Файлы вируса Trojan.Winlock.715
12 января 2010, 20:25 Как и обещал в статье Internet Security вирус, выкладываю файлы, которые были определены при сканировании системы зараженной новым вирусом Trojan.Winlock.715. Имя Trojan.Winlock.715 было определено утилитой CureIT.
Итак, файлы вируса по порядку нахождения сканером, в первом столбце имя, во втором каталог в котором находился (userprofile - имя учетной записи):
ckbnad.dll - C:\documents and settings\userprofile\Local Settings\Temp
fuighf.dll - C:\documents and settings\userprofile\Local Settings\Temp
olmueh.dll - C:\documents and settings\userprofile\Local Settings\Temp
pnaynv.dll - C:\documents and settings\userprofile\Local Settings\Temp
xaxyeg.dll - C:\documents and settings\userprofile\Local Settings\Temp
password.chm:QYMX8hknYYg9KMcgNR2 - C:\Windows\Help
nyyvepuid.dll - C:\Windows\System32
sdra64.exe - C:\Windows\System32
iuzyrt.dll - C:\Windows\Temp
ulbagz.dll - C:\Windows\Temp
Файл sdra64.exe был прописан в параметре UserInit ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, не забудьте удалить оттуда запись о нем (так чтобы осталась только запись C:\WINDOWS\system32\userinit.exe,). Файл password.chm:QYMX8hknYYg9KMcgNR2 также был прописан в реестре. Ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, параметр AppInit_DLLs.
Рекомендую записать (или сфотографировать, как это сделал я) названия ВАШИХ файлов вируса (которые найдет CureIT) с расширением exe (например, sdra64.exe) и те в имени которых присутствует “двоеточие” (например password.chm:QYMX8hknYYg9KMcgNR2) Тогда в случае чистки реестра руками можно выполнить поиск в реестре на наличие таких файлов.
Зная теперь какие файлы относятся к этому вирусу можно попробовать вручную удалить их загрузившись с загрузочного диска (тот же WinPE, как записать здесь, как создать загрузочную флешку на его основе здесь). Имена файлов, скорее всего будут другими, для каждой системы, а вот местоположение файлов будет примерно такое же. Хотя я уверен могут быть и другие папки где находится этот вирус. Если у кого есть аналогичная информация о файлах вируса Trojan.Winlock.715 - поделитесь (информацией) :)
Вот решил все таки выложить, чтобы посмотрели, что бывает если не следить за компьютером, это фото с того самого ноутбука который был восстановлен после заражения вирусом Internet Security.
Как сообщают посетители сайта сейчас уже существует модификация вируса, которая определяется утилитой CureIT как Trojan.Winlock.938
Теги: 
Рубрика: 
Отзывы
IgorKa - Информационный ресурс » Internet Security вирус:
[...] и обещал файлы которые были определены как новый [...]
12 января 2010, 20:28evgenp:
реально помогло!
название файла совпало sdra64.exe
прочистил реестр в указанных местах
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon тут была ссылка на файл
второй ключ реестра был нормальным
вобщем при помощи молотка зубила и какойто … винду удалось откачать :)
пасибо автору статьи!
добавлю еще что нашел зараженый файл в C:\Windows\help win_dos.chm вроде так назывался
и почистил все тэмпы полностью по всему компу вмести с карзинами и System Volume Information
потом старт в безопасном режиме и утилита AVZ в режиме восстановление системы
Ответить
Igorka Reply:
января 15, 2010 at 14:29
Отлично! Значит можно и руками. Спасибо за информацию.
Ответить
alex:
Последнее время прямо нашествие какое-то… Хотел посчитать и сбился со счёта сколько раз за прошедшую неделю я чистил эту гадость на компах клиентов и просто знакомых. Процедуру поддерживаю, именно так и чистил. От себя рекомендую также не забывать проверять следующие ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ответить
Igorka Reply:
января 16, 2010 at 0:49
Да за последнюю неделю многие подхватили…
Ответить
vovan:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, параметр AppInit_DLLs указывает тело виря. Имя файла может быть каким угодно.
Ответить
16 января 2010, 1:13Сергей:
Может кто посоветует.
Я тоже подцепил эту заразу. Переводом даты удалось убрать окно вируса и запустить антивирус. Файлы которые написал Игорка я у себя не нашел. Но в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
был прописан sdra64.exe и я просто удалил эту запись(может надо было поставить 0 в этом параметре?). После этого не загружается рабочий стол, просто синий экран и стрелочка. Чего можно сделать?
Ответить
Igorka Reply:
января 17, 2010 at 12:06
У вас в параметре UserInit было написано что-то наподобие этого:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Необходимо было щелкнуть сделать двойной щелчок по параметру UserInit, и в открывшемся окне редактирования параметра удалить запись о вирусе так чтобы осталось следующее:
C:\WINDOWS\system32\userinit.exe,
и нажать на ОК.
Точно также нужно поступить и с параметром AppInit_DLLs ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Удалить из него запись наподобие этой C:\WINDOWS\help\password.chm:QYMX8hknYYg9KMcgNR2
Ответить
Dmitry Reply:
января 26, 2010 at 10:31
AppInit_DLLs — C:\WINXP\Help\certmgr.chm:WJCotbvrmB
“Подцепил” 22.01.2010.
N.B. в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ничего не было дописано.
Ответить
D.J.In:
Спасибище общечеловеческое ! :) Завтра друг притопает с такой вирней :) Будем “лечить”!
Ответить
Igorka Reply:
января 20, 2010 at 21:50
А за что спасибо хоть? :) Получилось избавиться? или это авансом? :)
Ответить
blin:
Я потратил на него 2 дня, блин….
Все пред. способы не помогли к сожалению
оказалось в реестре по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows есть запись типа C:\WINDOWS\Cursors\size2_l.cur:дальше_всякая хрень
В общем вместо C:\WINDOWS\Cursors\size2_l.cur:дальше_всякая хрень надо пусто :-))
хм.., вирусоизобретатели не дремлют…
Ответить
Igorka Reply:
января 21, 2010 at 9:55
Да, к сожалению, пишут новые модификации. Поэтому рекомендую восстанавливать реестр как описал вот в этой статье http://igorka.com.ua/2010/01/20/vosstanavlivaem-reestr-windows-xp/ Там указана ссылка на видео-инструкцию для начинающих, и ссылка на оригинал статьи.
После восстановления уже можно чистить антивирусом.
Ответить
blin:
кстати CureIT нашел и убил еще в Мои документы\Новая папка\smsbomba.exe, обозвал его TrojanFakesms.6
делайте выводы…
Ответить
21 января 2010, 9:56Andrew:
Файлы названия совсем другие, но по количеству столько же… размер вирусных длл-лок в систем32 у меня был 125440 байт… Убить только с помощью win PE. drweb livecd не помогает…
Ответить
22 января 2010, 15:27Shoom:
Сначала ищите свежие длл в Windows - system32 (отсортируйте айлы по дате создания), проверяйте их через онлайн-сканер http://www.kaspersky.ru/scanforvirus, потом ищите файлы с таким же размером и тоже проверяйте каждый.
Дополню своим выводком:
размер вирусных dll 125952 байт. Были и незараженные файлы такого же размера. Будьте внимательны.
Ответить
Igorka Reply:
января 22, 2010 at 20:16
И все-таки мои рекомендации не включать сеть во время поиска вируса, а значит пользоваться он-лайн сканером не получится, лучше скачать отдельно утилиты наподобие CureIT, проверить все и только потом уже пробовать он-лайн сканирование, хотя я к нему отношусь настороженно и сам никогда не пользуюсь.
Ответить
Августина:
Здравствуйте, Игорка! Подскажите пожалуйста, у меня тоже выдает на нод ограничение, но я проверила Dr.Web CureIt! вирусов не нашел не могли бы объяснить для “чайников” подробно что за чем делать идет чтобы нод заработал?
Ответить
Igorka Reply:
января 24, 2010 at 13:14
Добрый день!
Конечно мог бы и даже уже объяснял. Прочтите статью http://igorka.com.ua/2010/01/12/nevozmozhno-otkryt-dannuyu-programmu/ и комментарии, если будет неясно пишите еще, попробую объяснить еще.
Ответить
denys:
Спасибо реальное!!!
Сажать бы таких засранцев кто такие проги вешает на компы юзеров. Ребенок повелся и скачал теперь лечу вот комп.
Ответить
24 января 2010, 15:56Sergey_Cherdyn:
По-любому спасибо :), второй раз за неделю притаскивают аппараты с этой фигней :) В Viste убить не мог - может неполноценный загрузчик был - WinRe на последнем Звере усеченный - не дал доступа к LocalSetting :(
В XP все легко катится, уже убита бяка, вот только вся палитра - regedit не запускается, NOD не ставится, диспетчер задач отключен… Возни, короче, много..
Да, и название EXE -шника в систем32 уже другое:)
Ответить
25 января 2010, 9:14Андр:
Что делать если названия файлов вируса уже другие? В систем32 нет ничего похожего и в локалситингс, по дате тоже нового ничего нет. Реестр и групповая политика не работает. Есть только оболочка винды лайв юсб.
Ответить
Igorka Reply:
января 25, 2010 at 10:37
Прочтите статью http://igorka.com.ua/2010/01/11/internet-security-virus/ в ней я описал как удалил вирус.
Ответить
Ник:
Сегодня с утра по радиостанции “бизнес FM” упоминалось об активизации подобных вредоносных программ. Экспертное мнение было кажется одного из сотрудников dr.Web.
Забавно.
Сам вылечил две машины с подобным вирусом.
Не так давно не имея возможности записать “реаниматор”, руками ковырял реестр (у меня был в \Run ) и подозрительные файлы. Кстати помогли настройки в msconfig, хотя в безопасном заходить было бесполезно.
Ответить
26 января 2010, 13:23Андрей:
Товарищи, не обращайте особого внимания на эти имена файлов… На каждой машине они генерируются СЛУЧАЙНЫМ образом… Остаются только похожие адреса положения этих файлов… А имена будут другими! Метод классный… Dr.Web рулит…
Ответить
Igorka Reply:
января 27, 2010 at 7:37
Да, имена библиотек будут другие, а вот файл sdra64.exe у многих так и называется. Когда писал статью, еще не было понятно, что меняется, а что нет (хотя, как правило, имена действительно генерируются автоматически). Не стал исключением и этот случай. Абсолютно согласен, что здесь более важно место расположения файлов. Спасибо за комментарий!
Ответить
Андрей Reply:
января 27, 2010 at 7:43
Спасибо за статью! Просто не увегда удаётся быстро найти нужное решение проблемы… А тут почитал и понял как действовать… Правда я начал чуток по другому, цепанул винт к здоровому компу и начал проверять… Кстати, Касперский тоже отлично всё находит и лечит… Но для надёжности перепроверяю DrWeb-ом… Автору респект! : )
Ответить
Igorka Reply:
января 27, 2010 at 7:54
Могу сказать, что я пользуюсь этим методом (WinPE, CureIT, AVZ), почти всегда. Хотя слава Богу, не часто :) Насчет, Касперского спасибо, просто привык уже использовать CureIT, вот его и рекомендую. Да и писать стараюсь только о том, что делал сам, а не где-то слышал, где-то читал. Вот вы написали, что Касперский находит и лечит, теперь посетители будут знать, что кто-то лечил и точно может сказать, что Касперский работает.
Вирус этот тоже можно по разному изводить, и можно было написать, что можно так, можно так… Но я написал только, то, что помогло в моем случае. Хотя и здесь тоже не застрахован от неприятных сюрпризов, как, например, не у всех загружается WinPE, не у всех получилось сделать загрузочную флешку и т.д.
Но есть люди которым помог, уже хорошо :)
Ответить
cityman:
Добрый день, уважаемый Igorka, благодарю Вас за очень и очень важную инфо…но все-таки если можно один вопрос!!!!
Я просмотрел Ваш видео-ролик по очистке от вируса, меня интересует один момент, на видео указано что ви через PEbuilder заходите на жосткий диск С!!!!
Я записал образ PEbuilder на диск и заходя не вижу свои HDD диски….может я что то не до конца понял помогите пожалуйста:)
Ответить
Igorka Reply:
января 30, 2010 at 21:47
Добрый день,
Если у вас диск SATA, то скорее всего дело в режиме работы контроллера. Поищите в биос пункты связанные с режимами работы SATA (во многих биос нужно выставить режим compatible). Только когда будете снова загружаться с жесткого диска не забудьте перед этим вернуть режим в исходный. Это важно.
Ответить
IgorKa - Информационный ресурс » Вирус Trojan.Packed.19647:
[...] написано в статье Internet Security вирус, а также в статье Файлы вируса Trojan.Winlock.715. А вот о том как я заразил Windows XP (виртуальную, в [...]
31 января 2010, 13:17sartr74:
Здравствуйте!
У меня ситуация начиналась аналогично: через Flash Player получил sms-попрошайку. Нашел в Интернете программу, которая «легко и надежно удалит блокировку». После чего компьютер наглухо заблокировался. Следуя вашим рекомендациям, частично реанимировал систему, работают все антивирусники AVZ, NOD32, CureIt, программы настройки Widows, появился автозапуск, файлы удаляются в Корзину. Но по-прежнему блокируется большинство изменений: нет русской языковой панели (вообще никакой, письмо печатаю у соседа), программы запускаются с установками по умолчанию, реестр блокирован. Хотя вручную изменения вносятся и сохраняются после снятия блокировок с разделов реестра, весь реестр в целом остается заблокированным. Языковая панель и ряд настроек не сохраняются. У меня WinXP SP2, использую диск с WinPE. Содержимое страницы http://igorka.com.ua/2010/01/12/fajly-virusa-trojanwinlock715/ прочитал, рекомендациями воспользовался, но безрезультатно. Что-то не так делаю? Можно что-нибудь сделать для восстановления системы?
Ответить
8 февраля 2010, 6:07Igorka:
Добрый день,
Опишите более подробно, что именно вы сделали по моим рекомендациям.
И что значит “весь реестр в целом остается заблокированным”?
Ответить
sartr74 Reply:
февраля 9, 2010 at 6:54
Добрый день. Я ответил на вопрос, возникший в связи с моим первым обращением (8 февраля 2010, 6:07), но не вижу его (свй ответ)на страничке. Моё сообщение появляется после Вашего просмотра или оно не получено?
Ответить
Igorka Reply:
февраля 9, 2010 at 7:28
Ваше сообщение было заблокировано спам-фильтром. Я его получил и отписал вам на почтовый ящик. Здесь выкладывать его не буду, так как сообщение очень большое и не совсем относиться к теме статьи. Поэтому дальнейшее общение предлагаю вести через почту.
Ответить
mr2k:
Я тоже в пятницу подцепил такую заразу….пустой рабочий стол, и больше ничего. При нажатии Ctrl-Alt-Del…табличка, “Заблокировано администратором” и всё…нажатием Win+U…забрался в браузер, там запустил Антивирь….ничего который не нашел…что только не делал, чистил реестр…плохо что сразу эту статью не нашел, так бы своими бы силами эту заразу вывел…и только через день узнал что это WinLock. В итоге винду переустановил и всё!
Ответить
14 февраля 2010, 8:50Realko12:
Имеется дополнения к тому что описано - я стал часто обнаруживать остатки и клоны в папках которые описаны тут и неописаны - если я обнаруживаю подобный вирус делаю так - запускаюсь с загрузочного диска (в моем случае Alkid CD Live) - тоталом захожу в папки и все полностью оттуда удаляю
следующие папки:
System Volume Information - на всех разделах (т.к. вирус порой мигрирует)
Recycler - на всех разделах
Все папки temp - не упуская папку c:\WINDOWS\Temp\
Все папки Internet Temporary Files\Ie5
В последней постоянно скапливаются огоромные кол-ва файлов интернет страниц, и при проверке антивирусом вы просто тупо можете терять часы на проверке именно этих папок - уж лучше вручную вычистить их
Если у вас при этом не нормально работал Dr.Web - не включается проверка электронной почты - снесите его после всех этих процедур и переустановите его - когда все до конца обновится - сканируйте - мне чаще всего после этого попадаются вируснутые файлы в разделе c:\WINDOWS\system32\
Первое действие антивируса пробуйте - ЛЕЧИТЬ - если не лечится - УДАЛИТЬ
Последствия удаления были разными - могут задеть системный файл - и тогда тока переустановка Windows - так что не расслабляйтесь))
Ответить
Igorka Reply:
февраля 14, 2010 at 11:05
Спасибо за комментарий, но также дополню для посетителей.
Файлы достаточно удалить из всех каталогов temp. Так как они не несут в себе важной и необходимой информации и только увеличивают время сканирования антивирусом системы в целом. Об это я уже писал.
Каталог System Volume Information содержит точки восстановления системы. Конкретно этот вирус сам очищает этот каталог. Для других вирусов достаточно проверить этот каталог антивирусом. Удалять его целесообразно, на системах на которых не стоял антивирусный пакет или стоял но не обновлялся. Тогда там действительно скапливается большое количество файлов с вирусами.
Recycler - каталоги которые являются привычной “корзиной”. Также достаточно просканировать файлы антивирусом. Знаю пользователей который без корзины жить не могут и у них там постоянно куча файлов который они периодически восстанавливают. Удаляя файлы из каталога Recycler вы очищаете свою корзину. Это нужно иметь ввиду.
По поводу задеть системный файл. Действительно были случаи в практике (но не для этого вируса) когда CureIT удалял зараженный системный файл и загрузка Windows становилась невозможной. Но эта проблема во всех случаях решалась восстановлением системы с помощью загрузочного диска Windows, но никак не переустановкой. Это уже совсем крайняя мера.
Другое дело, что большинство пользователей просто не знают, что делать в такой ситуации и единственным выходом видят именно переустановку системы.
Ответить
Сергей:
Здравствуйте ! у меня в реестре в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, параметр AppInit_DLLs прописано prio.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll. Это по моему что то не то !!! Сканер вэбовский вылетает и не делает сканирование полное , говорит , что обнаружен вирус и все . Не запускается касперский , восстановление системы и ряд служебных программ .
Ответить
17 февраля 2010, 23:18Michael-Eye:
Здесь есть краткое описание решения проблемы (относится к версии 100 по идентификатору компании DrWeb):
http://infoprocsoft.com/index.php/Удаление_Winlock_вируса
Ответить
23 февраля 2010, 23:39Кирилл:
А у меня вот что было:
Как-то раз когда я открыл браузер Opera и нажал на страницу “Яндекс” у меня такое окно появилось: типо с моей странцицы в контакте рассылался спам и нужно туда зайти(на страницу) и разблокировать ее. Когда я заходил туда мне предлагали отправить смс на какой - то номер и мне вышлют код для разблокировки страницы. Я сообщение решил не отсылать и вошел в интернет через Internet Explorer. Там я открыл свою страницу немного полазил, изменил пароль, на всякий случай, и потом заново вошел через Opera и все было нормально. Так повторялось несколько раз и вот сейчас прекратилось.
Ответить
20 августа 2010, 23:08