Вирус "отправьте смс"

[][irurg]

Один из компов в сети второй раз хватанул эту дрянь, предлагаю обсудить методы борьбы. После первого раза переустановил систему - спешил, теперь хочу победить.
Система - WinXP SP2. Вирус - имитирующий экран бсод при сразу при загрузке системы после ввода пароля и на нем предлагает отправить old oper на номер 4161 (аля blocker).

стандартные методы избавления НЕ прошли, а именно
- зажатие различных клавиш - Shift (через залипание), Esc до загрузки вируса
- сканирование свежим лайфсд ДрВеб - после первого скана обнаружил три штуки MalWare в application data, удаление не помогло. сейчас делаю второй скан
- чистка кеша оперы, ие в аппл дата, local settings, windows temp c лайфсд
- подбор пароля через сайт дрвеба
- откаты системы, безопасные режимы
- смена даты в биосе в буд/прошлое

имеется -
- ctrl+alt+del рабочие, диспетчер отключен
- доступ к компу по сети (даные все уже сохранены )
- доступ к реестру по сети, к веткам HKLM, HKU

Какие будут предложения коллеги? как вообще эта хрень работает - видимо меняет шелл в реестре?

[=Дмитрий=]

Сбрось биос, Format C сделай.

[][irurg]

что еще любопытно - по номеру 4161 торгует интернет магазин softkey
http://www.softkey.ru/news_detail.php?ID=7639.

[=Дмитрий=]

Тогда надо удалять все продукты этой фирмы с компьютера.

[builder]

... и как адский глум звучит предложение купить KAV посредством отправки СМС на тот же номер.
ЗЫ: в такой ситуации подцепил бы диск вторичным и травил бы всем подряд, методично и бесжалостно.

[vitolik]

Помогло следующее - на загруженном компе был вставлен загрузочный диск 8 убунту, и комп отправили в выключение при завершении процессов и тд и тп, вирь выгрузило а как таковая винда не уша в перезагрузку окончательно (появилось окно завершения задачи в нашем случае это был загрузчик диска), запустили командер и експлорер, после этого сразу почистили автозагрузку. И началась борьба с энтой гадостью.

[Andrei_ra]

на сайте доктора веб есть ссылка на страничку в которую вводишь ключ, там же появляется ответ, делал так клиенту одному - прокатило
Вот ссылка: http://news.drweb.com/show/?i=304&c=5

[Andrei_ra]

только прочитал что уже пробовали подбирать

[Part!zan]

][irurg, с помощью avz, HijackThis делаешь отчеты и сбрасываешь сюда. А если тебя интересует как предотвратить подобное, то ставишь какой-нть приличный HIPS, но придется пользователей обучать на него реагировать.

[I'am]

Цитата:

Сообщение от ][irurg

что еще любопытно - по номеру 4161 торгует интернет магазин softkey
http://www.softkey.ru/news_detail.php?ID=7639.

То что софткей купил на нем несколько кодов вовсе не значит что номер принадлежит им...

[][irurg]

Цитата:

Сообщение от Part!zan

][irurg, с помощью avz, HijackThis делаешь отчеты и сбрасываешь сюда.

так понимаю совет для рабочей системы. avz исследует запущенные процессы например. но если система заблокирована ?

Цитата:

Сообщение от I'am

То что софткей купил на нем несколько кодов вовсе не значит что номер принадлежит им...

не знал что там еще по кодам делят, хотя это было бы логично. все же интересно, ведь проследить кому в конечном итоге идут деньги плевое дело - почему не занимаются этим соответсвующие организации? риторический вопрос, видимо

Цитата:

Сообщение от vitolik

на загруженном компе был вставлен загрузочный диск 8 убунту, и комп отправили в выключение при завершении процессов и тд и тп, вирь выгрузило а как таковая винда не уша в перезагрузку окончательно (появилось окно завершения задачи в нашем случае это был загрузчик диска)

вот это любопытно, завтра попробую. думаю еще должен быть способ через удаленный реестр воздействовать. например попробовать вообще отменить загрузку шелла - как поведет себя вирь?
потом будем как советовал билдер травить с рабочей системы

[Virt.]

пробуй восстановить сейфбут
1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
3. Импортировать модифицированный файл

и avz

[Virt.]

проверь
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

[][irurg]

Цитата:

Сообщение от Virt.

avz

не пойму почему все советуют авз - что от него толку на заблокированной системе? ни одной программы запустить не выходит - отсюда и пляски с пятикратным нажатием шифта и прочее

[Virt.]

][irurg
вы не поняли...
сперва восстановить сейфбут, а из него использовать avz для восстановления загрузки (опции там есть)

[inet-pioner]

могу помочь в реале за вознаграждение, а так livecd в помошь
p.s. опыт был

[X0R]

на виртуалке хапускается, блочит? Как можно заразить комп? Есть идеи, хочется опробовать на практике.

[][irurg]

X0R, если выделю в живом виде, подарю. если есть идеи самое время поделится

[][irurg]

Цитата:

Сообщение от Virt.

проверь
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

вроде ничего подозрительного (скрин)

Цитата:

Сообщение от Virt.

пробуй восстановить сейфбут
1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
3. Импортировать модифицированный файл

а вот это интересно - на зараженной машине нет раздела SafeBoot - видимо вирус удалил его и поэтому загрузка в безопасном режиме не помогает (!)

на самом деле работа вируса удивительна - на компе куда он внедрился у пользователя не было прав админа (!), стоял обновленный нод32. вирь мгновенно после запуска скрипта блокировал комп, даже перезагрузки не потребовалось
видимо это приложение запускается из автозагрузки, поскольку пару секунд при загрузке видно рабочий стол
АПД
Ну собственно после того как стало понятно как вирь работает удалить его не сложно - в разделе RUN ищем параметр ekzabc и убиваем. Если к реестру доступа нет (одиночная машина) убиваем файл %systemroot%\lsasss.exe. кому нужен для исследований пишите в личку
сегодня дрвеб его уже опознает как Trojan.Winlock.68

[ram777]

http://u-antona.vrn.ru/forum/showthread.php?t=393684тут всё решиловсь лечится элементарно любым антивирусом на данный момент он ( вирус) в базе и к тому же через 2 часа блокировка сама пропадает и через лайфсиди можно запустить бесплатную лечащаю утилиту доктора вебера она легко его грохает!

[][irurg]

ram777, совсем не читал тему, да? этих вирей уже тьма модификаций

[X0R]

][irurg, была идея заразить виртуалку и отследить какие файлы появились, ну и проанализировать их.

[Part!zan]

Цитата:

Сообщение от ][irurg

если система заблокирована

Ну ты же имеешь доступ по сети... Загрузись в удаленный рабочий стол и сканируй. Если он выключен - правкой реестра по сети его легко включить. К тому же, никто не отменял запуск avz через утилиты типа pstools с заданием ключей работы через ком. строку.

[][irurg]

X0R, если бы виртуалка заразилась, она бы тоже заблокировалась, как бы узнали какие файлы при этом изменялись?
Part!zan, да, pstools в голову не пришел, интересная мысль.
удаленный рабочий стол тоже блокировался бы - ветка Run исполняется и в нем

[X0R]

][irurg, если меня не очень клинит и глючит - то виртуальный винт все таки можно подключить. При создании виртуальной машины спрашивают - какой вирт диск использовать, существующий или новый. На крайняк можно было еще одну операционку на виртуальный винт внедрить

[inet-pioner]

Цитата:

как бы узнали какие файлы при этом изменялись?

можно посчитать md5 хеши и сравнить до и после, есть прога cdcheck и др программы для подсчета md5

[][irurg]

X0R, что то я туплю видимо, но идеи все равно не пойму. вы хотите установить одну ось, заразить ее, потом подключить диск с зараженной осью к другой виртуальной ОС и уже из нее проанализировать измененения ? проанализировать примерно 50 000 файлов составляющих только папку виндовс сложновато, имхо (не считая прочего)

[inet-pioner]

типа так можно
z.php модифицирован
файл counter0 появился

[trox]

][irurg,
когда в асе будешь? Попробуем побороть=)
з.ы.Проанализировать,что сделал вирус,можно с помощью проги Regshot(анализирует файлы и реестр). Только нужен снимок до заражения и после

[X0R]

][irurg, а может я туплю и такое не возможно, но почему то надежда есть
PS
inet-pioner, все правильно понял