Trojan.alipop.3 и Windows 7
#1
Отправлено 30 Март 2011 - 14:09
#2
Отправлено 30 Март 2011 - 14:10
Личный сайт по Энкодерам - http://vmartyanov.ru/
#3
Отправлено 30 Март 2011 - 14:17
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\vsnpstd.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Windows\System32\mctadmin.exe
Этих в вирлаб.
Лучше всего, конечно, посмотреть через FW, кто ломится на FTP
Личный сайт по Энкодерам - http://vmartyanov.ru/
#4
Отправлено 30 Март 2011 - 14:25
ФТП не настроен, единственный порт, который открыл - для работы СКЛ базы по удаленке.
#5
Отправлено 30 Март 2011 - 14:28
Туплю, заранее извиняюсь за вопрос - как мне их закинуть, в архив в общий и в вирлаб? просто комп не подключаю к инету и локалке - не хочу распространения заразы.
ФТП не настроен, единственный порт, который открыл - для работы СКЛ базы по удаленке.
Да, можно одним архивом.
Настраивали или нет - не имеет значения, троян сам с FTP качает без вашего участия. Если очень хотите - можете и в пилицию обратиться, я аналогичный сервак давно мониторю. И ваш, наверняка, с того же сервера работает :-)
Личный сайт по Энкодерам - http://vmartyanov.ru/
#6
Отправлено 30 Март 2011 - 14:37
Указанные файлы отправлены в вирлаб, какие дальнейшие действия?
#7
Отправлено 30 Март 2011 - 14:42
Номер тикета?Указанные файлы отправлены в вирлаб, какие дальнейшие действия?
Борис А. Чертенко aka Borka.
#8
Отправлено 30 Март 2011 - 14:46
c:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\
#10
Отправлено 30 Март 2011 - 14:51
[drweb.com #2248550].
#11
Отправлено 30 Март 2011 - 14:56
Думаю, установка FW уровня приложений хотя бы на время для поиска заразы - хорошая мысль. Только я не в курсе, что есть из бесплатных...
Личный сайт по Энкодерам - http://vmartyanov.ru/
#12
Отправлено 30 Март 2011 - 15:08
Так еще из моментов (погода на меня действует плохо, сорри, постоянно что-то забываю) - вирусы создают временные папки в system32 с именами как у темпов ИЕ (именами папок), внутри обычно три файла (три разных вируса соотвественно, Др.Веб их в первую очередь и выловил). Сейчас сказать имена файлов уже не могу - удалил вчера всю пачку, там папок 90 создалось за пол дня.
#13
Отправлено 30 Март 2011 - 15:09
#14
Отправлено 30 Март 2011 - 15:13
Да, FW от DrWeb должен сработать. Наверняка какая-то дрянь будет ломиться на in.***ca.com (только адрес тут не публикуйте, если всплывет!), вот нам этот исполняемый файл и нужен.
Личный сайт по Энкодерам - http://vmartyanov.ru/
#15
Отправлено 30 Март 2011 - 16:37
Из непонятных процессов по FW - system без имени и адреса, стучится непонятно куда по порту 10243, ему дать доступ?
Непонятно что cейчас происходит, т.е. есть вирус или нет.
Дальнейшие действия?
#16
Отправлено 30 Март 2011 - 16:38
#17
Отправлено 30 Март 2011 - 17:17
файл заправивавший доступ:
QQ2010
C:\program files\microsoft activesync\activeypor.exe
tcp://61.*.*.55
Файл уже в вирлабе, у себя на всякий случай уже удалил.
Вирус несколько раз пытался создаться скопироваться, создавая темп-папки в систем32, в живых остался только один файл, остальные папки пустые. Соответственно еще один файл с вирусом ушел в том же архиве на проверку.
Номер тикета:
#2248718
Сообщение было изменено Шелл: 30 Март 2011 - 17:21
#18
Отправлено 30 Март 2011 - 17:42
Осослал все три файла из темп-папки сис32. Номер тикета: #2248732
Собрал эти QQ (их аж 6 штук расплодилось по указанному пути, все с немного разным именем и объем от 780К до 20М). Ушли в вирлаб. Тикет: #2248739
Кстати, пришли ответы:
Первый тикет #2248534 - все чисто
Второй тикет #2248550: Угроза: Trojan.Alipop.3, BackDoor.Siggen.27856
Сообщение было изменено Шелл: 30 Март 2011 - 17:43
#19
Отправлено 30 Март 2011 - 18:10
Угроза: BackDoor.Siggen.28506
Вот только не понятно какой из двух файлов архива оно.
#20
Отправлено 30 Март 2011 - 19:08
Угроза: BackDoor.Siggen.28506
Хм, интересно, а когда обновилось, так как днем файл Др.вебом не ловился в принципе.
Кто-нибудь что-нибудь еще посоветует? ;(
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых