-
Junior Member
- Вес репутации
- 61
Странный вирус xipyupd
С недавних пор NOD32 стал выдавать предупреждение (как то бессистемно) об обнаруженном вирусе xipyupd, причем кнопки лечения и удаления в окне предупреждения недоступны, доступно только "Закрыть".
Также случайно обнаружил, что в назначенных заданиях насоздавалась куча заданий с названиями типа At1, At2, ....
Начало в час ночи каждый день, запускается строка вида "rundll32.exe xipyupd.mi, qimdazv".
Удаляются данные задания без проблем, но потом снова создаются автоматом. Свйства задания недоступны для редактрования.
Никаких других видимых проявлений вируса нет, но опасаюсь, что он может вести какие нибудь скрытые деструктивные действия.
Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Сделайте лог Гмер
-
-
Junior Member
- Вес репутации
- 61
в hijackthis пофиксил.
запуски GMER закончились неудачей. При первоначальном запуске он выдавал сообщение типа: "GMER has found system modification, which might have been caused by rootkit activity" и предлагал сделать полный скан или отказаться. При согласии через некоторое время вылетала с ошибкой, а при отказе и ручном запуске намертво вешал систему.
на всякий случай прилагаю лог после нажатия отказа но перед выполнением повторного полного скана.
-
Junior Member
- Вес репутации
- 61
-
- Скачайте такую утилиу и пролечитесь ей
- повторите лог virusinfo_syscheck.zip;
-
-
Junior Member
- Вес репутации
- 61
утилиту KK.exe скачал, проверил, но вроде она ничего не нашла.
новый лог прилагаю.
-
-
-
Junior Member
- Вес репутации
- 61
Уфф, замучился я с этим Gmer-ом.
Вешает систему намертво, а поскольку у меня ноутбук, то приходится вынимать аккумулятор. Ctr+Alt+Del и кнопка выключения не помогают.
В общем не удалось с его помощью ничего сделать.
Еще какие-нибудь варианты есть? Может какие-нибудь скрипты в AVZ?
И что это за вирус такой?
-
Выполните скрипт в АВЗ -
Код:
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\siloduf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\siloduf\Parameters');
end.
- Повторите логи АВЗ
-
-
Junior Member
- Вес репутации
- 61
скрипт выполнил, логи прилагаю
-
Junior Member
- Вес репутации
- 61
еще интересует
в сообщениях АВЗ есть строки
Функция NtCreateKey (29) перехвачена (80623786->B9EA80E0), перехватчик spci.sys
Функция NtEnumerateKey (47) перехвачена (80623FC6->B9EC6CA2), перехватчик spci.sys
Функция NtEnumerateValueKey (49) перехвачена (80624230->B9EC7030), перехватчик spci.sys
Функция NtOpenKey (77) перехвачена (80624B58->B9EA80C0), перехватчик spci.sys
Функция NtQueryKey (A0) перехвачена (80624E7E->B9EC710, перехватчик spci.sys
Функция NtQueryValueKey (B1) перехвачена (806219BE->B9EC6F8, перехватчик spci.sys
Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC719A), перехватчик spci.sys
Функция KeInsertQueueDpc (804FB7A0) - модификация машинного кода. Метод JmpTo. jmp B5C19BB0
\FileSystem\ntfs[IRP_MJ_CREATE] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89E451F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89BAE500 -> перехватчик не определен
это что за перехваты? подозрение на вирус?
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\xipyupd.dll','');
DeleteFile('C:\WINDOWS\system32\xipyupd.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\siloduf\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
- Насчёт перехватов переживать не стоит.
-
-
Junior Member
- Вес репутации
- 61
Все сделал.
Новые логи прилагаю.
-
-
-
Junior Member
- Вес репутации
- 61
да вроде больше пока не проявляется, тьфу, тьфу.
а что за вирус это был? и удалось его ликвидировать, т.е. логи чистые?
-
Сообщение от
marvak
логи чистые?
Да, все ОК.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Спасибо большое!
вроде был Кидо, насколько я нашел инфу в сети.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-