Knowledge Base Q243330 — "Well Known Security Identifiers in Windows 2000 and Windows ХР". Если вы удалите пользовательскую учетную запись в локальной системе или в домене, а затем создадите новую с использованием того же входного имени, то для новой учетной записи будет сгенерирован новый SID. Идентификаторы безопасности имеют следующий формат: S-1-XXXXX1-YYYYY2-...-RID, где: S-1 — идентификатор безопасности (Security ID), версия 1; ХХХХХ — номер ведомства (authority number), YYYYYn — номера подразделений (subauthority numbers), RID — относительный идентификатор (Relative ID). Обратите внимание на то, что относительные идентификаторы (RID) уже не будут уникальны для каждого компьютера.

19

Re: OFF: Поймал вирус

Rumata пишет:

... как можно определить, что эта ветка [HKEY_USERS\S-1-5-21-xxx-xxx-xxx-xxx] моя?..

Либо заранее узнать SID своей "учётки", либо пользоваться сторонними утилитами (например, уже упомянутой PSGETSID.EXE).

Rumata пишет:

... на двух машинах (но с разными Windows), она и правда одинаковая. Или это потому что пользователь один и тот же?

Если речь не о доменных "учётках", то совпадение SID - очень редкий, хотя и возможный случай.

В случае с вирусами-блокерами достаточно обеспечить наличие одной "чистой" учётной записи - встроенной "учётки" локального администратора. Ветки прочих пользователей можно почистить в дальнейшем, подгружая их в реестр с помощью стандартной утилиты REG.EXE.

20

Re: OFF: Поймал вирус

Dmitrii пишет:

достаточно обеспечить наличие одной "чистой" учётной записи - встроенной "учётки" локального администратора.

Самый правильный способ для этого - не сидеть под админской учёткой(великое правило, которое я всё равно нарушаю:cool:) и не оставлять на втроенного админа пустой пароль.
Как вариант можно убрать группу администраторов из списка доступа к профилю встроенного админа. Но т.к. для преодоления этого достаточно забрать права на объект себе(что админам позволено), то 100% гарантии это не даст. Хотя я не сталкивался с ситуацией когда локкер писался в чужой куст, даже когда словили его под админской учёткой.

21

Re: OFF: Поймал вирус

Dmitrii, да, это доменная "учетка".

Dmitrii, BeS Yara. Что значит "учетка" локального администратора. На win98 я не знал об этом, на winXP/winVista сижу под своей "учеткой", но я не знаю, как распределяются права в windows, хотя знаю, что прав в системе у меня достаточно. В unix с этим просто и понятно (но это не для развития холивара).

( 2 * b ) || ! ( 2 * b )

22

Re: OFF: Поймал вирус

BeS Yara пишет:

Самый правильный способ для этого - не сидеть под админской учёткой

А как не сидеть, если 80% работы требуют именно таких прав?

23

Re: OFF: Поймал вирус

С вистой сталкиваюсь мало(ттт). В XP(Проф) при установке просит указать имя пользователя - ему даются админские права. Раньше можно было не указывать ничего и тогда использовался втроенный админский профиль(тот что с RID = 500). Теперь указывать пользователя обязательно. Но встроенная учётка всё равно остаётся, хотя может не отображаться в окне входа. Через оснастку "управление компьютером"(или с консоли через net user) лучше пароль этой учётке задать(если он не был задан при установке ОС). Можно и переименовать его чтобы затруднить подбор
P.S. ни разу не вибел на сером форуме холиваров - вроди бы люди все адекватные тут собрались

24

Re: OFF: Поймал вирус

alexii пишет:

А как не сидеть, если 80% работы требуют именно таких прав?

Запуск от имени другой учётки. Не очень удобно конечно...
С другой стороны если 80% проблем ограниченной учётки связаны с прикладным софтом, то на 99% это проблемы из-за разработчиков софта которые тоже кодили под админом и не проверяли работу своего ПО под учёткой пользователя(ИМХО).

25

Re: OFF: Поймал вирус

Нет, именно различные административные функции. Под Vista+ с UAC вообще надоедает до чёртиков. Благо, один раз с утра запустил Far Manager с повышенными привилегиями — и работай.

От обычных приложений, требующих при работе пользователя наличия административных привилегий, избавился давно и, надеюсь, навсегда.

26

Re: OFF: Поймал вирус

Запуск от имени применяю, как правило, тогда, когда нужны полномочия без завершения сеанса текущего пользователя: тот же Far Manager, а уже из-под него работаю; нужен «свой» Проводник — «explorer.exe /separate».

27 (изменено: Dmitrii, 2011-05-06 16:56:53)

Re: OFF: Поймал вирус

Rumata пишет:

... это доменная "учетка"...

В таком случае, SID Вашей "учётки" уникален для всего домена и совершенно не зависит от версии ОС, на которой Вы регистрируетесь.

Rumata пишет:

... Что значит "учетка" локального администратора...

Речь шла о встроенной в любую версию "Окошек" линейки NT локальной учётной записи по умолчанию именуемую "Администратор". Её SID несложно опознать. Он начинается последовательностью S-1-5-21-, а заканчивается последовательностью -500.

Для решения обсуждаемой задачи годится и любая другая "учётка", входящая в группу локальных администраторов (SID группы S-1-5-32-544).

28

Re: OFF: Поймал вирус

Странная история с вирусами. Недавно сын сообщил, что на домашнем ноутбуке под WinXP самолично установленный антивирус Avira постоянно ругается при запуске на наличие вируса TR/Crypt.XPACK.Gen3 в игре Diablo II. До этого эта же самая игра стояла и игралась на рабочей машине с симантековским антивирусом. Ложное срабатывание? Надо будет попробовать установить игру на новую машину с McAfee...

( 2 * b ) || ! ( 2 * b )

29

Re: OFF: Поймал вирус

Rumata, сразу видно, что не играешь в игры Такие предупреждения выдаются на каждый первый кряк. Некоторые из них действительно содержат некий относительно безобидный зловред, но в 95% это ложное срабатывание. Кейгены никто не любит

autoit@conference.jabber.ru - Конференция скриптового языка AutoIt на jabber.ru

30

Re: OFF: Поймал вирус

kaster. Вы правы отчасти. Играю, но не часто. Или, играю, но не во все игры. Есть небольшой набор игр, которые мне нравятся и в которые я играю иногда. Консерватор, одним словом. )))

( 2 * b ) || ! ( 2 * b )

31 (изменено: Аскет, 2011-06-23 00:22:32)

Re: OFF: Поймал вирус

Давеча проверил "на зубок" такого зверя.

Уложил на лопатки за 2 минуты без спецтулз и вообще перезагрузок
видать слабенький попался, не всё учтено...