Пострадали от IM-Worm.Win32.Chydo.ccq, Trojan.WIn32/Killav и кучки червей. [HEUR:Trojan.Win32.Generic ]

Printable View

20.07.2018, 17:09
progersa

Пострадали от IM-Worm.Win32.Chydo.ccq, Trojan.WIn32/Killav и кучки червей. [HEUR:Trojan.Win32.Generic ]

Здравствуйте уважаемые безопасники.
В сети, около 40 компов, разгулялись троянцы антивирусы переодически натыкаются на:
IM-Worm.Win32.Chydo.ccq,
not-a-virus:HEUR:AdWare.Script.Generic,
HEUR:Trojan.WinLNK.StartPage.ab.
Trojan.WIn32/Killav
Trojan.WIn32/Popupper
Trojan.WIn32/Dynamer!ac
и др.
Проявление в крайне высокой загрузки оперативы и цп процессами svchost и system, появление в папках файлов rar, exe, bat, scr и др.
Компы в основном очень древние, подавляюще WinXP, поэтому со штатными антивирусами и системными обновлениями очень туго, хотя на более мощных отражающей способности KFA и WinDefender, не хватает. Сканирование kvrt, krd, cureit, drveb, avz, malvarebytes, windows defender отлавливает практически только безобидные кряки.
Есть компы которые крайне нежелательно отключать от сети более чем на 2 часа, всю сеть одновременно положить практически нереально.
Помогите, что можно предпринять, высылаю логи по каждому компу.
Комп №9 Предположительно с него началось заражение, т.к. он заражает и флешки
20.07.2018, 17:12
Info_bot

Уважаемый(ая) [B]progersa[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.07.2018, 18:50
thyrex

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\Temp\wsgyznhypmcdorcymef.exe','');
QuarantineFile('C:\WINDOWS\system32\vozomxocqkxvddle.exe','');
QuarantineFile('C:\Windows\Temp\vozomxocqkxvddle.exe .','');
QuarantineFile('C:\Windows\Temp\cwiyxjbqfaonwxgam.exe .','');
QuarantineFile('C:\WINDOWS\system32\lgtkkxqgwshhrtdylc.exe','');
QuarantineFile('C:\Windows\Temp\cwiyxjbqfaonwxgam.exe','');
QuarantineFile('C:\WINDOWS\system32\jgvoqfaskizbnrdapikz.exe','');
TerminateProcessByName('c:\windows\temp\jstymn.exe');
QuarantineFile('c:\windows\temp\jstymn.exe','');
TerminateProcessByName('c:\windows\temp\cwiyxjbqfaonwxgam.exe');
QuarantineFile('c:\windows\temp\cwiyxjbqfaonwxgam.exe','');
DeleteFile('c:\windows\temp\cwiyxjbqfaonwxgam.exe','32');
DeleteFile('c:\windows\temp\jstymn.exe','32');
DeleteFile('C:\WINDOWS\system32\jgvoqfaskizbnrdapikz.exe','32');
DeleteFile('C:\Windows\Temp\cwiyxjbqfaonwxgam.exe','32');
DeleteFile('C:\WINDOWS\system32\lgtkkxqgwshhrtdylc.exe','32');
DeleteFile('C:\Windows\Temp\cwiyxjbqfaonwxgam.exe .','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','lgtkkxqgwshhrtdylc');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','nenawfugskvrxv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wsgyznhypmcdorcymef');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mckwrznyjakfk');
DeleteFile('C:\Windows\Temp\vozomxocqkxvddle.exe .','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','nenawfugskvrxv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','cwiyxjbqfaonwxgam');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mckwrznyjakfk');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vozomxocqkxvddle');
DeleteFile('C:\WINDOWS\system32\vozomxocqkxvddle.exe','32');
DeleteFile('C:\Windows\Temp\wsgyznhypmcdorcymef.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ncjuoviscsbv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','qisgdndqdwifmls');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
23.07.2018, 11:25
progersa

Выполнил скрипты, добавил карантин 180723_082317_quarantine_5b5590756c659.zip и высылаю новый лог
23.07.2018, 13:47
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
23.07.2018, 14:06
progersa

Добавляю лог
23.07.2018, 14:30
thyrex

C:\WINDOWS\System32\wsaudio.dll проверьте на virustotal.com и пришлите ссылку на результат.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (The Safe Surfing) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2017-04-10]
S2 ihctrl32; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2018-07-11 11:44 - 2018-07-23 11:07 - 000000260 ____H C:\WINDOWS\yggkxxdgjsuhetqyycppvybkmzw.iqq
2018-07-11 11:44 - 2018-07-23 11:07 - 000000260 ____H C:\WINDOWS\system32\yggkxxdgjsuhetqyycppvybkmzw.iqq
2018-07-11 11:44 - 2018-07-23 11:07 - 000000260 ____H C:\Program Files\yggkxxdgjsuhetqyycppvybkmzw.iqq
2018-07-11 11:44 - 2018-07-11 11:44 - 000004008 ____H C:\WINDOWS\vozomxocqkxvddlepecnesganlttbufusduiwq.bjj
2018-07-11 11:44 - 2018-07-11 11:44 - 000004008 ____H C:\WINDOWS\system32\vozomxocqkxvddlepecnesganlttbufusduiwq.bjj
2018-07-11 11:44 - 2018-07-11 11:44 - 000004008 ____H C:\Program Files\vozomxocqkxvddlepecnesganlttbufusduiwq.bjj
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\ywmgjzvohgybotgeuorhd.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\wsgyznhypmcdorcymef.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\vozomxocqkxvddle.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\system32\ywmgjzvohgybotgeuorhd.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\system32\wsgyznhypmcdorcymef.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\system32\pofaevsmggzdrxlkbwaroi.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\system32\cwiyxjbqfaonwxgam.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\pofaevsmggzdrxlkbwaroi.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\lgtkkxqgwshhrtdylc.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\jgvoqfaskizbnrdapikz.exe
2018-07-11 11:44 - 2009-07-07 12:49 - 001048576 __RSH C:\WINDOWS\cwiyxjbqfaonwxgam.exe
2018-07-11 11:44 - 2018-07-11 11:44 - 000004008 ____H () C:\Documents and Settings\Admin\Local Settings\Application Data\vozomxocqkxvddlepecnesganlttbufusduiwq.bjj
2018-07-11 11:44 - 2018-07-23 11:07 - 000000260 ____H () C:\Documents and Settings\Admin\Local Settings\Application Data\yggkxxdgjsuhetqyycppvybkmzw.iqq
CustomCLSID: HKU\S-1-5-21-1757981266-688789844-1417001333-1004_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => No File
CustomCLSID: HKU\S-1-5-21-1757981266-688789844-1417001333-1004_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => No File
CustomCLSID: HKU\S-1-5-21-1757981266-688789844-1417001333-1004_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\spmServices.dll => No File
AlternateDataStreams: C:\WINDOWS\Temp:temp [576893]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:07BF512B [152]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A [288]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC [274]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
23.07.2018, 15:02
progersa

Выполнил, прикрепляю лог
23.07.2018, 15:25
thyrex

[quote="thyrex;1485394"]C:\WINDOWS\System32\wsaudio.dll проверьте на virustotal.com и пришлите ссылку на результат.[/quote]пропустили
25.07.2018, 09:28
progersa

Ссылка на архив
[URL="https://www.virustotal.com/#/file/e4725de8c3868d722daa99ed54acb41a24ddc3243cfe954855f1aa31e2901cbb/detection"]https://www.virustotal.com/#/file/e4725de8c3868d722daa99ed54acb41a24ddc3243cfe954855f1aa31e2901cbb/detection[/URL]
На компе возможен рецедив, у юзера видел открытую через эксплорер флешку с rar, pif, scr, bat, exe и тд, попытался через тотал по маске удалить, вроде все ушло, автозапуск скорее съел usbguard т.к. препятствий к простому удалению небыло. Наказал юзеру пользоваться только тоталом и открывать отлько папки, как исполнит не знаю.
На рецедив проверять связкой AVZ+MBAM с полной проверкой и удалением?

PS. Думаю все-таки придется на выходных полностью отключать сеть и по каждому компу AVZ (полная проверка + лечение + удаление), далее MBAM (полная проверка + карантин кроме известных), далее KRD (полная проверка + лечение + удаление). Бо подругому уже не знаю как справляться с этой шнягой. Или подскажите какой другой действенный алгоритм?
25.07.2018, 10:21
thyrex

[quote="progersa;1485518"]Ссылка на архив[/quote]Удаляйтее файл.

Отключаем автозапуск.

Выполните скрипт в AVZ из папки Autologger
[code]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
25.07.2018, 15:44
progersa

Файлик грохнул командой
DeleteFile('C:\WINDOWS\System32\wsaudio.dll','32');
Добавив ее в ваш скрипт.
После собрал автолог, в него попали автораны и абракадабры из корней локальных дисков - или недочистили или регресс, но в процессах их не наблюдаю.
25.07.2018, 17:08
thyrex

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
ClearQuarantineEx(True);
QuarantineFile('C:\WINDOWS\System32\ihctrl32.dll','');
DeleteFile('C:\WINDOWS\TEMP\clearcache.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\System32\ihctrl32.dll','32');
DeleteFile('D:\qekuntfoxmu.bat','32');
DeleteFile('D:\autorun.inf','32');
DeleteFile('C:\qekuntfoxmu.bat','32');
DeleteFile('C:\autorun.inf','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
26.07.2018, 14:11
progersa

Батники в корнях С и D после выполнения скрипта остались, в процессах не видно. Прикрепляю карантин и логи.
26.07.2018, 15:04
thyrex

Удалите в МВАМ все, КРОМЕ
[CODE]Процесс: 1
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [5834], [133383],1.0.6075

Модуль: 1
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [5834], [133383],1.0.6075

PUM.Optional.LowRiskFileTypes, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, Проигнорировано пользователем, [6954], [251589],1.0.6075
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, Проигнорировано пользователем, [6954], [251589],1.0.6075
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-21-1757981266-688789844-1417001333-1004\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, Проигнорировано пользователем, [6954], [251589],1.0.6075
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, Проигнорировано пользователем, [6954], [251589],1.0.6075

PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12955], [293296],1.0.6075
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Проигнорировано пользователем, [12955], [293294],1.0.6075
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Проигнорировано пользователем, [12955], [293295],1.0.6075

RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [5834], [133383],1.0.6075
[/CODE]
26.07.2018, 15:14
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\ihctrl32.dll - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Variant.Barys.1695 )[*] c:\windows\system32\jgvoqfaskizbnrdapikz.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\system32\lgtkkxqgwshhrtdylc.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\system32\vozomxocqkxvddle.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\temp\cwiyxjbqfaonwxgam.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\temp\cwiyxjbqfaonwxgam.exe . - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\temp\jstymn.exe - [B]Trojan.Win32.Vilsel.ofn[/B] ( BitDefender: Gen:Variant.Pykspa.1 )[*] c:\windows\temp\vozomxocqkxvddle.exe . - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\temp\wsgyznhypmcdorcymef.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[/LIST][/LIST]