Перейти к содержимому


Фото
- - - - -

Trojan.alipop.3 и Windows 7


  • Please log in to reply
143 ответов в этой теме

#41 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 12:21

Borka, спасибо. Действительно аналогично. Но тотал ничего не нашел ;(

Блокировка FTP.exe помогла, вирус перестал дозакачиваться. Осталось найти и обезвредить.

#42 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 31 Март 2011 - 12:29

Тогда давайте посмотрим лог Autoruns - может, что-то увидится.
С уважением,
Борис А. Чертенко aka Borka.

#43 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Март 2011 - 12:32

Мда. Чудеса какие-то... А если в момент работы ftp.exe посмотреть, кто у него родитель и так далее по цепочке?

Личный сайт по Энкодерам - http://vmartyanov.ru/


#44 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 12:49

Borka Давайте, как правильно смотреть? :P


v.martyanov Проблема в том, что фтп.ехе не отображается в процессах в принципе, даже в процесс экплорер. Единственное, что сейчас изменилось, переодически svchost загружает полностью одно из ядер. Это после блокировки фтп.ехе.

Сообщение было изменено Шелл: 31 Март 2011 - 12:53


#45 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 31 Март 2011 - 12:51

Мда. Чудеса какие-то...

Почему? Ежели инжект, то тот же винлогон будет запускать ftp.exe и передавать ему параметры и без батника.

А если в момент работы ftp.exe посмотреть, кто у него родитель и так далее по цепочке?

Да, это интересно посмотреть.
С уважением,
Борис А. Чертенко aka Borka.

#46 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 31 Март 2011 - 12:57

Нужно скачать программу autoruns.exe, запустить, после завершения сканирования выбрать "File" -> "Save...", сохранить arn-файл и приаттачить сюда.
С уважением,
Борис А. Чертенко aka Borka.

#47 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 13:08

Так, файл готов, прикладываю.

Скачал ПроцессМон. Как там найти запросы к ФТП.ехе?

Дал поиск без маски по ca.com нашел кучу файлов, но из интересного - в сис32 есть по адресу темпов есть ссылка с индекс.дат(прикладываю), есть файл crypt32.dll и что-то еще. Мне с ними что сделать? в вирлаб?

Сообщение было изменено Шелл: 31 Март 2011 - 13:12


#48 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 31 Март 2011 - 13:19

Так, файл готов, прикладываю.

Не получилось. :P

Скачал ПроцессМон. Как там найти запросы к ФТП.ехе?

Думаю, никак... Если это таки инжект, то совсем никак...

Дал поиск без маски по ca.com нашел кучу файлов, но из интересного - в сис32 есть по адресу темпов есть ссылка с индекс.дат(прикладываю), есть файл crypt32.dll и что-то еще. Мне с ними что сделать? в вирлаб?

Э-э-э... ;)

в сис32 есть по адресу темпов есть ссылка с индекс.дат

Это о чем вообще? :lol:
С уважением,
Борис А. Чертенко aka Borka.

#49 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 13:20

Сорри, мой косяк, в прошлый пост не приаттачилось.

Прикрепленные файлы:


Сообщение было изменено v.martyanov: 31 Март 2011 - 13:28


#50 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 13:21

Да, забыл сказать, что первоначально вирусняк качается/определяется по адресу:
c:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\


Вот по этому адресу есть index.dat в котором есть текст "ca.com"

#51 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Март 2011 - 13:27

Ничего не понимаю! Файло скачанное в истории IE отображается, AVZ говорит, что есть батник, но работает все через FTP.EXE. Мистика! :-(

Личный сайт по Энкодерам - http://vmartyanov.ru/


#52 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 13:31

при этом, при помощи AVZ я уже исправил исполнительную строку cmd.exe, теперь оно нормально запускается. Логи-то я смог сделать.

#53 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Март 2011 - 13:32

при этом, при помощи AVZ я уже исправил исполнительную строку cmd.exe, теперь оно нормально запускается. Логи-то я смог сделать.


А что там было, кстати, до исправления?

Личный сайт по Энкодерам - http://vmartyanov.ru/


#54 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 13:39

не знаю :P я все логи, включая СисИнфо (он в архиве в первом посте) уже кидал.

#55 Borka

Borka

    Забанен за флуд

  • Moderators
  • 19 512 Сообщений:

Отправлено 31 Март 2011 - 13:56

Много мусора в службах:
GyFekCpL mWei NlPtVPZMG pAz QQjPPCUM File not found: C:\Windows\system32\ciyikg.exe
IpVFLkUj ljan NyLyBJJkO oNv PdfUwwEk File not found: C:\Windows\system32\RBCUB3F4\E001.exe
vqJdDFaD YkPK zzzVtfPDn bPj CeUsoRKE File not found: C:\Windows\system32\RBCUB3F4\JBSB.exe
wEsyDaiy uNbX VcLizmbAP xrw YHgEuZVA File not found: C:\Windows\system32\JU604551\D069.exe

WPRO_40_1340 File not found: system32\drivers\WPRO_40_1340.sys
VGPU File not found: System32\drivers\rdvgkmd.sys
Synth3dVsc File not found: System32\drivers\synth3dvsc.sys
mbr File not found: C:\Users\Shell\AppData\Local\Temp\mbr.sys
kwdiapow File not found: C:\Users\Shell\AppData\Local\Temp\kwdiapow.sys

Проверьте-ка - действительно ли нет этих файлов.

Есть такое:
FLASHSYS c:\program files\msi\live update 4\lu4\flashsys.sys
DelReg File not found: C:\Program Files\MSI\GreenPowerCenterII\DelReg.exe
С уважением,
Борис А. Чертенко aka Borka.

#56 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 31 Март 2011 - 13:59

E001, D069 - это то, что скачалось с FTP, там такие имена файлов.

Личный сайт по Энкодерам - http://vmartyanov.ru/


#57 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 14:55

Много мусора в службах:
GyFekCpL mWei NlPtVPZMG pAz QQjPPCUM File not found: C:\Windows\system32\ciyikg.exe
IpVFLkUj ljan NyLyBJJkO oNv PdfUwwEk File not found: C:\Windows\system32\RBCUB3F4\E001.exe
vqJdDFaD YkPK zzzVtfPDn bPj CeUsoRKE File not found: C:\Windows\system32\RBCUB3F4\JBSB.exe
wEsyDaiy uNbX VcLizmbAP xrw YHgEuZVA File not found: C:\Windows\system32\JU604551\D069.exe

WPRO_40_1340 File not found: system32\drivers\WPRO_40_1340.sys
VGPU File not found: System32\drivers\rdvgkmd.sys
Synth3dVsc File not found: System32\drivers\synth3dvsc.sys
mbr File not found: C:\Users\Shell\AppData\Local\Temp\mbr.sys
kwdiapow File not found: C:\Users\Shell\AppData\Local\Temp\kwdiapow.sys

Проверьте-ка - действительно ли нет этих файлов.

Есть такое:
FLASHSYS c:\program files\msi\live update 4\lu4\flashsys.sys
DelReg File not found: C:\Program Files\MSI\GreenPowerCenterII\DelReg.exe


GyFekCpL mWei NlPtVPZMG pAz QQjPPCUM File not found: C:\Windows\system32\ciyikg.exe - убил еще вчера
IpVFLkUj ljan NyLyBJJkO oNv PdfUwwEk File not found: C:\Windows\system32\RBCUB3F4\E001.exe - убил еще вчера Доктор Вебом.
vqJdDFaD YkPK zzzVtfPDn bPj CeUsoRKE File not found: C:\Windows\system32\RBCUB3F4\JBSB.exe - убил еще вчера Доктор Вебом.
wEsyDaiy uNbX VcLizmbAP xrw YHgEuZVA File not found: C:\Windows\system32\JU604551\D069.exe - убил еще вчера Доктор Вебом.


WPRO_40_1340 File not found: system32\drivers\WPRO_40_1340.sys - нет такого файла.
VGPU File not found: System32\drivers\rdvgkmd.sys - нет такого файла.
Synth3dVsc File not found: System32\drivers\synth3dvsc.sys - нет такого файла.
mbr File not found: C:\Users\Shell\AppData\Local\Temp\mbr.sys - нет такого файла. (Вчера почистил темп в ночь).
kwdiapow File not found: C:\Users\Shell\AppData\Local\Temp\kwdiapow.sys - нет такого файла. (Аналогично предыдущей строке)

FLASHSYS c:\program files\msi\live update 4\lu4\flashsys.sys - по-моему, это системный файл материнской платы.
DelReg File not found: C:\Program Files\MSI\GreenPowerCenterII\DelReg.exe - нет такого файла.

#58 userr

userr

    The Master

  • Moderators
  • 16 310 Сообщений:

Отправлено 31 Март 2011 - 15:02

Шелл
сделайте еще раз лог сканера по Правилам в безопасном режиме windows.

#59 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 16:47

Новые логи.
Единственное что - РкУ не получилось загрузить в безопаске, ругался что не может загрузить NTdriver, так что пришлось перегружаться в обычном режиме.

Кстати, хозяйке на заметку :P, даже при заблокированном ФТП вирус умудрился как-то себя покачать, но не долго и не много. Др.Веб уже все вроде вычистил.

Прикрепленные файлы:



#60 Шелл

Шелл

    Newbie

  • Posters
  • 84 Сообщений:

Отправлено 31 Март 2011 - 19:17

Новости с полей:
- Блокировка ФТП.ехе не помогает, вирус обходит блокировку и закачивает себя снова.
- в темпе Винды найдены подозрительные файлы, которые стучатся в инет. Собственно, ребята уже в лапах вирлаба. Тикеты вывешу как только придет подтвержнение на почту.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых