Загадочный китайский вирус или QQey6H.exe

[Gordon_Shumway]

Доброе утро!
Столкнулся с грандиозной проблемой - на сервере под управлением WS2003 завелся некий Троян. Суть его действия похоже такая - при запуске системы он запускает файл QQey6H.exe, находящийся в папке Program Files/System и каким-то образом пытается законнектиться на некоторые китайские сайты (например, 18877.cn или 93jf.cn). Например, сегодня за ночь таким образом было "скачано" около 200 Мб траффика... Единственное временное решение пока - порезал полностью HTTP трафф средствами фаерволла... Но это не выход...
NOD32 даже при прямой проверке данного файла ничего страшного в нем не нашел.
Скачал AVZ, установил, обновил базы, но результата нет вроде бы...
Единственное, что нашел в гугле по названию данного файла:
http://www.threatexpert.com/report.a...796695b557d1e6
Проверил комп на содержание данных библиотек, но практически ничего не нашел...

Лог проверки прикрепил.

Карантин пустой абсолютно...

[light59]

Читаем, выполняем http://virusinfo.info/showthread.php?t=1235

Код:

,AVZ запущен из терминальной сессии

Так не пойдет.

[Gordon_Shumway]

Вот лог не из терминала...

[light59]

Читайте правила внимательно. Там написано какие логи нам нужны.

[Gordon_Shumway]

Читайте правила внимательно. Там написано какие логи нам нужны.

Прошу прощения за невнимательность...
Прикрепил 3 файлика.

Правда, немного занимался самолечением... Почистил раздел startupreg реестра, где в ключиках было упоминание файла QQey6H.exe...

PS:
На компьютере в службах твориться полный хаос - периодически появляются службы ака Microsolf Devicer Manager или Uninthrrupbible Mabager...
Исполняемый файл: C:\WINDOWS\System32\svchost.exe -k krnlsrvc

Комп постоянно ломиться по TCP/8080 или TCP/808 к определенным айпишникам...

Добавлено через 1 час 47 минут

Кстати, просмотр открытых портов показал, что вирус пытаеться пробиться в глобалку через один из svchost.exe

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\Drivers\IRAT.mvb','');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Gordon_Shumway]

Сделал, высылаю логи...

По карантину:

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

Но тот архив все равно пустой - я так понимаю, в карантине ничего нет...

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('svcollkk Server cctvs');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\HDAudBus.sys','');
 QuarantineFile('C:\WINDOWS\system32\svcollkk.exe','');
 DeleteFile('C:\WINDOWS\system32\svcollkk.exe');
 DeleteService('svcollkk Server cctvs');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('svcollkk Server cctvs');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Gordon_Shumway]

обновленные логи...
Все делаю удаленно по телефону (
Карантин выслал.
После выполнения скрипта процесс QQey6H все равно дрягался в системе... причем запускается он от имени пользователя, который первым вошел в систему.

[Rene-gad]

Все делаю удаленно по телефону

Это не есть очень хорошо...Нужно еще провериться на файловые вирусы (ссылка -у меня в подписи).

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O4 - HKLM\..\Run: [QQKav] C:\Program Files\Common Files\System\QQey6H.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\common files\system\qqey6h.exe');
 QuarantineFile('C:\Program Files\Common Files\System\QQey6H.exe','');
 DeleteFile('C:\Program Files\Common Files\System\QQey6H.exe');
 DeleteFileMask('C:\Program Files\Common Files\System','*.*',true);
 DeleteFileMask('C:\Program Files\Common Files','*.*',true);
 DeleteDirectory('C:\Program Files\Common Files\System');
 DeleteDirectory('C:\Program Files\Common Files');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Gordon_Shumway]

Вот последние логи...

Вирь, кстати, проник в ярлычки для IE добавив к исполняемому файлику строчку с адресом какого-то китайского борделя.

[Гриша]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\bulatova\Local Settings\Temporary Internet Files\Content.IE5\E8UEK20E\cracked20[1].exe ',' ');
DeleteFile('C:\Documents and Settings\bulatova\Local Settings\Temporary Internet Files\Content.IE5\E8UEK20E\cracked20[1].exe ');
DeleteFile(' C:\Documents and Settings\Default User.WINDOWS\Local Settings\Temporary Internet Files\Content.IE5\E8UEK20E\cracked20[1].exe ');    
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);    
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\svcollkk.exe - Backdoor.Win32.Hupigon.gscz ( DrWEB: BackDoor.Pigeon.9671, BitDefender: Trojan.Delf.Inject.Z )