Все тот же Trojan.WIn32/Killav и др в сети на XP [IM-Worm.Win32.Chydo.ccq, Trojan.Win32.Vilsel.ofn ]

[COLOR=#333333]Здравствуйте уважаемые безопасники.[/COLOR]
[COLOR=#333333]В сети, около 40 компов, разгулялись троянцы:
Сегодня вычислен комп который пытается писать в шары exe меченные WinDefenderom как Killav.
также в шарах разрешенных ему на запись появились rar с содержанием [URL]https://www.virustotal.com/#/file/b959da184508523e9818ff8989cd86213abbd571f3e774d9056959c43b9b8bbe/detection[/URL]
Придя на комп в процессах замечены как минимум 4 абракадабры от usera, также вылетающие ошибки rar.exe других процессов.
Комп тут-же выдернут из сети и запущен autologer, который с трудом и дикими зависаниями отработал.
После была попытка установить MBAM, но как только открывается первое окно установки, оно тут-же сворачивается и не дает развернуться, в процессах в это время висят как бы 2 установщика mbam с аналогичными наименованиями.
2 процесса запустить не мог, пускал с клавиши enter, так что скорее имеем дело с перехватом и гашением.[/COLOR]

Уважаемый(ая) [B]progersa[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скиптом также будет отключен автозапуск со всех устройств, кроме CD/DVD-привода.

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\rwyntbft.bat','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\iwhfulyvhbxksoadr.exe','');
QuarantineFile('C:\WINDOWS\Temp\iwhfulyvhbxksoadr.exe','');
QuarantineFile('C:\WINDOWS\system32\ewlngbstjhhykkahzoqje.exe','');
QuarantineFile('C:\WINDOWS\Temp\pguvnhxxmjiyjixduijb.exe .','');
QuarantineFile('C:\WINDOWS\system32\pguvnhxxmjiyjixduijb.exe','');
QuarantineFile('C:\WINDOWS\Temp\rgsrhznlytqenkxbqc.exe','');
QuarantineFile('C:\WINDOWS\system32\csffwpedrnlakiwbree.exe','');
TerminateProcessByName('c:\windows\temp\cghvahk.exe');
TerminateProcessByName('c:\windows\temp\boyvjzlhslgszufh.exe');
QuarantineFile('c:\windows\temp\cghvahk.exe','');
QuarantineFile('c:\windows\temp\boyvjzlhslgszufh.exe','');
DeleteFile('c:\windows\temp\boyvjzlhslgszufh.exe','32');
DeleteFile('c:\windows\temp\cghvahk.exe','32');
DeleteFile('C:\WINDOWS\system32\csffwpedrnlakiwbree.exe','32');
DeleteFile('C:\WINDOWS\Temp\rgsrhznlytqenkxbqc.exe','32');
DeleteFile('C:\WINDOWS\system32\pguvnhxxmjiyjixduijb.exe','32');
DeleteFile('C:\WINDOWS\Temp\pguvnhxxmjiyjixduijb.exe .','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','bimdlvbrwj');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','pssfjp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wejbkvctznd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','egfru');
DeleteFile('C:\WINDOWS\system32\ewlngbstjhhykkahzoqje.exe','32');
DeleteFile('C:\WINDOWS\Temp\iwhfulyvhbxksoadr.exe','32');
DeleteFile('C:\WINDOWS\system32\iwhfulyvhbxksoadr.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','pssfjp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','iorhoxcrv');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','egfru');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rwyntbft');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','vwuf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','cghvahk');
DeleteFile('C:\autorun.inf','32');
DeleteFile('C:\rwyntbft.bat','32')
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]

Отправил карантин, прикрепляю лог.
В файлообменнике сайта уже нету места, поэтому прикрепил лог ссылкой или нужно создавать новый аккаунт?
[URL="https://cloud.mail.ru/public/KcZE/AnZTCDeWd"]https://cloud.mail.ru/public/KcZE/AnZTCDeWd[/URL]
Абракадабра из процессов вроде ушла, MBAM установился, запустился, успел детектировать 9 угроз и жестко завис на одном из объектов памяти, уже час не может его переварить.

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Добавляю FRST

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
2018-07-20 13:32 - 2018-07-24 13:46 - 000000260 ____H C:\WINDOWS\system32\oolvwzyhfltsmushheopsraye.lfn
2018-07-20 13:32 - 2018-07-24 13:46 - 000000260 ____H C:\WINDOWS\oolvwzyhfltsmushheopsraye.lfn
2018-07-20 13:32 - 2018-07-24 13:46 - 000000260 ____H C:\Program Files\oolvwzyhfltsmushheopsraye.lfn
2018-07-20 13:32 - 2018-07-20 13:32 - 000004008 ____H C:\WINDOWS\temhthrluleotmvvgojvjtnwngqvoxxiqlxl.pyp
2018-07-20 13:32 - 2018-07-20 13:32 - 000004008 ____H C:\WINDOWS\system32\temhthrluleotmvvgojvjtnwngqvoxxiqlxl.pyp
2018-07-20 13:32 - 2018-07-20 13:32 - 000004008 ____H C:\Program Files\temhthrluleotmvvgojvjtnwngqvoxxiqlxl.pyp
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\voehbxprihianofngwztph.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\system32\voehbxprihianofngwztph.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\system32\rgsrhznlytqenkxbqc.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\system32\boyvjzlhslgszufh.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\rgsrhznlytqenkxbqc.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\pguvnhxxmjiyjixduijb.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\iwhfulyvhbxksoadr.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\ewlngbstjhhykkahzoqje.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\csffwpedrnlakiwbree.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\boyvjzlhslgszufh.exe
2018-07-20 13:32 - 2018-07-24 13:46 - 000000260 ____H () C:\Documents and Settings\User\Local Settings\Application Data\oolvwzyhfltsmushheopsraye.lfn
2018-07-20 13:32 - 2018-07-20 13:32 - 000004008 ____H () C:\Documents and Settings\User\Local Settings\Application Data\temhthrluleotmvvgojvjtnwngqvoxxiqlxl.pyp
2016-01-18 11:20 - 2018-06-21 16:37 - 000002082 ____C () C:\Documents and Settings\User\Application Data\ex_log.txt
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Вывылаю лог

Сделайте лог [url="https://virusinfo.info/showthread.php?t=218706&p=1480220&viewfull=1#post1480220"]МВАМ[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\rwyntbft.bat - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\system32\csffwpedrnlakiwbree.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\system32\ewlngbstjhhykkahzoqje.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\system32\iwhfulyvhbxksoadr.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\system32\pguvnhxxmjiyjixduijb.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\temp\boyvjzlhslgszufh.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\temp\cghvahk.exe - [B]Trojan.Win32.Vilsel.ofn[/B] ( BitDefender: Gen:Variant.Pykspa.1 )[*] c:\windows\temp\iwhfulyvhbxksoadr.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\temp\pguvnhxxmjiyjixduijb.exe . - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[*] c:\windows\temp\rgsrhznlytqenkxbqc.exe - [B]IM-Worm.Win32.Chydo.ccq[/B] ( BitDefender: Dropped:Worm.Generic.325054 )[/LIST][/LIST]