Показано с 1 по 13 из 13.

Загадочный китайский вирус или QQey6H.exe (заявка № 44442)

  1. #1
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    10
    Вес репутации
    32

    Exclamation Загадочный китайский вирус или QQey6H.exe

    Доброе утро!
    Столкнулся с грандиозной проблемой - на сервере под управлением WS2003 завелся некий Троян. Суть его действия похоже такая - при запуске системы он запускает файл QQey6H.exe, находящийся в папке Program Files/System и каким-то образом пытается законнектиться на некоторые китайские сайты (например, 18877.cn или 93jf.cn). Например, сегодня за ночь таким образом было "скачано" около 200 Мб траффика... Единственное временное решение пока - порезал полностью HTTP трафф средствами фаерволла... Но это не выход...
    NOD32 даже при прямой проверке данного файла ничего страшного в нем не нашел.
    Скачал AVZ, установил, обновил базы, но результата нет вроде бы...
    Единственное, что нашел в гугле по названию данного файла:
    http://www.threatexpert.com/report.a...796695b557d1e6
    Проверил комп на содержание данных библиотек, но практически ничего не нашел...

    Лог проверки прикрепил.

    Карантин пустой абсолютно...
    Последний раз редактировалось Rene-gad; 27.04.2009 в 20:32. Причина: ненужный лог удален

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Читаем, выполняем http://virusinfo.info/showthread.php?t=1235

    Код:
    ,AVZ запущен из терминальной сессии
    Так не пойдет.

  4. #3
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    10
    Вес репутации
    32
    Вот лог не из терминала...
    Последний раз редактировалось Rene-gad; 27.04.2009 в 20:32. Причина: оверквотинг и ненеужный лог удалены

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    589
    Читайте правила внимательно. Там написано какие логи нам нужны.

  6. #5
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    10
    Вес репутации
    32
    Цитата Сообщение от light59 Посмотреть сообщение
    Читайте правила внимательно. Там написано какие логи нам нужны.
    Прошу прощения за невнимательность...
    Прикрепил 3 файлика.

    Правда, немного занимался самолечением... Почистил раздел startupreg реестра, где в ключиках было упоминание файла QQey6H.exe...

    PS:
    На компьютере в службах твориться полный хаос - периодически появляются службы ака Microsolf Devicer Manager или Uninthrrupbible Mabager...
    Исполняемый файл: C:\WINDOWS\System32\svchost.exe -k krnlsrvc

    Комп постоянно ломиться по TCP/8080 или TCP/808 к определенным айпишникам...

    Добавлено через 1 час 47 минут

    Кстати, просмотр открытых портов показал, что вирус пытаеться пробиться в глобалку через один из svchost.exe
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 27.04.2009 в 20:31.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\IRAT.mvb','');
    BC_ImportAll;
    ExecuteSysClean;
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    10
    Вес репутации
    32
    Сделал, высылаю логи...

    По карантину:

    Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен


    Но тот архив все равно пустой - я так понимаю, в карантине ничего нет...
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('svcollkk Server cctvs');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\HDAudBus.sys','');
     QuarantineFile('C:\WINDOWS\system32\svcollkk.exe','');
     DeleteFile('C:\WINDOWS\system32\svcollkk.exe');
     DeleteService('svcollkk Server cctvs');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('svcollkk Server cctvs');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    10
    Вес репутации
    32
    обновленные логи...
    Все делаю удаленно по телефону (
    Карантин выслал.
    После выполнения скрипта процесс QQey6H все равно дрягался в системе... причем запускается он от имени пользователя, который первым вошел в систему.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от Gordon_Shumway Посмотреть сообщение
    Все делаю удаленно по телефону
    Это не есть очень хорошо...Нужно еще провериться на файловые вирусы (ссылка -у меня в подписи).

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [QQKav] C:\Program Files\Common Files\System\QQey6H.exe
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\program files\common files\system\qqey6h.exe');
     QuarantineFile('C:\Program Files\Common Files\System\QQey6H.exe','');
     DeleteFile('C:\Program Files\Common Files\System\QQey6H.exe');
     DeleteFileMask('C:\Program Files\Common Files\System','*.*',true);
     DeleteFileMask('C:\Program Files\Common Files','*.*',true);
     DeleteDirectory('C:\Program Files\Common Files\System');
     DeleteDirectory('C:\Program Files\Common Files');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    24.04.2009
    Сообщений
    10
    Вес репутации
    32
    Вот последние логи...

    Вирь, кстати, проник в ярлычки для IE добавив к исполняемому файлику строчку с адресом какого-то китайского борделя.
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\bulatova\Local Settings\Temporary Internet Files\Content.IE5\E8UEK20E\cracked20[1].exe ',' ');
    DeleteFile('C:\Documents and Settings\bulatova\Local Settings\Temporary Internet Files\Content.IE5\E8UEK20E\cracked20[1].exe ');
    DeleteFile(' C:\Documents and Settings\Default User.WINDOWS\Local Settings\Temporary Internet Files\Content.IE5\E8UEK20E\cracked20[1].exe ');    
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(9);    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\svcollkk.exe - Backdoor.Win32.Hupigon.gscz ( DrWEB: BackDoor.Pigeon.9671, BitDefender: Trojan.Delf.Inject.Z )


  • Уважаемый(ая) Gordon_Shumway, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Китайский вирус
      От Qipe в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 15.12.2009, 18:38
    2. Китайский вирус
      От Krat0S в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 21.11.2009, 17:22
    3. Китайский вирус
      От Antonnio в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 10.10.2007, 16:51
    4. Загадочный троян
      От XPEHOMOP в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.06.2006, 09:22
    5. 1026 и 1027 - китайский Ip-спам или вирус?
      От Ghost_2003 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 12.01.2006, 10:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00283 seconds with 17 queries