Загадочный китайский вирус или QQey6H.exe

Доброе утро!
Столкнулся с грандиозной проблемой - на сервере под управлением WS2003 завелся некий Троян. Суть его действия похоже такая - при запуске системы он запускает файл QQey6H.exe, находящийся в папке Program Files/System и каким-то образом пытается законнектиться на некоторые китайские сайты (например, 18877.cn или 93jf.cn). Например, сегодня за ночь таким образом было "скачано" около 200 Мб траффика... Единственное временное решение пока - порезал полностью HTTP трафф средствами фаерволла... Но это не выход...
NOD32 даже при прямой проверке данного файла ничего страшного в нем не нашел.
Скачал AVZ, установил, обновил базы, но результата нет вроде бы...
Единственное, что нашел в гугле по названию данного файла:
[URL]http://www.threatexpert.com/report.aspx?md5=b298389c6488b02d61796695b557d1e6[/URL]
Проверил комп на содержание данных библиотек, но практически ничего не нашел...

Лог проверки прикрепил.

Карантин пустой абсолютно...

Читаем, выполняем [URL="http://virusinfo.info/showthread.php?t=1235"]http://virusinfo.info/showthread.php?t=1235[/URL]

[code],AVZ запущен из терминальной сессии[/code]
Так не пойдет.

Вот лог не из терминала...

Читайте правила внимательно. Там написано какие логи нам нужны.

[QUOTE=light59;393501]Читайте правила внимательно. Там написано какие логи нам нужны.[/QUOTE]

Прошу прощения за невнимательность...
Прикрепил 3 файлика.

Правда, немного занимался самолечением... Почистил раздел startupreg реестра, где в ключиках было упоминание файла QQey6H.exe...

PS:
На компьютере в службах твориться полный хаос - периодически появляются службы ака Microsolf Devicer Manager или Uninthrrupbible Mabager...
Исполняемый файл: C:\WINDOWS\System32\svchost.exe -k krnlsrvc

Комп постоянно ломиться по TCP/8080 или TCP/808 к определенным айпишникам...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 47 минут[/I][/B][/color][/size]

Кстати, просмотр открытых портов показал, что вирус пытаеться пробиться в глобалку через один из svchost.exe

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\IRAT.mvb','');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Сделал, высылаю логи...

По карантину:

[I]Результат загрузки
Ошибка загрузки. Данный файл уже был загружен[/I]

Но тот архив все равно пустой - я так понимаю, в карантине ничего нет...

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('svcollkk Server cctvs');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\HDAudBus.sys','');
QuarantineFile('C:\WINDOWS\system32\svcollkk.exe','');
DeleteFile('C:\WINDOWS\system32\svcollkk.exe');
DeleteService('svcollkk Server cctvs');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('svcollkk Server cctvs');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

обновленные логи...
Все делаю удаленно по телефону (
Карантин выслал.
После выполнения скрипта процесс QQey6H все равно дрягался в системе... причем запускается он от имени пользователя, который первым вошел в систему.

[QUOTE=Gordon_Shumway;396870]
Все делаю удаленно по телефону[/QUOTE]Это не есть очень хорошо...Нужно еще провериться на файловые вирусы (ссылка -у меня в подписи).

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [QQKav] C:\Program Files\Common Files\System\QQey6H.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\system\qqey6h.exe');
QuarantineFile('C:\Program Files\Common Files\System\QQey6H.exe','');
DeleteFile('C:\Program Files\Common Files\System\QQey6H.exe');
DeleteFileMask('C:\Program Files\Common Files\System','*.*',true);
DeleteFileMask('C:\Program Files\Common Files','*.*',true);
DeleteDirectory('C:\Program Files\Common Files\System');
DeleteDirectory('C:\Program Files\Common Files');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Вот последние логи...

Вирь, кстати, проник в ярлычки для IE добавив к исполняемому файлику строчку с адресом какого-то китайского борделя. :furious3:

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\bulatova\Local Settings\Temporary Internet Files\Content.IE5\E8UEK20E\cracked20[1].exe ',' ');
DeleteFile('C:\Documents and Settings\bulatova\Local Settings\Temporary Internet Files\Content.IE5\E8UEK20E\cracked20[1].exe ');
DeleteFile(' C:\Documents and Settings\Default User.WINDOWS\Local Settings\Temporary Internet Files\Content.IE5\E8UEK20E\cracked20[1].exe ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\svcollkk.exe - [B]Backdoor.Win32.Hupigon.gscz[/B] ( DrWEB: BackDoor.Pigeon.9671, BitDefender: Trojan.Delf.Inject.Z )[/LIST][/LIST]