Показано с 1 по 8 из 8.

Win32:Chydo [Drp] или неуловимый спамер .tmp-файлами (заявка № 149514)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    14.09.2013
    Сообщений
    5
    Вес репутации
    12

    Win32:Chydo [Drp] или неуловимый спамер .tmp-файлами

    Здравствуйте :) Уже довольно долго не могу поймать засранца, который периодически спамит .tmp-файлами в папке C:\Users\Public. Ни Avast, ни Dr.Web Curelt не нашли источник проблемы, AVPTool у меня вообще крашился через 2 минуты работы.

    Выглядят его деяния таким вот образом:

    scrn.jpg

    Именно в C:\Users\Public\ в каждой папке некоторое кол-во .tmp-шек + архив с именем, повторяющим имя папки, с 4 файлами внутри: один .exe-шник инфицированный, остальные либо текстовые, либо картинки, либо еще что-нибудь.

    Замечено, что сильно возросла нагрузка на диск с системой. Если обращения к винчестеру от пользовательских программ не проходят, и всё виснет намертво - можно смело залезть в C:\Users\Public\ и найти там плоды его творений.

    PS: Скан одного из .tmp на virustotal:
    https://www.virustotal.com/ru/file/e...is/1384457316/
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,265
    Вес репутации
    327
    Уважаемый(ая) Кирилл Горшков, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    WBR,
    Vadim

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    14.09.2013
    Сообщений
    5
    Вес репутации
    12

    Лог MBAM

    Не понравились строки:

    C:\Users\Кирилл\AppData\Local\Yandex\YandexBrowser \User Data\Default\File System\001\t\00\00000000 (PUP.Optional.Installrex) -> Действие не было предпринято.
    C:\Windows\Temp\_avast_\unp5971932.tmp (Trojan.Chydo) -> Действие не было предпринято.
    D:\Downloads\winamp5621_full_emusic-7plus_ru-ru.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

    PS: Все, что в C:\Users\Public\ - обычное дело вот уже около месяца. Удаляй, не удаляй, рано или поздно появятся вновь.
    Вложения Вложения
    Последний раз редактировалось Кирилл Горшков; 15.11.2013 в 18:12.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    Удалите в MBAM всё, кроме:
    Код:
    C:\Users\Кирилл\AppData\Local\Yandex\YandexBrowser\User Data\Default\File System\001\t\00\00000000 (PUP.Optional.Installrex) -> Действие не было предпринято.
    D:\Downloads\winamp5621_full_emusic-7plus_ru-ru.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    D:\Downloads\WinRAR_3.90_Final_RU.zip (RiskWare.Agent.CK) -> Действие не было предпринято.
    D:\Downloads\D7\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
    D:\torrents\Sony Vegas Pro 11.0 Build 682_683\Keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
    D:\torrents\Sony Vegas PRO 9.0.563 (x32  x64) RUS\Sony Vegas Pro 9.0_х64\Sony.Products.Multikeygen.v1.5.Keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    D:\torrents\Sony Vegas PRO 9.0.563 (x32  x64) RUS\Sony_Vegas_Pro_9.0__32\Sony Vegas Pro 9.0_х32\Sony.Products.Multikeygen.v1.5.Keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    Компьютер в сети? Закройте сетевой доступ к папке C:\Users

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    После устранения уязвимостей проверьте, что с проблемой.
    WBR,
    Vadim

  7. Vvvyg получил(а) благодарность за это сообщение от


  8. #6
    Junior Member (OID) Репутация
    Регистрация
    14.09.2013
    Сообщений
    5
    Вес репутации
    12
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Компьютер в сети? Закройте сетевой доступ к папке C:\Users
    <...>
    После устранения уязвимостей проверьте, что с проблемой.
    Да, два компа соединены через роутер. Вы натолкнули меня на мысль, что, возможно, этот гад сидит на другой машине и спамит мне в Public через сеть, т.к. при отключении общего доступа мне вылетел запрос "Вы уверены? Сейчас открыто 1 подключение(!)". Завтра покопаюсь на том компе.

    Буду мониторить вышеуказанную папку, т.к. здесь и сейчас сказать, решена ли проблема, не представляется возможным.

  9. #7
    Junior Member (OID) Репутация
    Регистрация
    14.09.2013
    Сообщений
    5
    Вес репутации
    12
    Пока всё тихо. На втором компе Avast и Dr.Web Curelt ничего не нашли. Сетевой доступ к C:\Users закрыт.

  10. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,827
    Вес репутации
    780
    WBR,
    Vadim

  • Уважаемый(ая) Кирилл Горшков, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Win32.Chydo.qk как избавиться? [Trojan.Win32.Chydo.axa ]
      От yuric62 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 27.02.2013, 22:56
    2. Trojan.win32.chydo и Worm.win32.autoit.xl на ноутбуке
      От Zumbrotta в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 24.01.2012, 00:19
    3. Помогите справиться с вирусами Worm.Win32.Agent.adx и Trojan.Win32.Chydo.axd (заявка №108954)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 02.09.2011, 18:01
    4. autoran.exe = спамер win32.hllw.autorunner
      От M@xWell в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 06.07.2007, 18:18

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00222 seconds with 21 queries