Зловредный троян, предположительно Winlock 3300

ПотапаПапа

ОстапаПапа
Реєстрація
07.05.11
Місто
Черновцы
Телефон
Samsung Galaxy S10e
А у меня ось уже восемь лет стоит на компе.... Я даже не представляю себе процесс перестановки всего того шо тут на компе :eek:

Добавлено через 31 секунду
Андрюх[MENTION=6238 сказав(ла):
dp.ua[/MENTION];641730]kapetan, у меня готовый образ с полным комплектом софта;)

Классно тебе, я так не умею :(
 
Останнє редагування:

kapetan

Старый моряк
Реєстрація
17.06.11
Місто
Киев
Андрюх[MENTION=6238 сказав(ла):
dp.ua[/MENTION];641730]kapetan, у меня готовый образ с полным комплектом софта

Не все такие профи, да и не для всех такое подходит - у меня например система закриптована AES-ом :D

Все стрёмное запускаю на виртуалке для анализа, только после этого (если все Ок) инсталлю в основную систему.
Резидентного антивируса вообще нет и фаервола тоже (хватает стенки роутера и РН для контроля процессов) и чувствую себя великолепно,
вирусы ловлю ручками иногда пополняя ими базы вендоров ;)

PS последнее не является призывом всем отказаться от антивируса!
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
Все стрёмное запускаю на виртуалке для анализа, только после этого (если все Ок) инсталлю в основную систему.

А как ты узнаешь, что не все ОК при грамотно написаном трояне, который помимо установки "стремного" сам встанет в систему? Изучаешь в виртуалке процессы, логи записи файлов и т.д.? Это ж долбнуться можно, или надо иметь хобби "вирусоловитель" и кучу свободного времени. ИМХО - просто не качать со стремных мест, а на случай случайного залета - работающий антивирь.

Добавлено через 2 минуты
не лечу вирусы ( это дольше и менее качественно чем) переставляю ОС после заражения, благо вся инфа на другом логическом диске

Иметь бекап системы - хорошее дело, но это на самый крайний случай, потому что тот же софт постоянно обновляется, делать копии каждые 3-7 дней? Да нафек нужно..
 
Останнє редагування:
Реєстрація
02.09.09
Місто
Лисичанск
С нынешними вычислительными ресурсами компов работающий антивирус вообще не заметен в плане снижения производительности. Сейчас вот глянул - у меня nod32 отъедает 69 метров оперативки, при этом firefox ест почти в 3 раза больше. Правда, и полагаться только на один антивирус нельзя, т.к. нынешние трояны практически ними не детектятся, я сам неоднократно отсылал отловленных win-mbr-локеров др.Вебу и прочим, после того, как на вирустотале их никто зловредом не определил. Меня вот беспокоят последние трояны, шифрующие MBR-запись винта. Раньше то с локерами как - или mbr перезаписал (если mbr-локер) или, с LiveCD, из реестра его записи вычленил (если win-локер), а теперь все гораздо веселее: разделы на винте не видны из под LiveCD, при использовании FIXMBR получаем испорченную таблицу дисков ( . Недавно нашел такого виря у клиента, но т.к. терять на винте было нечего (клиент все бекапит на внешний hdd), а комп нужен был в исправном состоянии как можно быстрее, я просто переразметил винт и переставил windows. А вот если бы у него не винте было бы пару Тб нужных данных - тут я даже хз что и делать. Кстати, ни у кого нет такого отловленного виря? Мне для экспериментов.
 

Prorab

Skylark
Реєстрація
21.11.07
Місто
Черноморск
Телефон
Redmi N8P
Меня вот беспокоят последние трояны, шифрующие MBR-запись винта.
а теперь все гораздо веселее: разделы на винте не видны из под LiveCD, при использовании FIXMBR получаем испорченную таблицу дисков ( . Недавно нашел такого виря у клиента, но т.к. терять на винте было нечего (клиент все бекапит на внешний hdd), а комп нужен был в исправном состоянии как можно быстрее, я просто переразметил винт и переставил windows.
В эту субботу у клиента лечил такой винлокер.. Радостно потирая ручки, думал приду, быстренько загружусь с Live CD и выкорчую заразу - ага, хрен там! Разделов не видно, файловая система RAW.. Fixmbr только усугубил ситуацию, пришлось объяснять клиенту, что ему придется распрощаться с его данными, и переустановил ОСь..

P.S. Раньше в BIOS-ах была очень полезная опция - запрет записи в MBR-раздел диска. Жаль что от неё отказались..

Добавлено через 11 минут
А вот если бы у него не винте было бы пару Тб нужных данных - тут я даже хз что и делать.
Тут только можно было бы попробовать подсоединить винт к рабочему компу (или C Live CD загрузиться) и пройтись какими-то прогами восстановления данных, которые умеют непосредственно с винтом работать, минуя таблицу разделов.. При емком винте процедура очень долгая а результаты весьма непредсказуемы..
 
Останнє редагування:
Реєстрація
31.03.10
Місто
Кропивницький
Разделов не видно, файловая система RAW.. Fixmbr только усугубил ситуацию, пришлось объяснять клиенту, что ему придется распрощаться с его данными, и переустановил ОСь..

Не нужно спешить. Файловая система RAW лечится с помощью testdisk.
 
Реєстрація
02.09.09
Місто
Лисичанск
Вот поэтому и хочется заиметь такого трояна, чтобы попробовать в виртуалке различные способы лечения. Я уже пробовал сам с виртуалки по порносайтам полазить, излазил несколько десяткой сайтов, порева насмотрелся до пенсии )) , но из троянов ловились только самые обычные винлокеры, которые в Winlogon (Shell) пишутся.

ЗЫ. Если сидеть под юзером, то вирь в mbr не пропишется, максимум что сделает - залезет в автозагрузку только под конкретным юзером. Но, одно дело, когда нужно самому защититься, а другое - это когда тебя позвали уже исправить то, что случилось.
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
Вот притащили системник с такой заразой, просит 900 грн, гат :) Разделы неизвестного формата. Сделал bootrec /fixmbr (венда 7ка), а /fixboot отказался выполняться. В результате "Invalid Partition Table" при загрузке. Снял винт, подключил к живому компу, testdisk определил партиции, Write, передернул - увидело разделы с файлами. Сейчас идет долгий скан всего говна антивирями, потом буду пробовать запустить систему, не знаю или выйдет, но главное что данные остались.
 

yahoo

username
Реєстрація
21.11.09
Місто
Kharkiv
Телефон
Poco M3 Pro
Вот притащили системник с такой заразой, просит 900 грн, гат :) Разделы неизвестного формата. Сделал bootrec /fixmbr (венда 7ка), а /fixboot отказался выполняться. В результате "Invalid Partition Table" при загрузке. Снял винт, подключил к живому компу, testdisk определил партиции, Write, передернул - увидело разделы с файлами. Сейчас идет долгий скан всего говна антивирями, потом буду пробовать запустить систему, не знаю или выйдет, но главное что данные остались.
Хм...а что если такая шняга будет просить 30-50грн? Да, сумма маленькая, но из-за неё мало ламеров почешется нести комп мастеру. А через пару неделек - ещё раз запустится винлок и попросит ещё 50-100грн и т.д.
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
yahoo, они сначала так и просили - по 30...50 грн. Потом суммы стали расти (инфляция с покращенням), а трояны становятся все изощреннее - видимо, так выгоднее - если лох - он одинаково заплатит что 30, что 900 грн, а если чуть мозга в голове есть - обратится к специалистам. Обидно то, что ламера-эникейщики, мнящие себя крутыми спецами, делают умный вид, и со словами "у... тут надо полностью все переустанавливать..." - тупо форматят винт, когда к ним приносят зараженный комп, и народ теряет ценные данные.
 
Реєстрація
19.10.08
Місто
Харьков+
testdisk хорошая утилита. Есть почти на каждой сборке лайф-сд.
Даже если заполнить нулями пол винта, то сможет восстановить нетронутые разделы.

Чтоб легче было восстанавливать, можете бэкапить МБР, таблицу разделов.
 
Реєстрація
02.11.08
Місто
Винница
Телефон
Xiaomi Redmi 5, Meizu M2, Lenovo S820
Maxxx, попробуй прошерстить все папки temp на диске С. У меня в двух случаях вирус сидел именно там!
Также попробуй посмотреть логи через программу HiJackThis (во вложении), посмотри нет ли чего лишнего, каких-нить файлов типа 0.023123515325.exe или других. Там разберёшься.
 

Вкладення

  • HiJackThis.rar
    294 КБ · Перегляди: 34
Реєстрація
02.11.08
Місто
Винница
Телефон
Xiaomi Redmi 5, Meizu M2, Lenovo S820
Maxxx, проще вручную сразу их проверить. Возможно не придётся шерстить всю систему, она хотя бы запуститься сможет.
 
Реєстрація
19.10.08
Місто
Харьков+
Останнє редагування:
Зверху