Win32:Chydo [Drp] или неуловимый спамер .tmp-файлами
Здравствуйте :) Уже довольно долго не могу поймать засранца, который периодически спамит .tmp-файлами в папке C:\Users\Public. Ни Avast, ни Dr.Web Curelt не нашли источник проблемы, AVPTool у меня вообще крашился через 2 минуты работы.
Именно в C:\Users\Public\ в каждой папке некоторое кол-во .tmp-шек + архив с именем, повторяющим имя папки, с 4 файлами внутри: один .exe-шник инфицированный, остальные либо текстовые, либо картинки, либо еще что-нибудь.
Замечено, что сильно возросла нагрузка на диск с системой. Если обращения к винчестеру от пользовательских программ не проходят, и всё виснет намертво - можно смело залезть в C:\Users\Public\ и найти там плоды его творений.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Кирилл Горшков, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
C:\Users\Кирилл\AppData\Local\Yandex\YandexBrowser \User Data\Default\File System\001\t\00\00000000 (PUP.Optional.Installrex) -> Действие не было предпринято.
C:\Windows\Temp\_avast_\unp5971932.tmp (Trojan.Chydo) -> Действие не было предпринято.
D:\Downloads\winamp5621_full_emusic-7plus_ru-ru.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
PS: Все, что в C:\Users\Public\ - обычное дело вот уже около месяца. Удаляй, не удаляй, рано или поздно появятся вновь.
Последний раз редактировалось Кирилл Горшков; 15.11.2013 в 18:12.
C:\Users\Кирилл\AppData\Local\Yandex\YandexBrowser\User Data\Default\File System\001\t\00\00000000 (PUP.Optional.Installrex) -> Действие не было предпринято.
D:\Downloads\winamp5621_full_emusic-7plus_ru-ru.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\Downloads\WinRAR_3.90_Final_RU.zip (RiskWare.Agent.CK) -> Действие не было предпринято.
D:\Downloads\D7\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\torrents\Sony Vegas Pro 11.0 Build 682_683\Keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\torrents\Sony Vegas PRO 9.0.563 (x32 x64) RUS\Sony Vegas Pro 9.0_х64\Sony.Products.Multikeygen.v1.5.Keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\torrents\Sony Vegas PRO 9.0.563 (x32 x64) RUS\Sony_Vegas_Pro_9.0__32\Sony Vegas Pro 9.0_х32\Sony.Products.Multikeygen.v1.5.Keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
Компьютер в сети? Закройте сетевой доступ к папке C:\Users
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
После устранения уязвимостей проверьте, что с проблемой.
Компьютер в сети? Закройте сетевой доступ к папке C:\Users
<...>
После устранения уязвимостей проверьте, что с проблемой.
Да, два компа соединены через роутер. Вы натолкнули меня на мысль, что, возможно, этот гад сидит на другой машине и спамит мне в Public через сеть, т.к. при отключении общего доступа мне вылетел запрос "Вы уверены? Сейчас открыто 1 подключение(!)". Завтра покопаюсь на том компе.
Буду мониторить вышеуказанную папку, т.к. здесь и сейчас сказать, решена ли проблема, не представляется возможным.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: