Jump to content
СофтФорум - всё о компьютерах и не только

Типовые зловреды и их лечение


Recommended Posts

Look2Me

описание и лечение

Краткое описание:

Достаточно распространенная инфекция, перед которой антивирусы и антитрояны обычно просто бессильны (несмотря на то, что существует она уже около года).

Своё название получила благодаря серверу, с которым связывались более ранние версии (www.Look2Me.com).

Тип: Adware

Категория: Spyware

Платформа: Windows 2000/2003/XP

Автор: NicTech Networks Inc. (nictechnetworks.com)

Симптомы:

Огромное количество всплывающих рекламных окошек (pop-up), даже при отключении интернета (характер рекламы очень разнообразный; приложения: ErrorSafe, ErrorGuard, WinFixer, SafetyDefender, WinAntivirus, WinantiSpyware и др.).

примеры возможных:

emg2.gif

lookuz2.gif

Некоторые сайты, с которыми происходит соединение:

a-d-w-a-r-e.com

adware.com

errorsafe.com

winfixer.com

Действия:

Скрытная установка .dll-библиотек в папку WINDOWS\system32 (примерный размер .exe-файла инсталляции - 577кб; dll-библиотек - 228кб-231кб) и их регистрация в системном реестре в качестве расширения проводника + модуля уведомления Winlogon в разделе:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Названия .dll-файлов: произвольные!

Но для примера и по причине поисковиков, наиболее часто встречающиеся я всё-таки укажу:

6oo4svc.dll, avsetupc.dll, dn6m01j1e.dll, dp7vb.dll, dwintf.dll, dwscript.dll, dynlobby.dll, ebentlog.dll, en04l1dq1.dll, en20l1fm1.dll, en4sl1h71.dll, en6ol1j31.dll, fp6q03j5e.dll, gplsl3371.dll, h0j4la1q1d.dll, h0n0la5m1d.dll, h62o0gf3e62.dll, hltplug.dll, hrn0055me.dll, hrn4055qe.dll, hrnu0559e.dll, hrp6057se.dll, iieshare.dll, j80s0id7e80.dll, jt2u07f9e.dll, k0nola531d.dll, k4080edueh080.dll, k8jsli1718.dll, k8pm0i71e8.dll, kt46l7hs1.dll, kt6ol7j31.dll, ktp6l77s1.dll, ktpml7711.dll, kxdhe.dll, kzdcr.dll, l00u0ad9ed0.dll, l46o0ej3eho.dll, l4j8le1u1h.dll, l4r00e9meh.dll, l8n40i5qe8.dll, l8n4li5q18.dll, laadperf.dll, lv2o09f3e.dll, lv6809jue.dll, m0280afued280.dll, m2julc191f.dll, m2nqlc551f.dll, m6lslg3716.dll, m8rm0i91e8.dll, midsrv32.dll, mrmefilt.dll, msdemui.dll, msg116.dll, mtrdim.dll, mv4ul9h91.dll, mvpql9751.dll, mvr0l99m1.dll, mzjetoledb40.dll, n02ulaf91d2.dll , n4p40e7qeh.dll, ngtmsg.dll, o066lajs1do6.dll, o0pqla751d.dll, o684lglq16qe.dll, o6lulg3916.dll, owbcconf.dll , p06slaj71do.dll, p44uleh91h4.dll, pp2037oe.dll, r8r60i9se8.dll , rbssapi.dll, rdvpperf.dll, rhmps.dll, rnfsaps.dll, rp4l57q1.dll, sebiop.dll, sgellstyle.dll, spmpapi.dll, szdocvw.dll, uchisapi.dll, uervoica.dll, ulrlbva.dll, wmwfaxui.dll, wuadmod.dll, wyerrenu.dll

Плюс еще один характерный файл: guard.tmp

Антивирусами детектируется как:

Avast: Win32:Lookme-gen

BitDefender: Adware.Dinky.A

DrWeb: Adware.Look2me

Kaspersky: not-a-virus:AdWare.Win32.Look2Me.ab

McAfee: potentially unwanted program Adware-Look2Me

NOD32v2: Win32/Adware.Look2Me

Panda: Adware/Look2Me

Более подробно можно посмотреть здесь:

look2me.gif

Также заражение фиксируется программой HijackThis и в логе выглядит примерно следующим образом:

O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll

Вместо "Group Policy" и "h0n0la5m1d.dll" могут быть любые значения, которые к тому же еще и изменяются после каждого выхода из системы (Log Out).

----------------

Лечение:

Те, кто сталкивался с этой инфекцией, наверняка знают, насколько сложно она удаляется. Про обычное удаление вручную сразу же можно забыть, так как у пользователя не будет на это нужных прав. А попытки избавиться с помощью антивируса - заканчиваются зависанием компьютера при его загрузке, после чего история с рекламными окошками повторяется. Вроде бы и программ для удаления тоже создано достаточно, но в большинстве случаев их эффективность оставляет желать лучшего... Именно поэтому я и хочу рассказать о самом простом и, главное, надежном способе лечения - Look2Me-Destroyer от Atribune:

Скачиваем Look2Me-Destroyer.exe на рабочий стол, после чего закрываем все открытые окна и запускаем программу.

destqs8.gif

Ставим галочку рядом с надписью "Run this program as a task".

Появится сообщение с надписью "Look2Me-Destroyer will close and re-open in approximately 1 minute...".

Нажимаем OK (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно.

Если у вас не активирована служба
Планировщика Задач/Task Scheduler
, то перед этим сообщением дополнительно будет другое, в котором говорится об активации этой службы. Там также необходимо нажать на ОК:
de2vp0.gif

При повторном включении программы нажимаем на кнопку "Scan for L2M".

После этого рабочий стол и иконки на время исчезнут. Это нормально.

Когда сканирование закончится, нажимаем следующую кнопку - "Remove L2M".

Затем ОК и, когда программа закончить работать и появится следующее сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer", снова ОК.

После этого компьютер выключится.

Включаем его обратно, чтобы удостовериться, что от Look2Me не осталось и следа.

post-33125-1153687734_thumb.jpg

  • Upvote 1
Link to comment
Share on other sites

Virtumonde/Vundo

описание и лечение

Краткое описание:

Достаточно распространенная инфекция, которая многими антивирусами даже не детектируется.

Имеет огромное количество версий, большинство из которых совершенно невидимы для пользователя (как файлы, так и процессы).

Тип: Adware

Категория: Spyware

Платформа: все существующие на сегодняшний день ОС Windows

Автор: Virtumonde (virtumonde.com)

Симптомы:

Огромное количество всплывающих рекламных окошек (pop-up), даже при отключении интернета (характер рекламы очень разнообразный; приложения: WinFixer, WinAntivirus и др.).

пример возможного:

vulv9.gif

Названия файлов: произвольные!

Но для примера и по причине поисковиков, наиболее часто встречающиеся я всё-таки укажу:

accepx.dll, akcore.dll, aklsp.dll, akupd.dll, apcuo800.dll, awsgasfg.exe, awtst.dll, awvvs.dll, ayggaaaa.exe, bad-baby.dll, cidrules.dll, cutil.dll, ddaya.dll, dssoundi.dll, dwteepbb.exe, egjlcmba.dll, evhhapft.dll, fdconfig.dll, fdepheme.dll, gebcy.dll, gebya.dll, geeda.dll, getui.dll, grsqaaaa.exe, grtvumjk.exe, hgboxjfv.dll, hgded.dll, hggfg.dll, hvzjmguj.dll, icmppgrd.dll, inetadpt.dll, jkhfc.dll, jnwptjsf.exe, jpmthfgn.exe, jrbkvsrs.dll, jtwcaaaa.exe, keytapi.dll, khfff.dll, ljjji.dll, lspak.dll, mcconfig.dll, med.dll, mfc4hell.dll, mljjk.dll, mllmm.dll, msexfilt.dll, mshttcpl.exe, nwwkdb40.dll, opnnk.dll, pakfkrdr.dll, pentilcr.dll, pmkjg.dll, pmkjk.dll, quickbrowser.exe, QuickBrowserUpgrader.exe, scvi50.exe, setdrv32.dll, sjxwnaaa.exe, ssqrs.dll, ssttu.dll, systetup.dll, virtu000__.exe, vtsrr.dll, vtsts.dll, vturs.dll, wincore.dll, WindowsUpd1.exe, WindowsUpd2.exe, WindowsUpd4.exe, wavejava.dll, winhost32.exe, winupd.dll, xod.dll, yabba58.exe, yayyyab.dll, zz40.exe, zz50.exe

Антивирусами детектируется как:

DrWeb: Trojan.Virtumod

Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.bw

McAfee: Vundo

Panda: Spyware/Virtumonde

Sophos: Troj/AgentSpy-A

Symantec: Adware.VirtuMonde; Trojan.Vundo

При этом некоторые версии многими антивирусами не детектируются. Более подробно можно посмотреть здесь:

Vundo.gif Vundo2.gif

Также заражение фиксируется программой HijackThis и в логе обычно выглядит примерно следующим образом (зависит от версии):

O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\ddaya.dll

O20 - Winlogon Notify: ddaya - C:\WINDOWS\System32\ddaya.dll

Вместо "ddaya.dll" может быть любое значение.

----------------

Лечение:

В тех случаях, когда ативирус помочь не в состоянии, используем постоянно обновляющуюся утилиту VundoFix от Atribune.

Скачиваем VundoFix.ехе.

Закрываем все открытые окна и запускаем программу.

Ставим галочку напротив "Run VundoFix as a task"

fixdz0.gif

Появится сообщение: "VundoFix will now close and re-open in 1 minute or less..."

Нажимаем ОК (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно).

fix2qf0.gif

При её повторном включении нажимаем на кнопку "Scan for Vundo"

Когда сканирование закончится, нажимаем на следующую кнопку - "Remove Vundo"

Затем программа спросит у вас, действительно ли вы хотите удалить эти файлы, нажимаем на "Yes"

После чего начнется удаление инфекции.

Когда программа закончит, появится сообщение о выключении компьютера, нажимаем ОК, и ваш компьютер выключится.

Включаем его обратно и проверяем исчезла ли инфекция.

___________________

Если VundoFix вдруг вам не помог, то скачиваем то скачиваем на рабочий стол VirtumundoBegone и перезагружаем компьютер в безопасный режим:

При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter.

Запускаем программу, ждем когда она закончит, после чего перезагружаемся обратно в нормальный режим и проверяем исчезла ли инфекция.

post-33125-1154055817_thumb.jpg

post-33125-1154055834_thumb.jpg

Edited by Saule
  • Upvote 1
Link to comment
Share on other sites

  • 1 month later...

ГНОЙ

и трояны ему подобные

(Trojan.Plastix, Trojan.Krotten, Trojan.Griven, Win32/KillFiles.NAB, Trojan.Agent.il, Trj/Sirery и др.)

Распространяется под видом самых разнообразных программ, в основном универсального назначения для каких-либо несанкционированных действий (генераторы кодов пополнения к любым(!) компаниям мобильной связи; сброс любого(!) пароля для входа в систему; бесплатный доступ к различным платным интернет-ресурсам; взлом любого(!) почтового ящика и т.п.), т.е. в качестве приманки для любителей халявы.

Скачивается преимущественно с различных файло-обменников, где администрация не несет ответственности за содержимое файлов (crack-keygen.com; 4ru.info; dumpz.ru).

Неприятен тем, что избавиться от вредоносных последствий с помощью антивируса невозможно, так как удаления самих исполняемых файлов для восстановления нормальной работы системы в этом случае недостаточно.

А всё дело в том, что в случае запуска этой троянской программы происходит изменение целого ряда настроек системы, "благодаря" чему использовать многие функции вашей операционной системы становится не возможным. И нормальную работу компьютера предлагается восстановить лишь за небольшое денежное вознаграждение, перечисленное на счет авторов "вируса"...

Наиболее распространенные действия:

  • блокирует запуск системных утилит (в частности Task Manager/Диспетчер Задач, RegEdit/системный реестр, cmd/запуск командной строки и возможность воспользоваться функцией System Restore/Восстановления Системы).
  • при каждой загрузке системы выводит сообщение примерно следующего содержания:
    "Если вы хотите востановить работу вашего компьютера и не потерять все файлы то по адресу <email> вышлите 10 wmz в течении 12 часов на ваш адрес будет выслана программа для удаления"
  • блокирует доступ ко многим настройкам системы.
  • изменяет содержание меню кнопки Пуск/Start (в частности становятся невозможными завершение и перезагрузка системы через стандартный графический интерфейс).
  • блокирует закрытие окон проводника и окон IE.
  • изменяет атрибуты директорий Windows и Program Files на скрытый и создает посторонние папки (примеры: "Типа WINDOWS", "Типа WINDOWS2", "Типо Мои Докумены").
  • изменяет настройки отображения системных часов, из-за чего в трее и использующих время программах вместо часов появляется ненормативная лексика.
  • изменяет ряд настроек IE (в частности заголовок окна и стартовая страница).
  • изменяет ряд настроек рабочего стола пользователя (в частности с рабочего стола, а также в системном трее исчезают иконки).

При этом троян постоянно модифицируется (т.е. постоянно появляются новые версии), поэтому нужно иметь в виду, что любые его деструктивные действия также могут слегка изменятся.

Если запущенный вами троян был с .exe расширением*, то во время процесса его инсталляции в вашу автозагрузку прописываются два исполняемых файла (используется стандартный ключ автозапуска в системном реестре: HKLM\Software\Microsoft\Windows\CurrentVersion\Run)

Параметры, как и сами файлы, в каждой версии могут быть совершенно различными, но обычно автор пытается маскировать их под процессы системы, давая им схожие имена.

Примеры:

"svchost"="<путь к exe. файлу троянской программы>"
"winlogon.exe"="<путь к exe. файлу троянской программы>"
"Explorer"="<путь к exe. файлу троянской программы>"
"RUNDLL32.EXE AudioHQ"="<путь к exe. файлу троянской программы>"
"ALG"="<путь к exe. файлу троянской программы>"
"AVPCC"="<путь к exe. файлу троянской программы>"
"SERVICES"="<путь к exe. файлу троянской программы>"

Оба файла практически идентичны (отличается только их местоположение и название). И после выполненных изменений в системе они автоматически завершаются (т.е. в активных процессах вы их можете и не найти).

--------------------

Лечение:

1. Скачиваем HijackThis, распаковываем и запускаем.

Нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующие строки, если такие присутствуют:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
(или любая другая страница сайта rotten.com)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = :::::::::::::::::: <НЕНОРМАТИВНАЯ ЛЕКСИКА> ::::::::::::::::::
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Плюс самое главное: нужно найти два посторонних исполняемых файла в секции O4.

Возможные примеры:

O4 - HKLM\..\Run: [svchost] C:\WINDOWS\Web\rundll32.exe
O4 - HKLM\..\Run: [AVPCC] C:\WINDOWS\Cursors\avp.exe
или
O4 - HKLM\..\Run: [ALG] C:\WINDOWS\ime\imkr6_1\dicts\SVCHOST.exe
O4 - HKLM\..\Run: [sERVICES] C:\WINDOWS\WinSxS\Manifests\SMSS.exe
или
O4 - HKLM\..\Run: [RUNDLL32.EXE AudioHQ] C:\WINDOWS\system32\AudioHQ.dll.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\oobe\explorer.exe
или
O4 - HKLM\..\Run: [winlogon.exe] C:\WINDOWS\system32\services.db.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\inf\svchost.exe
или др.
(если есть какие-либо сомнения, обратитесь в топик:
)

Затем нажимаем на кнопку "Fix Checked".

2. Скачиваем AVZ, распаковываем и запускаем.

В верхнем меню программы нажимаем:

Файл > Восстановление системы

В открывшемся приложении отмечаем галочками все присутствующие там пункты и нажимаем на кнопку "Выполнить отмеченные операции".

3. Перезагружаем компьютер.

4. Удаляем два .ехе файла, автозапуск которых вы отменили в помощью HijackThis в пункте первом (т.е. из секции O4), если они еще будут присутствовать.

Также удаляем пустые посторонние папки, если такие были где-либо созданы (например, "Типа WINDOWS", "062014622823780" и т.п.).

5. Теперь избавляемся от оставшихся последствий трояна, которые в каждом случае могут быть немного различны.

Если нужно исправить часы в системном трее:

Открываем:
Control Panel > Regional and Language Options
(Панель управления > Язык и региональные стандарты)
И временно изменяем региональные настройки (т.е. сначала выбираем любой другой регион, сохраняем, а затем меняем обратно на тот, который у вас был установлен).
Это вернет часам их прежний вид.

Если папки Windows и Program Files стали невидимыми:

Start > Run (Пуск > Выполнить)
Вписываем
cmd
Нажимаем ОК.
В появившемся приложении вписываем, либо копируем с помощью мышки, следующее (после каждой строчки нажимаем на ENTER):
attrib -s -h -r c:\windows
attrib -s -h -r "c:\program files"

Если сместились обои на рабочем столе (это изменение вступит в силу только после перезагрузки компьютера):

Копируем в Блокнот/Notepad следующий код:
 REGEDIT 4[HKEY_CURRENT_USER\Control Panel\Desktop]"WallpaperOriginX"=-"WallpaperOriginY"=-
Затем сохраняем, но с расширением .reg (либо изменяем расширение файла вручную - с .txt на .reg).
Запускаем его и на вопрос Windows о том, действительно ли вы желаете добавить эту информацию в свой реестр, отвечаете Yes/Да.
Либо можете просто скачать уже готовый reg-файл:

Или, если вы хорошо знаете, что такое реестр (Start > Run; вписать
regedit
; нажать на ОК), то просто удалите параметры "
WallpaperOriginX
" и "
WallpaperOriginY
" из следующего ключа:
HKEY_CURRENT_USER\Control Panel\Desktop

--------------------

Как вариант, попробуйте воспользоваться для удаления некоторых запретов хорошей программой-твикером для вашей ОС (например, XP Tweaker; Neo Tweaker и др.), т.к. большинство команд, используемых трояном для блокировки функций системы идентичны заложенным в твикерах. Поэтому не исключено, что кое-что будет возможно исправить именно таким образом.

Например, наиболее простое возобновление работы System Restore:

twdp0.jpg
i

Уведомление:

Если у кого-либо есть дополнительная информация, касающаяся модернизаций трояна, либо рекомендации выше избавили вас не от всех изменений, присутствующих в вашей системе, обращайтесь, пожалуйста, через ПМ.

Saule

--------------------

* - в некоторых случаях злоумышленниками используются командные файлы или файлы с расширением .reg, которые ничего в системе не устанавливают, а лишь выполняют заданные команды

wallpaper.rar

  • Upvote 1
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...