Показано с 1 по 18 из 18.

Странный вирус xipyupd (заявка № 93901)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39

    Thumbs up Странный вирус xipyupd

    С недавних пор NOD32 стал выдавать предупреждение (как то бессистемно) об обнаруженном вирусе xipyupd, причем кнопки лечения и удаления в окне предупреждения недоступны, доступно только "Закрыть".
    Также случайно обнаружил, что в назначенных заданиях насоздавалась куча заданий с названиями типа At1, At2, ....
    Начало в час ночи каждый день, запускается строка вида "rundll32.exe xipyupd.mi, qimdazv".
    Удаляются данные задания без проблем, но потом снова создаются автоматом. Свйства задания недоступны для редактрования.

    Никаких других видимых проявлений вируса нет, но опасаюсь, что он может вести какие нибудь скрытые деструктивные действия.

    Логи прилагаю.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,458
    Вес репутации
    1269
    Пофиксите в hijackthis -

    Код:
    R3 - URLSearchHook: (no name) -  - (no file)
    Сделайте лог Гмер

  4. #3
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    в hijackthis пофиксил.

    запуски GMER закончились неудачей. При первоначальном запуске он выдавал сообщение типа: "GMER has found system modification, which might have been caused by rootkit activity" и предлагал сделать полный скан или отказаться. При согласии через некоторое время вылетала с ошибкой, а при отказе и ручном запуске намертво вешал систему.
    на всякий случай прилагаю лог после нажатия отказа но перед выполнением повторного полного скана.

  5. #4
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    прилагаю новые логи

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Скачайте такую утилиу и пролечитесь ей
    - повторите лог virusinfo_syscheck.zip;

  7. #6
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    утилиту KK.exe скачал, проверил, но вроде она ничего не нашла.
    новый лог прилагаю.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    - Сделайте лог Gmer

  9. #8
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Уфф, замучился я с этим Gmer-ом.
    Вешает систему намертво, а поскольку у меня ноутбук, то приходится вынимать аккумулятор. Ctr+Alt+Del и кнопка выключения не помогают.
    В общем не удалось с его помощью ничего сделать.

    Еще какие-нибудь варианты есть? Может какие-нибудь скрипты в AVZ?
    И что это за вирус такой?

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,458
    Вес репутации
    1269
    Выполните скрипт в АВЗ -

    Код:
    begin
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\siloduf');
     RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\siloduf\Parameters');
    end.
    - Повторите логи АВЗ

  11. #10
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    скрипт выполнил, логи прилагаю

  12. #11
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    еще интересует
    в сообщениях АВЗ есть строки

    Функция NtCreateKey (29) перехвачена (80623786->B9EA80E0), перехватчик spci.sys
    Функция NtEnumerateKey (47) перехвачена (80623FC6->B9EC6CA2), перехватчик spci.sys
    Функция NtEnumerateValueKey (49) перехвачена (80624230->B9EC7030), перехватчик spci.sys
    Функция NtOpenKey (77) перехвачена (80624B58->B9EA80C0), перехватчик spci.sys
    Функция NtQueryKey (A0) перехвачена (80624E7E->B9EC710, перехватчик spci.sys
    Функция NtQueryValueKey (B1) перехвачена (806219BE->B9EC6F8, перехватчик spci.sys
    Функция NtSetValueKey (F7) перехвачена (80621D0C->B9EC719A), перехватчик spci.sys
    Функция KeInsertQueueDpc (804FB7A0) - модификация машинного кода. Метод JmpTo. jmp B5C19BB0
    \FileSystem\ntfs[IRP_MJ_CREATE] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 89E451F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 89E451F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89BAE500 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 89BAE500 -> перехватчик не определен

    это что за перехваты? подозрение на вирус?

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,458
    Вес репутации
    1269
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system32\xipyupd.dll','');
     DeleteFile('C:\WINDOWS\system32\xipyupd.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\siloduf\Parameters','ServiceDll');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

    - Насчёт перехватов переживать не стоит.

  14. #13
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Все сделал.
    Новые логи прилагаю.

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,458
    Вес репутации
    1269
    Что с проблемой?

  16. #15
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    да вроде больше пока не проявляется, тьфу, тьфу.
    а что за вирус это был? и удалось его ликвидировать, т.е. логи чистые?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от marvak Посмотреть сообщение
    логи чистые?
    Да, все ОК.
    I am not young enough to know everything...

  18. #17
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Спасибо большое!
    вроде был Кидо, насколько я нашел инфу в сети.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) marvak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Странный вирус
      От lliberty в разделе Вредоносные программы
      Ответов: 8
      Последнее сообщение: 04.08.2012, 02:25
    2. Странный вирус
      От TheEvgenius в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.05.2009, 11:45
    3. Странный вирус
      От holodila в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.10.2008, 19:04
    4. Странный вирус
      От st3p4n в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 11.07.2008, 11:01
    5. Странный вирус...
      От PDima в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 27.06.2008, 23:26

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00633 seconds with 16 queries