143 ответов в этой теме

[Шелл]

Borka, спасибо. Действительно аналогично. Но тотал ничего не нашел ;(

Блокировка FTP.exe помогла, вирус перестал дозакачиваться. Осталось найти и обезвредить.

[Borka]

Тогда давайте посмотрим лог Autoruns - может, что-то увидится.

[v.martyanov]

Мда. Чудеса какие-то... А если в момент работы ftp.exe посмотреть, кто у него родитель и так далее по цепочке?

[Шелл]

Borka Давайте, как правильно смотреть?


v.martyanov Проблема в том, что фтп.ехе не отображается в процессах в принципе, даже в процесс экплорер. Единственное, что сейчас изменилось, переодически svchost загружает полностью одно из ядер. Это после блокировки фтп.ехе.

Сообщение было изменено Шелл: 31 Март 2011 - 12:53

[Borka]

Мда. Чудеса какие-то...

Почему? Ежели инжект, то тот же винлогон будет запускать ftp.exe и передавать ему параметры и без батника.

А если в момент работы ftp.exe посмотреть, кто у него родитель и так далее по цепочке?

Да, это интересно посмотреть.

[Borka]

Нужно скачать программу autoruns.exe, запустить, после завершения сканирования выбрать "File" -> "Save...", сохранить arn-файл и приаттачить сюда.

[Шелл]

Так, файл готов, прикладываю.

Скачал ПроцессМон. Как там найти запросы к ФТП.ехе?

Дал поиск без маски по ca.com нашел кучу файлов, но из интересного - в сис32 есть по адресу темпов есть ссылка с индекс.дат(прикладываю), есть файл crypt32.dll и что-то еще. Мне с ними что сделать? в вирлаб?

Сообщение было изменено Шелл: 31 Март 2011 - 13:12

[Borka]

Так, файл готов, прикладываю.

Не получилось.

Скачал ПроцессМон. Как там найти запросы к ФТП.ехе?

Думаю, никак... Если это таки инжект, то совсем никак...

Дал поиск без маски по ca.com нашел кучу файлов, но из интересного - в сис32 есть по адресу темпов есть ссылка с индекс.дат(прикладываю), есть файл crypt32.dll и что-то еще. Мне с ними что сделать? в вирлаб?

Э-э-э...

в сис32 есть по адресу темпов есть ссылка с индекс.дат

Это о чем вообще?

[Шелл]

Сорри, мой косяк, в прошлый пост не приаттачилось.

Прикрепленные файлы:

•  AutoRuns.rar   85,55К   12 Скачано раз
•  crypt32.rar   514,47К   7 Скачано раз

Сообщение было изменено v.martyanov: 31 Март 2011 - 13:28

[Шелл]

Да, забыл сказать, что первоначально вирусняк качается/определяется по адресу:
c:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

Вот по этому адресу есть index.dat в котором есть текст "ca.com"

[v.martyanov]

Ничего не понимаю! Файло скачанное в истории IE отображается, AVZ говорит, что есть батник, но работает все через FTP.EXE. Мистика! :-(

[Шелл]

при этом, при помощи AVZ я уже исправил исполнительную строку cmd.exe, теперь оно нормально запускается. Логи-то я смог сделать.

[v.martyanov]

при этом, при помощи AVZ я уже исправил исполнительную строку cmd.exe, теперь оно нормально запускается. Логи-то я смог сделать.

А что там было, кстати, до исправления?

[Шелл]

не знаю я все логи, включая СисИнфо (он в архиве в первом посте) уже кидал.

[Borka]

Много мусора в службах:
GyFekCpL mWei NlPtVPZMG pAz QQjPPCUM File not found: C:\Windows\system32\ciyikg.exe
IpVFLkUj ljan NyLyBJJkO oNv PdfUwwEk File not found: C:\Windows\system32\RBCUB3F4\E001.exe
vqJdDFaD YkPK zzzVtfPDn bPj CeUsoRKE File not found: C:\Windows\system32\RBCUB3F4\JBSB.exe
wEsyDaiy uNbX VcLizmbAP xrw YHgEuZVA File not found: C:\Windows\system32\JU604551\D069.exe

WPRO_40_1340 File not found: system32\drivers\WPRO_40_1340.sys
VGPU File not found: System32\drivers\rdvgkmd.sys
Synth3dVsc File not found: System32\drivers\synth3dvsc.sys
mbr File not found: C:\Users\Shell\AppData\Local\Temp\mbr.sys
kwdiapow File not found: C:\Users\Shell\AppData\Local\Temp\kwdiapow.sys

Проверьте-ка - действительно ли нет этих файлов.

Есть такое:
FLASHSYS c:\program files\msi\live update 4\lu4\flashsys.sys
DelReg File not found: C:\Program Files\MSI\GreenPowerCenterII\DelReg.exe

[v.martyanov]

E001, D069 - это то, что скачалось с FTP, там такие имена файлов.

[Шелл]

Много мусора в службах:
GyFekCpL mWei NlPtVPZMG pAz QQjPPCUM File not found: C:\Windows\system32\ciyikg.exe
IpVFLkUj ljan NyLyBJJkO oNv PdfUwwEk File not found: C:\Windows\system32\RBCUB3F4\E001.exe
vqJdDFaD YkPK zzzVtfPDn bPj CeUsoRKE File not found: C:\Windows\system32\RBCUB3F4\JBSB.exe
wEsyDaiy uNbX VcLizmbAP xrw YHgEuZVA File not found: C:\Windows\system32\JU604551\D069.exe

WPRO_40_1340 File not found: system32\drivers\WPRO_40_1340.sys
VGPU File not found: System32\drivers\rdvgkmd.sys
Synth3dVsc File not found: System32\drivers\synth3dvsc.sys
mbr File not found: C:\Users\Shell\AppData\Local\Temp\mbr.sys
kwdiapow File not found: C:\Users\Shell\AppData\Local\Temp\kwdiapow.sys

Проверьте-ка - действительно ли нет этих файлов.

Есть такое:
FLASHSYS c:\program files\msi\live update 4\lu4\flashsys.sys
DelReg File not found: C:\Program Files\MSI\GreenPowerCenterII\DelReg.exe

GyFekCpL mWei NlPtVPZMG pAz QQjPPCUM File not found: C:\Windows\system32\ciyikg.exe - убил еще вчера
IpVFLkUj ljan NyLyBJJkO oNv PdfUwwEk File not found: C:\Windows\system32\RBCUB3F4\E001.exe - убил еще вчера Доктор Вебом.
vqJdDFaD YkPK zzzVtfPDn bPj CeUsoRKE File not found: C:\Windows\system32\RBCUB3F4\JBSB.exe - убил еще вчера Доктор Вебом.
wEsyDaiy uNbX VcLizmbAP xrw YHgEuZVA File not found: C:\Windows\system32\JU604551\D069.exe - убил еще вчера Доктор Вебом.


WPRO_40_1340 File not found: system32\drivers\WPRO_40_1340.sys - нет такого файла.
VGPU File not found: System32\drivers\rdvgkmd.sys - нет такого файла.
Synth3dVsc File not found: System32\drivers\synth3dvsc.sys - нет такого файла.
mbr File not found: C:\Users\Shell\AppData\Local\Temp\mbr.sys - нет такого файла. (Вчера почистил темп в ночь).
kwdiapow File not found: C:\Users\Shell\AppData\Local\Temp\kwdiapow.sys - нет такого файла. (Аналогично предыдущей строке)

FLASHSYS c:\program files\msi\live update 4\lu4\flashsys.sys - по-моему, это системный файл материнской платы.
DelReg File not found: C:\Program Files\MSI\GreenPowerCenterII\DelReg.exe - нет такого файла.

[userr]

Шелл
сделайте еще раз лог сканера по Правилам в безопасном режиме windows.

[Шелл]

Новые логи.
Единственное что - РкУ не получилось загрузить в безопаске, ругался что не может загрузить NTdriver, так что пришлось перегружаться в обычном режиме.

Кстати, хозяйке на заметку , даже при заблокированном ФТП вирус умудрился как-то себя покачать, но не долго и не много. Др.Веб уже все вроде вычистил.

Прикрепленные файлы:

•  drw_results.cab   355,15К   8 Скачано раз
•  hijack_RkU.rar   13,62К   9 Скачано раз
•  UNDERSKY_Shell_310311_162326.zip   6,33Мб   5 Скачано раз

[Шелл]

Новости с полей:
- Блокировка ФТП.ехе не помогает, вирус обходит блокировку и закачивает себя снова.
- в темпе Винды найдены подозрительные файлы, которые стучатся в инет. Собственно, ребята уже в лапах вирлаба. Тикеты вывешу как только придет подтвержнение на почту.