143 ответов в этой теме

[Шелл]

Итак проблема. Вчера, непонятно каким способом (есть подозрение, что через порты, вчера как раз получил статик IP) словил плеяду вирусов. Др.Веб (6-ка) находит в MBR Trojan.alipop.3, который успешно чистит после перезагрузки. В процессе работы компьютера Др.Веб находит плеяду вирусов (Бекдор, Ддос и т.д.), которые успешно чистит на лету. Но вирусы самодокачиваются и размещаются в систем32 быстрее, чем их успевают убить. Активируется вирус только если есть подключение к интернету. Особенно ничего не блокирует (по сравнению с ХР), кроме того, что CMD не запускается (окно открывается и тут же закрывается). Окончательно вычистить не могу. Логи СисИнфо, Хайджет и РКУ прилагаю (Запустить БАТник для Доктора не получилось - CMD закрывается).

Прикрепленные файлы:

•  drweblogs300311.rar   6,12Мб   21 Скачано раз

[v.martyanov]

О! Круто! Один из компонентов не ловится :-)

[v.martyanov]

C:\Windows\system32\taskhost.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
C:\Windows\vsnpstd.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Windows\System32\mctadmin.exe
Этих в вирлаб.

Лучше всего, конечно, посмотреть через FW, кто ломится на FTP

[Шелл]

Туплю, заранее извиняюсь за вопрос - как мне их закинуть, в архив в общий и в вирлаб? просто комп не подключаю к инету и локалке - не хочу распространения заразы.
ФТП не настроен, единственный порт, который открыл - для работы СКЛ базы по удаленке.

[v.martyanov]

Туплю, заранее извиняюсь за вопрос - как мне их закинуть, в архив в общий и в вирлаб? просто комп не подключаю к инету и локалке - не хочу распространения заразы.
ФТП не настроен, единственный порт, который открыл - для работы СКЛ базы по удаленке.

Да, можно одним архивом.
Настраивали или нет - не имеет значения, троян сам с FTP качает без вашего участия. Если очень хотите - можете и в пилицию обратиться, я аналогичный сервак давно мониторю. И ваш, наверняка, с того же сервера работает :-)

[Шелл]

А FW - это FireWall? (Вот я сегодня тууупой ) Если да, то не стоит. К сожалению

Указанные файлы отправлены в вирлаб, какие дальнейшие действия?

[Borka]

Указанные файлы отправлены в вирлаб, какие дальнейшие действия?

Номер тикета?

[Шелл]

Да, забыл сказать, что первоначально вирусняк качается/определяется по адресу:
c:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

[Шелл]

Указанные файлы отправлены в вирлаб, какие дальнейшие действия?

Номер тикета?

[drweb.com #2248534].

Чуть позже скажу еще один номер тикета - в нем 100% вирусы. Кинул на всякий случай тоже.

[Шелл]

второй тикет, про который я упоминал в предыдущем сообщении

[drweb.com #2248550].

[v.martyanov]

Так-так-так. Давайте подробно: В c:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\ что ловится? Какое точно имя, если был отправлен в вирлаб - номер тикета.

Думаю, установка FW уровня приложений хотя бы на время для поиска заразы - хорошая мысль. Только я не в курсе, что есть из бесплатных...

[Шелл]

Второй номер тикета - это с вирусняками из данной папки (точнее из подпапок с именами как в обычных темпах ИЕ). Всех имен файлов, которые я ловил не помню, те, которые отправил в вирлаб - A29[1].exe и A91[1].exe
Так еще из моментов (погода на меня действует плохо, сорри, постоянно что-то забываю) - вирусы создают временные папки в system32 с именами как у темпов ИЕ (именами папок), внутри обычно три файла (три разных вируса соотвественно, Др.Веб их в первую очередь и выловил). Сейчас сказать имена файлов уже не могу - удалил вчера всю пачку, там папок 90 создалось за пол дня.

[Шелл]

Могу поставить FW от Др.Веба в мою лицензию он входит, просто не ставил, так как были проблемы с подключением к инету через Билайн (Корбину) по l2tp.

[v.martyanov]

То есть то, что в Temp-каталогах мы уже ловили? Эт хорошо.
Да, FW от DrWeb должен сработать. Наверняка какая-то дрянь будет ломиться на in.***ca.com (только адрес тут не публикуйте, если всплывет!), вот нам этот исполняемый файл и нужен.

[Шелл]

Новости с полей - Троян удален Др.Вебом, после перестановки оного с доустановкой FW (в прошлые разы он толко говорил, что троян есть, вроде как его удалял, но видимо не получалось. Кстати в прошлый раз он находил его в HDD , теперь нашел в HDD2 и удалил)

Из непонятных процессов по FW - system без имени и адреса, стучится непонятно куда по порту 10243, ему дать доступ?

Непонятно что cейчас происходит, т.е. есть вирус или нет.

Дальнейшие действия?

[Шелл]

Да, CMD все так же не запускается.

[Шелл]

еще новости с полей:

файл заправивавший доступ:
QQ2010
C:\program files\microsoft activesync\activeypor.exe
tcp://61.*.*.55

Файл уже в вирлабе, у себя на всякий случай уже удалил.
Вирус несколько раз пытался создаться скопироваться, создавая темп-папки в систем32, в живых остался только один файл, остальные папки пустые. Соответственно еще один файл с вирусом ушел в том же архиве на проверку.

Номер тикета:
#2248718

Сообщение было изменено Шелл: 30 Март 2011 - 17:21

[Шелл]

Кстати, особая активность наблюдалась только что, после подключения файрфокса при включенной сети (до этого вирус никак себя не проявлял.)

Осослал все три файла из темп-папки сис32. Номер тикета: #2248732
Собрал эти QQ (их аж 6 штук расплодилось по указанному пути, все с немного разным именем и объем от 780К до 20М). Ушли в вирлаб. Тикет: #2248739

Кстати, пришли ответы:
Первый тикет #2248534 - все чисто
Второй тикет #2248550: Угроза: Trojan.Alipop.3, BackDoor.Siggen.27856

Сообщение было изменено Шелл: 30 Март 2011 - 17:43

[Шелл]

Ответ по тикету: #2248718
Угроза: BackDoor.Siggen.28506

Вот только не понятно какой из двух файлов архива оно.

[Шелл]

Ответ по тикету #2248739:

Угроза: BackDoor.Siggen.28506


Хм, интересно, а когда обновилось, так как днем файл Др.вебом не ловился в принципе.

Кто-нибудь что-нибудь еще посоветует? ;(