Странный вирус xipyupd

Printable View

20.12.2010, 09:34
marvak

Странный вирус xipyupd

С недавних пор NOD32 стал выдавать предупреждение (как то бессистемно) об обнаруженном вирусе xipyupd, причем кнопки лечения и удаления в окне предупреждения недоступны, доступно только "Закрыть".
Также случайно обнаружил, что в назначенных заданиях насоздавалась куча заданий с названиями типа At1, At2, ....
Начало в час ночи каждый день, запускается строка вида "rundll32.exe xipyupd.mi, qimdazv".
Удаляются данные задания без проблем, но потом снова создаются автоматом. Свйства задания недоступны для редактрования.

Никаких других видимых проявлений вируса нет, но опасаюсь, что он может вести какие нибудь скрытые деструктивные действия.

Логи прилагаю.
20.12.2010, 10:15
olejah

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)
[/CODE]

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]Гмер[/URL]
20.12.2010, 21:42
marvak

в hijackthis пофиксил.

запуски GMER закончились неудачей. При первоначальном запуске он выдавал сообщение типа: "GMER has found system modification, which might have been caused by rootkit activity" и предлагал сделать полный скан или отказаться. При согласии через некоторое время вылетала с ошибкой, а при отказе и ручном запуске намертво вешал систему.
на всякий случай прилагаю лог после нажатия отказа но перед выполнением повторного полного скана.
20.12.2010, 22:41
marvak

прилагаю новые логи
20.12.2010, 23:26
polword

- Скачайте [URL="http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215"]такую[/URL] утилиу и пролечитесь ей
- повторите лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
21.12.2010, 08:23
marvak

утилиту KK.exe скачал, проверил, но вроде она ничего не нашла.
новый лог прилагаю.
21.12.2010, 10:40
polword

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"][COLOR="Blue"][B]Gmer[/B][/COLOR][/URL]
22.12.2010, 09:07
marvak

Уфф, замучился я с этим Gmer-ом.
Вешает систему намертво, а поскольку у меня ноутбук, то приходится вынимать аккумулятор. Ctr+Alt+Del и кнопка выключения не помогают.
В общем не удалось с его помощью ничего сделать.

Еще какие-нибудь варианты есть? Может какие-нибудь скрипты в AVZ?
И что это за вирус такой?
22.12.2010, 09:10
olejah

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\siloduf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\siloduf\Parameters');
end.[/CODE]

- Повторите логи АВЗ
22.12.2010, 13:57
marvak

скрипт выполнил, логи прилагаю
22.12.2010, 13:59
marvak

еще интересует
в сообщениях АВЗ есть строки

Функция NtCreateKey (29) перехвачена (80623786->B9EA80E0), перехватчик spci.sys
Функция NtEnumerateKey (47) перехвачена (80623FC6->B9EC6CA2), перехватчик spci.sys
Функция NtEnumerateValueKey (49) перехвачена (80624230->B9EC7030), перехватчик spci.sys
Функция NtOpenKey (77) перехвачена (80624B58->B9EA80C0), перехватчик spci.sys
Функция NtQueryKey (A0) перехвачена (80624E7E->B9EC7108), перехватчик spci.sys
Функция NtQueryValueKey (B1) перехвачена (806219BE->B9EC6F88), перехватчик spci.sys
Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC719A), перехватчик spci.sys
Функция KeInsertQueueDpc (804FB7A0) - модификация машинного кода. Метод JmpTo. jmp B5C19BB0
\FileSystem\ntfs[IRP_MJ_CREATE] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89E451F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 89E451F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89BAE500 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89BAE500 -> перехватчик не определен

это что за перехваты? подозрение на вирус?
22.12.2010, 14:04
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\xipyupd.dll','');
DeleteFile('C:\WINDOWS\system32\xipyupd.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\siloduf\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи

- Насчёт перехватов переживать не стоит.
22.12.2010, 20:34
marvak

Все сделал.
Новые логи прилагаю.
22.12.2010, 20:43
olejah

Что с проблемой?
23.12.2010, 08:10
marvak

да вроде больше пока не проявляется, тьфу, тьфу.
а что за вирус это был? и удалось его ликвидировать, т.е. логи чистые?
23.12.2010, 14:28
Bratez

[QUOTE='marvak;748563']логи чистые?[/QUOTE]
Да, все ОК.
23.12.2010, 14:32
marvak

Спасибо большое! :)
вроде был Кидо, насколько я нашел инфу в сети.
24.12.2010, 14:32
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]