Windows kómában avagy a fekete halál

Nemrégiben találkoztam a következő jelenséggel: a Windows Vista mikor az asztalt betöltené, fekete képernyőre vált, egérkurzor mozog, viszont semmire nem reagál! Csökkentett módban ugyan az a helyzet! Elérhetetlen a gép. A jelenség teljesen váratlanul ért, mivel gond nélkül dolgoztam a géppel, majd készenléti állapotba került és onnan már soha többé nem tért vissza. Mondanom sem kell, vírusirtó volt a gépen. Nekem csak egy megoldás jutott eszembe, az újratelepítés. Hogy ne kelljen ezt átélnie mindenkinek, megosztom a webes nyomozásom eredményeit.

Steel bejegyzése

Találkoztam 2009.10.14-én egy elég érdekes jelenséggel, megosztom, más ne kínlódjon annyit. A Win Xp bootolás után, amikor az asztalt betöltené, fekete képernyőre vált, egérkurzor mozog, viszont semmire nem reagál, sem jobb gomb sem taskmgr, sem semmi. Csökkentett módban, legutólsó helyes confignál is ugyanez a jelenség. Az XP áll és vár, és nem reagál semmire. Mivel viszonylag nagy számban fordult elő, elkezdtem vírust keresni bőszen, természetesen 4 víruskeresőből 4 semmit nem talált. Neveket nem mondanék! Többféle Malware, stb. eltávolító következett a találat szintén semmi.
Felhívtam az egyik vírusirtó cég hazai forgalmazóját, akinek meglepően jó a supportja, de most eredmény semmi. Nem hallottak még a jelenségről, nem tudnak mit mondani.(Jelen pillanatban pedig a vonalaik átmenetileg túlterheltek! Most már biztos hallottak róla :-)
Végső elkeseredésemben elkezdem böngészni a filerendszert, és a helyi profoil/local settings-ben találtam egy gyanús állományt ypdgfw.bak néven. (Egyébkén csak egy dektop.ini van ott.) Azt átmozgattam egy mappába, reboot, és XP indul mint ha mi sem történt volna. Hurrá!
Jöhet a többi gép, meg a pofára esés, Local settingsben semmi.... (jelenség: fekete halál) Kis gondolkodás, aztán rákerestem a fájlméretre a teljes meghajtón. A windows mappában megvolt. Más néven. Legyógyít reboot, örülés. Szóval ha valaki találkozik a jelenséggel, ne aggódjon. Be kell bootolni miniPe lemezről, és rákeresni a windows mappában 18432 byte méretü állományokra. Lesz néhány, de van benne egy amelyiknek a neve többnyire értelmetlen karakterhalmaz, a dátuma pedig 2009.03.21 ha ezt eltüntetitek, aztán reboot minden megy tovább...
Én kb a 100. ilyen gépen vagyok túl 2 nap alatt, és szerintem ez folytatódik. Közben utánaolvastam a dolognak, (elméletileg a Win32/Daonol.F vírusról van szó) meg elküldtem a Nod víruslaborjába egy pár állományt, de még nem kaptam válasz. Ha valakinek valami konkrétabb ifója van, ne fogja vissza magát!

Microsoft reakció

Kedves Viszonteladó Partner,
Több helyről kaptunk információt arról, hogy a WindowsXP aktuális frissítése közben a PC “lefagyott” és csak a kurzor látszott a fekete képernyőn. Mérnökeink utánanéztek a problémának és a következőkre jutottak:
A problémát valószínűleg egy virus fertőzés okozza. Általában a C:\Documents and Settings\Local Settings\ vagy a C:\Windows\ mappában található egy 18432 bájt méretű fálj. Mivel változó helyen fordul elő és változó néven, ezért a méretére kell rákeresni. A munkamenet a következő:ha van lehetőség, át kell kötni a merevlemezt egy működő rendszerre. Méret alapján keresni kell a fáljra. Ezután kitörölni vagy átnevezni. Visszahelyezni a merevlemezt az eredeti számitógépbe, és inditani a rendszert.

Illetve a Start\Futtatás…\regedit és törölni kell a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Drivers32 útvonalon azt a midi nevet, ahol az érték a C:\Documents and Settings\”user”\Local Settings\-al kezdődik és az 18432 bájt méretű előbb kitörölt fájlra mutat.

A probléma oka részletesebben

A Microsoft Magyarország értesülései szerint az utóbbi napokban számos felhasználó találkozott olyan problémával, hogy számítógépén a korábban jól működő Windows XP rendszer hirtelen nem indul be teljesen - a képernyő fekete marad, csak a kurzor látható rajta.
A szoftvercég szerint ezt az általában Microsoft Update frissítések telepítése után előforduló problémát vírusfertőzés okozhatja és megoldásként fájlok, illetve registry kulcs törlését javasolják. A finn F-Secure antivírus gyártó részletesen utánajárt a problémának és az általuk talált adatok igazolták a gyanút: az események valóban egy fertőzéssel kezdődnek.
A Delf.phk néven ismert, 15.872 bájt méretű trójai program a gépre jutva véletlenszerű néven a lemezre írja magát. A kártevő ezután hozzákezd a rendszer alaposabb megfertőzéséhez: letölt és telepít egy Kates.j nevű jelszólopó programot, amely beépül a felhasználói környezetbe. Ez a 18.432 bájtos kártevő az alábbi Windows API komponenseket manipulálja rejtett működése érdekében: kernel32.dll, advapi32.dll és user32.dll.

Bajt okozhatott a jó szándékú változtatás

A felhasználók által tapasztalt problémát éppen az okozhatja, hogy egy nemrég megjelent Microsoft Update frissítés biztonsági okokból változtatást eszközölt a fenti DLL rendszerfájlokon. A kártevő, amely addig szépen, csendben ügyködött a gépen, a javítófoltozás után már nem tud teljesen betöltődni és ez akadályozza az általa behálózott Windows felhasználói környezet indítását - a képernyő fekete marad.
Az eset fő érdekességét a ritkasága jelenti, mivel a modern kártevők mindent megtesznek az észrevétlen, a felhasználó számára láthatatlan működés érdekében. A netes bűnözők célja az, hogy ártó szoftvereik a lehető legtovább rejtve ügyködhessenek a feltört gépen - miközben ők értékesítik annak spam-küldő és DDoS hálózati támadó kapacitását, illetve visszaélnek a felhasználótól ellopott személyes azonosítókkal. Komoly műszaki hiba szükséges ahhoz, hogy a módszer lelepleződjön és most éppen ezt történt!

Van segítség!

Szerencsére a Windows-t fejre állító Kates.j mentesítésre több út is kínálkozik. Ha a gépet sikerül annyira beindítani, hogy a háromgombos kombináció (Ctrl+Alt+Del) hatására megjelenjen a Feladatkezelő ablaka, akkor ott lehet új folyamatot indítani, például webről elérhető víruskereső, vagy ingyenes egyedi mentesítő program futtatása céljából.
Ha ez nem lehetséges, akkor a gépet külső forrásból is át lehet vizsgálni. Erre a célra elérhetők a neten vírusirtót tartalmazó ún. Rescue CD csomagok, amelyeket például a finn F-Secure és az orosz Kaspersky Lab biztonsági cégek weblapjáról is ingyen le lehet tölteni indítólemezre írás céljából.
Hozzáértők kézzel is mentesíthetnek, bakizással azonban tönkre lehet tenni a Windows-t, így a feladat odafigyelést igényel! Töröljük a kártevő által létrehozott registry kulcsot:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi9"véletlenszerű_név.bak 0yAAAAAAAA"

Keressük meg és nevezzük át a véletlenszerű nevű, 15.872 és 18.432 bájtos fájlokat a \Documents and Settings\felhasználó_neve\Local Settings\ alatt és a Windows rendszermappában. (A törlés csak akkor javasolt, ha nagyon biztosak vagyunk a dolgunkban!)
A gép sikeres beindítása után mindenképpen futtassunk le a Windows alatt is egy teljes körű ellenőrzést, hogy meggyőződhessünk arról, nem maradt további rejtett kártevő a gépen és a későbbiekben is vigyázzunk a Windows rendszer épségének fenntartására - amihez a víruskereső, kémprogramirtó és személyi tűzfal folyamatos futtatása elengedhetetlen!

- Flaxcom, F-Secure, Net Academia nyomán -