Trojan.Win32.Chydo.axa на компе.

**Yug110** · 04.03.2014, 10:28

Добрый день. KIS постоянно ругается, указывает на вирус Trojan.Win32.Chydo.axa, пытается лечить, но после удаления , через некоторое время снова появляются файлы и архивы...( на которые он ругается), пробовал Kaspersky Virus Removal Toolhijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip, он часть находит, удаляет, но виснет , не досканировав до конца компьютер.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.03.2014, 10:29

Уважаемый(ая) Yug110, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 04.03.2014, 10:41

Пофиксите в HijackThis:

Код:

O20 - AppInit_DLLs: ????

Отключите временно KIS 2012 и сделайте лог полного сканирования МВАМ. Не активируйте пробный период!

**Yug110** · 04.03.2014, 12:09

MBAM-log-2014-03-04 (12-03-15).txt
Сделал сканирование, лог файл прилагаю.
Также профиксил HijackThis, как рекомендовали.

**Vvvyg** · 04.03.2014, 12:33

Удалите в MBAM:

Код:

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Local\Webalta Toolbar (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Roaming\OpenCandy\ACC380E1A3C2488A9089DADC3407A663 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Local\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Roaming\OpenCandy\ACC380E1A3C2488A9089DADC3407A663\hfza_2018.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantineEx(True);
 QuarantineFile('C:\Users\Sacura-1\appdata\roaming\search~1\search~1.exe','');
 DeleteFile('C:\Users\Sacura-1\appdata\roaming\search~1\search~1.exe','32');
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Другие компьютеры в сети есть? Ознакомьтесь с описанием вируса и принимайте соответствующие меры.

**Yug110** · 04.03.2014, 14:23

Сделал как отписали. Файл с карантином отправил.
В сети есть еще два компа.
Какае мои следующие шаги, подскажите?

**Vvvyg** · 04.03.2014, 14:40

Смените пароль администратора на компьютере, включите UAC, брандмауэр, прооверьте наличие уязвимостей и устраните их, в общем,
Выполните рекомендации после лечения.
Если с этого компьютера пользовались онлайновыми платёжными системами - смените пароли.

Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:

Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check.

В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.

Скопируйте текст:

Код:

%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%ALLUSERSPROFILE%\ntuser.pol
%SystemRoot%\System32\GroupPolicy\Machine\Registry.pol

в окно Custom Scans/Fixes и нажмите Run Scan.

По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: OTL.txt и Extras.txt. Упакуйте их в архив и прикрепите к своему следующему сообщению.

Для остальных компьютеров сделайте отдельные темы в этом разделе с логами, кроме AVZ и HijackThis сразу лог MBAM прилагайте.

**Yug110** · 04.03.2014, 15:10

Сделал как писали. Прилагаю архив с файлами.OTL & Extras.rar

- - - Добавлено - - -

На диски D, в папках так же лежат архивы и файлы, созданные вирусом, как быть, удалять их в ручную или как? Просто их там в каждой папке одноименный архив или какой-нибудь файл с другим расширением лежит.

**Vvvyg** · 04.03.2014, 15:23

Отключите до перезагрузки антивирус, запустите OTL (В случае, если у Вас Windows Vista или 7, программу нужно запускать от имени администратора, через контекстное меню (правой клавишей мыши по файлу) "Запуск от имени администратора"!), скопируйте скрипт ниже в окно Custom Scans/Fixes, закройте все браузеры и нажмите Run Fix

Код:

:OTL
[2012.11.21 10:09:30 | 000,009,746 | ---- | M] () (No name found) -- C:\Users\Sacura-1\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\extensions\staged\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi
[2012.03.13 00:34:56 | 000,000,412 | ---- | M] () -- C:\Users\Sacura-1\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\searchplugins\webalta-search.xml
CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\2.8_0\
CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\2.9.3_0\
CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\2.9_0\
CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\3.1_0\
[2013.07.17 12:54:14 | 000,000,000 | ---D | M] -- C:\Users\Sacura-1\AppData\Roaming\SearchIndexer
@Alternate Data Stream - 181 bytes -> C:\ProgramData\TEMP:DF623ED6
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:44504F07

:Files

MsiExec /X{26A24AE4-039D-4CA4-87B4-2F83217004FF} /quiet /c
recycler /alldrives

:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]

Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.

Уведомление

Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
Если Java нужна, т.е. без неё не работают какие-либо сайты, онлайн-игры и т. п., скачайте и установите Java 7 Update 51. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.

**Yug110** · 04.03.2014, 15:47

Скрипт выполнил, лог прилагаю.03042014_154126.rar

**Vvvyg** · 04.03.2014, 15:52

Запустите OTL и нажмите кнопку CleanUp.

Архивы и вайлы с вирусом аккуратно удаляйте вручную.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Переходите к проверке других компьютеров в отдельных темах.

**Yug110** · 04.03.2014, 18:10

Сделал логи и для двух других компьютеров, которые соединины по сети с первым. Темы назвал так же, только с пометкой (1) и (2).

**CyberHelper** · 04.03.2014, 18:20

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Trojan.Win32.Chydo.axa на компе. (заявка № 156213)

Опции темы

Trojan.Win32.Chydo.axa на компе.

Сделал как писали.

Уведомление

Итог лечения

Похожие темы

Окно при загрузке рабочего стола [HEUR:Trojan.Win32.Generic, Trojan.Win32.Chydo.ccq ]

Win32.Chydo.qk как избавиться? [Trojan.Win32.Chydo.axa ]

trojan.win32.chydo.cyr

Trojan.win32.chydo, Worm.win32.autoit.xl на компе

Метки для этой темы

Ваши права в разделе