Все тот же Trojan.WIn32/Killav и др в сети на XP [IM-Worm.Win32.Chydo.ccq, Trojan.Win32.Vilsel.ofn ]

[progersa]

Здравствуйте уважаемые безопасники.
В сети, около 40 компов, разгулялись троянцы:
Сегодня вычислен комп который пытается писать в шары exe меченные WinDefenderom как Killav.
также в шарах разрешенных ему на запись появились rar с содержанием https://www.virustotal.com/#/file/b9...8bbe/detection
Придя на комп в процессах замечены как минимум 4 абракадабры от usera, также вылетающие ошибки rar.exe других процессов.
Комп тут-же выдернут из сети и запущен autologer, который с трудом и дикими зависаниями отработал.
После была попытка установить MBAM, но как только открывается первое окно установки, оно тут-же сворачивается и не дает развернуться, в процессах в это время висят как бы 2 установщика mbam с аналогичными наименованиями.
2 процесса запустить не мог, пускал с клавиши enter, так что скорее имеем дело с перехватом и гашением.

[Info_bot]

Уважаемый(ая) progersa, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Скиптом также будет отключен автозапуск со всех устройств, кроме CD/DVD-привода.

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\rwyntbft.bat','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\iwhfulyvhbxksoadr.exe','');
 QuarantineFile('C:\WINDOWS\Temp\iwhfulyvhbxksoadr.exe','');
 QuarantineFile('C:\WINDOWS\system32\ewlngbstjhhykkahzoqje.exe','');
 QuarantineFile('C:\WINDOWS\Temp\pguvnhxxmjiyjixduijb.exe .','');
 QuarantineFile('C:\WINDOWS\system32\pguvnhxxmjiyjixduijb.exe','');
 QuarantineFile('C:\WINDOWS\Temp\rgsrhznlytqenkxbqc.exe','');
 QuarantineFile('C:\WINDOWS\system32\csffwpedrnlakiwbree.exe','');
 TerminateProcessByName('c:\windows\temp\cghvahk.exe');
 TerminateProcessByName('c:\windows\temp\boyvjzlhslgszufh.exe');
 QuarantineFile('c:\windows\temp\cghvahk.exe','');
 QuarantineFile('c:\windows\temp\boyvjzlhslgszufh.exe','');
 DeleteFile('c:\windows\temp\boyvjzlhslgszufh.exe','32');
 DeleteFile('c:\windows\temp\cghvahk.exe','32');
 DeleteFile('C:\WINDOWS\system32\csffwpedrnlakiwbree.exe','32');
 DeleteFile('C:\WINDOWS\Temp\rgsrhznlytqenkxbqc.exe','32');
 DeleteFile('C:\WINDOWS\system32\pguvnhxxmjiyjixduijb.exe','32');
 DeleteFile('C:\WINDOWS\Temp\pguvnhxxmjiyjixduijb.exe .','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','bimdlvbrwj');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','pssfjp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wejbkvctznd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','egfru');
 DeleteFile('C:\WINDOWS\system32\ewlngbstjhhykkahzoqje.exe','32');
 DeleteFile('C:\WINDOWS\Temp\iwhfulyvhbxksoadr.exe','32');
 DeleteFile('C:\WINDOWS\system32\iwhfulyvhbxksoadr.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','pssfjp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','iorhoxcrv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','egfru');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rwyntbft');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','vwuf');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','cghvahk');
 DeleteFile('C:\autorun.inf','32');
 DeleteFile('C:\rwyntbft.bat','32')
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[progersa]

Отправил карантин, прикрепляю лог.
В файлообменнике сайта уже нету места, поэтому прикрепил лог ссылкой или нужно создавать новый аккаунт?
https://cloud.mail.ru/public/KcZE/AnZTCDeWd
Абракадабра из процессов вроде ушла, MBAM установился, запустился, успел детектировать 9 угроз и жестко завис на одном из объектов памяти, уже час не может его переварить.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[progersa]

Добавляю FRST

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
2018-07-20 13:32 - 2018-07-24 13:46 - 000000260 ____H C:\WINDOWS\system32\oolvwzyhfltsmushheopsraye.lfn
2018-07-20 13:32 - 2018-07-24 13:46 - 000000260 ____H C:\WINDOWS\oolvwzyhfltsmushheopsraye.lfn
2018-07-20 13:32 - 2018-07-24 13:46 - 000000260 ____H C:\Program Files\oolvwzyhfltsmushheopsraye.lfn
2018-07-20 13:32 - 2018-07-20 13:32 - 000004008 ____H C:\WINDOWS\temhthrluleotmvvgojvjtnwngqvoxxiqlxl.pyp
2018-07-20 13:32 - 2018-07-20 13:32 - 000004008 ____H C:\WINDOWS\system32\temhthrluleotmvvgojvjtnwngqvoxxiqlxl.pyp
2018-07-20 13:32 - 2018-07-20 13:32 - 000004008 ____H C:\Program Files\temhthrluleotmvvgojvjtnwngqvoxxiqlxl.pyp
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\voehbxprihianofngwztph.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\system32\voehbxprihianofngwztph.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\system32\rgsrhznlytqenkxbqc.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\system32\boyvjzlhslgszufh.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\rgsrhznlytqenkxbqc.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\pguvnhxxmjiyjixduijb.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\iwhfulyvhbxksoadr.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\ewlngbstjhhykkahzoqje.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\csffwpedrnlakiwbree.exe
2018-07-20 13:32 - 2018-07-19 15:05 - 001048576 __RSH C:\WINDOWS\boyvjzlhslgszufh.exe
2018-07-20 13:32 - 2018-07-24 13:46 - 000000260 ____H () C:\Documents and Settings\User\Local Settings\Application Data\oolvwzyhfltsmushheopsraye.lfn
2018-07-20 13:32 - 2018-07-20 13:32 - 000004008 ____H () C:\Documents and Settings\User\Local Settings\Application Data\temhthrluleotmvvgojvjtnwngqvoxxiqlxl.pyp
2016-01-18 11:20 - 2018-06-21 16:37 - 000002082 ____C () C:\Documents and Settings\User\Application Data\ex_log.txt
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[progersa]

Вывылаю лог

[thyrex]

Сделайте лог МВАМ

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 33
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\rwyntbft.bat - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
  2. c:\windows\system32\csffwpedrnlakiwbree.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
  3. c:\windows\system32\ewlngbstjhhykkahzoqje.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
  4. c:\windows\system32\iwhfulyvhbxksoadr.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
  5. c:\windows\system32\pguvnhxxmjiyjixduijb.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
  6. c:\windows\temp\boyvjzlhslgszufh.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
  7. c:\windows\temp\cghvahk.exe - Trojan.Win32.Vilsel.ofn ( BitDefender: Gen:Variant.Pykspa.1 )
  8. c:\windows\temp\iwhfulyvhbxksoadr.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
  9. c:\windows\temp\pguvnhxxmjiyjixduijb.exe . - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
  10. c:\windows\temp\rgsrhznlytqenkxbqc.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )