Доброе утро!
Столкнулся с грандиозной проблемой - на сервере под управлением WS2003 завелся некий Троян. Суть его действия похоже такая - при запуске системы он запускает файл QQey6H.exe, находящийся в папке Program Files/System и каким-то образом пытается законнектиться на некоторые китайские сайты (например, 18877.cn или 93jf.cn). Например, сегодня за ночь таким образом было "скачано" около 200 Мб траффика... Единственное временное решение пока - порезал полностью HTTP трафф средствами фаерволла... Но это не выход...
NOD32 даже при прямой проверке данного файла ничего страшного в нем не нашел.
Скачал AVZ, установил, обновил базы, но результата нет вроде бы...
Единственное, что нашел в гугле по названию данного файла: http://www.threatexpert.com/report.a...796695b557d1e6
Проверил комп на содержание данных библиотек, но практически ничего не нашел...
Лог проверки прикрепил.
Карантин пустой абсолютно...
Последний раз редактировалось Rene-gad; 27.04.2009 в 21:32.
Причина: ненужный лог удален
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Читайте правила внимательно. Там написано какие логи нам нужны.
Прошу прощения за невнимательность...
Прикрепил 3 файлика.
Правда, немного занимался самолечением... Почистил раздел startupreg реестра, где в ключиках было упоминание файла QQey6H.exe...
PS:
На компьютере в службах твориться полный хаос - периодически появляются службы ака Microsolf Devicer Manager или Uninthrrupbible Mabager...
Исполняемый файл: C:\WINDOWS\System32\svchost.exe -k krnlsrvc
Комп постоянно ломиться по TCP/8080 или TCP/808 к определенным айпишникам...
Добавлено через 1 час 47 минут
Кстати, просмотр открытых портов показал, что вирус пытаеться пробиться в глобалку через один из svchost.exe
Последний раз редактировалось Rene-gad; 27.04.2009 в 21:31.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('svcollkk Server cctvs');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\HDAudBus.sys','');
QuarantineFile('C:\WINDOWS\system32\svcollkk.exe','');
DeleteFile('C:\WINDOWS\system32\svcollkk.exe');
DeleteService('svcollkk Server cctvs');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('svcollkk Server cctvs');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
обновленные логи...
Все делаю удаленно по телефону (
Карантин выслал.
После выполнения скрипта процесс QQey6H все равно дрягался в системе... причем запускается он от имени пользователя, который первым вошел в систему.
Это не есть очень хорошо...Нужно еще провериться на файловые вирусы (ссылка -у меня в подписи).
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: