Показано с 1 по 13 из 13.

Trojan.Win32.Chydo.axa на компе. (заявка № 156213)

  1. #1
    Junior Member Репутация
    Регистрация
    03.03.2014
    Сообщений
    11
    Вес репутации
    14

    Trojan.Win32.Chydo.axa на компе.

    Добрый день. KIS постоянно ругается, указывает на вирус Trojan.Win32.Chydo.axa, пытается лечить, но после удаления , через некоторое время снова появляются файлы и архивы...( на которые он ругается), пробовал Kaspersky Virus Removal Toolhijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip, он часть находит, удаляет, но виснет , не досканировав до конца компьютер.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Yug110, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Пофиксите в HijackThis:
    Код:
    O20 - AppInit_DLLs: ????
    Отключите временно KIS 2012 и сделайте лог полного сканирования МВАМ. Не активируйте пробный период!
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    03.03.2014
    Сообщений
    11
    Вес репутации
    14
    MBAM-log-2014-03-04 (12-03-15).txt
    Сделал сканирование, лог файл прилагаю.
    Также профиксил HijackThis, как рекомендовали.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Удалите в MBAM:
    Код:
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Sacura-1\AppData\Local\Webalta Toolbar (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Sacura-1\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\Sacura-1\AppData\Roaming\OpenCandy\ACC380E1A3C2488A9089DADC3407A663 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\Sacura-1\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Sacura-1\AppData\Local\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Sacura-1\AppData\Roaming\OpenCandy\ACC380E1A3C2488A9089DADC3407A663\hfza_2018.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantineEx(True);
     QuarantineFile('C:\Users\Sacura-1\appdata\roaming\search~1\search~1.exe','');
     DeleteFile('C:\Users\Sacura-1\appdata\roaming\search~1\search~1.exe','32');
    ExecuteSysClean;
    ExecuteWizard('SCU',2,2,true);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Другие компьютеры в сети есть? Ознакомьтесь с описанием вируса и принимайте соответствующие меры.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    03.03.2014
    Сообщений
    11
    Вес репутации
    14
    Сделал как отписали. Файл с карантином отправил.
    В сети есть еще два компа.
    Какае мои следующие шаги, подскажите?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Смените пароль администратора на компьютере, включите UAC, брандмауэр, прооверьте наличие уязвимостей и устраните их, в общем,
    Выполните рекомендации после лечения.
    Если с этого компьютера пользовались онлайновыми платёжными системами - смените пароли.

    Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

    Scan All Users
    Include 64Bit Scans - в случае 64-разрядной системы;
    Output: Minimal Output;
    File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
    Lop Check;
    Purity Check.

    В окне File Age установите 30 days
    Остальные параметры оставьте по умолчанию.

    Скопируйте текст:
    Код:
    %USERPROFILE%\AppData\Local\*.url /S
    %USERPROFILE%\AppData\Local\*.lnk /S
    %PROGRAMFILES%\*.url /S
    %PROGRAMFILES%\*.lnk /S
    %ProgramFiles(x86)%\*.lnk /S
    %ProgramFiles(x86)%\*.url /S
    %ALLUSERSPROFILE%\ntuser.pol
    %SystemRoot%\System32\GroupPolicy\Machine\Registry.pol
    в окно Custom Scans/Fixes и нажмите Run Scan.

    По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: OTL.txt и Extras.txt. Упакуйте их в архив и прикрепите к своему следующему сообщению.

    Для остальных компьютеров сделайте отдельные темы в этом разделе с логами, кроме AVZ и HijackThis сразу лог MBAM прилагайте.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    03.03.2014
    Сообщений
    11
    Вес репутации
    14

    Сделал как писали.

    Сделал как писали. Прилагаю архив с файлами.OTL & Extras.rar

    - - - Добавлено - - -

    На диски D, в папках так же лежат архивы и файлы, созданные вирусом, как быть, удалять их в ручную или как? Просто их там в каждой папке одноименный архив или какой-нибудь файл с другим расширением лежит.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Отключите до перезагрузки антивирус, запустите OTL (В случае, если у Вас Windows Vista или 7, программу нужно запускать от имени администратора, через контекстное меню (правой клавишей мыши по файлу) "Запуск от имени администратора"!), скопируйте скрипт ниже в окно Custom Scans/Fixes, закройте все браузеры и нажмите Run Fix
    Код:
    :OTL
    [2012.11.21 10:09:30 | 000,009,746 | ---- | M] () (No name found) -- C:\Users\Sacura-1\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\extensions\staged\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi
    [2012.03.13 00:34:56 | 000,000,412 | ---- | M] () -- C:\Users\Sacura-1\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\searchplugins\webalta-search.xml
    CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\2.8_0\
    CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\2.9.3_0\
    CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\2.9_0\
    CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\3.1_0\
    [2013.07.17 12:54:14 | 000,000,000 | ---D | M] -- C:\Users\Sacura-1\AppData\Roaming\SearchIndexer
    @Alternate Data Stream - 181 bytes -> C:\ProgramData\TEMP:DF623ED6
    @Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:44504F07
    
    :Files
    
    MsiExec /X{26A24AE4-039D-4CA4-87B4-2F83217004FF} /quiet /c
    recycler /alldrives
    
    :Commands
    [EMPTYTEMP]
    [EMPTYJAVA]
    [EMPTYFLASH]
    [purity]
    [Reboot]
    Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите Java 7 Update 51. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.


    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    03.03.2014
    Сообщений
    11
    Вес репутации
    14
    Скрипт выполнил, лог прилагаю.03042014_154126.rar

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Запустите OTL и нажмите кнопку CleanUp.

    Архивы и вайлы с вирусом аккуратно удаляйте вручную.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Переходите к проверке других компьютеров в отдельных темах.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    03.03.2014
    Сообщений
    11
    Вес репутации
    14
    Сделал логи и для двух других компьютеров, которые соединины по сети с первым. Темы назвал так же, только с пометкой (1) и (2).

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Yug110, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 14.04.2013, 10:13
    2. Win32.Chydo.qk как избавиться? [Trojan.Win32.Chydo.axa ]
      От yuric62 в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 27.02.2013, 21:56
    3. trojan.win32.chydo.cyr
      От СемёнН в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.09.2012, 20:01
    4. Trojan.win32.chydo, Worm.win32.autoit.xl на компе
      От Zumbrotta в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.01.2012, 19:35

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00275 seconds with 17 queries