Перейти к содержимому


Фото
- - - - -

Trojan.alipop.3 и Windows 7


  • Please log in to reply
143 ответов в этой теме

#1 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 14:09

Итак проблема. Вчера, непонятно каким способом (есть подозрение, что через порты, вчера как раз получил статик IP) словил плеяду вирусов. Др.Веб (6-ка) находит в MBR Trojan.alipop.3, который успешно чистит после перезагрузки. В процессе работы компьютера Др.Веб находит плеяду вирусов (Бекдор, Ддос и т.д.), которые успешно чистит на лету. Но вирусы самодокачиваются и размещаются в систем32 быстрее, чем их успевают убить. Активируется вирус только если есть подключение к интернету. Особенно ничего не блокирует (по сравнению с ХР), кроме того, что CMD не запускается (окно открывается и тут же закрывается). Окончательно вычистить не могу. Логи СисИнфо, Хайджет и РКУ прилагаю (Запустить БАТник для Доктора не получилось - CMD закрывается).

Прикрепленные файлы:



#2 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 30 Март 2011 - 14:10

О! Круто! Один из компонентов не ловится :-)

Личный сайт по Энкодерам - http://vmartyanov.ru/


#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 30 Март 2011 - 14:17

C:\Windows\system32\taskhost.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\vsnpstd.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Windows\System32\mctadmin.exe
Этих в вирлаб.

Лучше всего, конечно, посмотреть через FW, кто ломится на FTP

Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 14:25

Туплю, заранее извиняюсь за вопрос - как мне их закинуть, в архив в общий и в вирлаб? просто комп не подключаю к инету и локалке - не хочу распространения заразы.
ФТП не настроен, единственный порт, который открыл - для работы СКЛ базы по удаленке.

#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 30 Март 2011 - 14:28

Туплю, заранее извиняюсь за вопрос - как мне их закинуть, в архив в общий и в вирлаб? просто комп не подключаю к инету и локалке - не хочу распространения заразы.
ФТП не настроен, единственный порт, который открыл - для работы СКЛ базы по удаленке.


Да, можно одним архивом.
Настраивали или нет - не имеет значения, троян сам с FTP качает без вашего участия. Если очень хотите - можете и в пилицию обратиться, я аналогичный сервак давно мониторю. И ваш, наверняка, с того же сервера работает :-)

Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 14:37

А FW - это FireWall? (Вот я сегодня тууупой :P) Если да, то не стоит. К сожалению

Указанные файлы отправлены в вирлаб, какие дальнейшие действия? :lol:

#7 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 30 Март 2011 - 14:42

Указанные файлы отправлены в вирлаб, какие дальнейшие действия? :P

Номер тикета?
С уважением,
Борис А. Чертенко aka Borka.

#8 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 14:46

Да, забыл сказать, что первоначально вирусняк качается/определяется по адресу:
c:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

#9 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 14:49

Указанные файлы отправлены в вирлаб, какие дальнейшие действия? :P

Номер тикета?


[drweb.com #2248534].

Чуть позже скажу еще один номер тикета - в нем 100% вирусы. Кинул на всякий случай тоже.

#10 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 14:51

второй тикет, про который я упоминал в предыдущем сообщении

[drweb.com #2248550].

#11 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 30 Март 2011 - 14:56

Так-так-так. Давайте подробно: В c:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\ что ловится? Какое точно имя, если был отправлен в вирлаб - номер тикета.

Думаю, установка FW уровня приложений хотя бы на время для поиска заразы - хорошая мысль. Только я не в курсе, что есть из бесплатных...

Личный сайт по Энкодерам - http://vmartyanov.ru/


#12 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 15:08

Второй номер тикета - это с вирусняками из данной папки (точнее из подпапок с именами как в обычных темпах ИЕ). Всех имен файлов, которые я ловил не помню, те, которые отправил в вирлаб - A29[1].exe и A91[1].exe
Так еще из моментов (погода на меня действует плохо, сорри, постоянно что-то забываю) - вирусы создают временные папки в system32 с именами как у темпов ИЕ (именами папок), внутри обычно три файла (три разных вируса соотвественно, Др.Веб их в первую очередь и выловил). Сейчас сказать имена файлов уже не могу - удалил вчера всю пачку, там папок 90 создалось за пол дня.

#13 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 15:09

Могу поставить FW от Др.Веба в мою лицензию он входит, просто не ставил, так как были проблемы с подключением к инету через Билайн (Корбину) по l2tp.

#14 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 30 Март 2011 - 15:13

То есть то, что в Temp-каталогах мы уже ловили? Эт хорошо.
Да, FW от DrWeb должен сработать. Наверняка какая-то дрянь будет ломиться на in.***ca.com (только адрес тут не публикуйте, если всплывет!), вот нам этот исполняемый файл и нужен.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#15 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 16:37

Новости с полей - Троян удален Др.Вебом, после перестановки оного с доустановкой FW (в прошлые разы он толко говорил, что троян есть, вроде как его удалял, но видимо не получалось. Кстати в прошлый раз он находил его в HDD , теперь нашел в HDD2 и удалил)

Из непонятных процессов по FW - system без имени и адреса, стучится непонятно куда по порту 10243, ему дать доступ?

Непонятно что cейчас происходит, т.е. есть вирус или нет.

Дальнейшие действия?

#16 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 16:38

Да, CMD все так же не запускается.

#17 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 17:17

еще новости с полей:

файл заправивавший доступ:
QQ2010
C:\program files\microsoft activesync\activeypor.exe
tcp://61.*.*.55

Файл уже в вирлабе, у себя на всякий случай уже удалил.
Вирус несколько раз пытался создаться скопироваться, создавая темп-папки в систем32, в живых остался только один файл, остальные папки пустые. Соответственно еще один файл с вирусом ушел в том же архиве на проверку.

Номер тикета:
#2248718

Сообщение было изменено Шелл: 30 Март 2011 - 17:21


#18 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 17:42

Кстати, особая активность наблюдалась только что, после подключения файрфокса при включенной сети (до этого вирус никак себя не проявлял.)

Осослал все три файла из темп-папки сис32. Номер тикета: #2248732
Собрал эти QQ (их аж 6 штук расплодилось по указанному пути, все с немного разным именем и объем от 780К до 20М). Ушли в вирлаб. Тикет: #2248739

Кстати, пришли ответы:
Первый тикет #2248534 - все чисто
Второй тикет #2248550: Угроза: Trojan.Alipop.3, BackDoor.Siggen.27856

Сообщение было изменено Шелл: 30 Март 2011 - 17:43


#19 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 18:10

Ответ по тикету: #2248718
Угроза: BackDoor.Siggen.28506

Вот только не понятно какой из двух файлов архива оно.

#20 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 30 Март 2011 - 19:08

Ответ по тикету #2248739:

Угроза: BackDoor.Siggen.28506


Хм, интересно, а когда обновилось, так как днем файл Др.вебом не ловился в принципе.

Кто-нибудь что-нибудь еще посоветует? ;(


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых