-
Junior Member
- Вес репутации
- 38
Trojan.Win32.Chydo.axa на компе.
Добрый день. KIS постоянно ругается, указывает на вирус Trojan.Win32.Chydo.axa, пытается лечить, но после удаления , через некоторое время снова появляются файлы и архивы...( на которые он ругается), пробовал Kaspersky Virus Removal Toolhijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip, он часть находит, удаляет, но виснет , не досканировав до конца компьютер.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Yug110, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HijackThis:
Код:
O20 - AppInit_DLLs: ????
Отключите временно KIS 2012 и сделайте лог полного сканирования МВАМ. Не активируйте пробный период!
-
-
Junior Member
- Вес репутации
- 38
MBAM-log-2014-03-04 (12-03-15).txt
Сделал сканирование, лог файл прилагаю.
Также профиксил HijackThis, как рекомендовали.
-
Удалите в MBAM:
Код:
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Local\Webalta Toolbar (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Roaming\OpenCandy\ACC380E1A3C2488A9089DADC3407A663 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Local\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Sacura-1\AppData\Roaming\OpenCandy\ACC380E1A3C2488A9089DADC3407A663\hfza_2018.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantineEx(True);
QuarantineFile('C:\Users\Sacura-1\appdata\roaming\search~1\search~1.exe','');
DeleteFile('C:\Users\Sacura-1\appdata\roaming\search~1\search~1.exe','32');
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Другие компьютеры в сети есть? Ознакомьтесь с описанием вируса и принимайте соответствующие меры.
-
-
Junior Member
- Вес репутации
- 38
Сделал как отписали. Файл с карантином отправил.
В сети есть еще два компа.
Какае мои следующие шаги, подскажите?
-
Смените пароль администратора на компьютере, включите UAC, брандмауэр, прооверьте наличие уязвимостей и устраните их, в общем,
Выполните рекомендации после лечения.
Если с этого компьютера пользовались онлайновыми платёжными системами - смените пароли.
Скачайте утилиту OTL by OldTimer. Запустите OTL.EXE, установите галочки в следующих пунктах настройки:
Scan All Users
Include 64Bit Scans - в случае 64-разрядной системы;
Output: Minimal Output;
File Scans: Use Company-Name WhiteList и Skip Microsoft Files;
Lop Check;
Purity Check.
В окне File Age установите 30 days
Остальные параметры оставьте по умолчанию.
Скопируйте текст:
Код:
%USERPROFILE%\AppData\Local\*.url /S
%USERPROFILE%\AppData\Local\*.lnk /S
%PROGRAMFILES%\*.url /S
%PROGRAMFILES%\*.lnk /S
%ProgramFiles(x86)%\*.lnk /S
%ProgramFiles(x86)%\*.url /S
%ALLUSERSPROFILE%\ntuser.pol
%SystemRoot%\System32\GroupPolicy\Machine\Registry.pol
в окно Custom Scans/Fixes и нажмите Run Scan.
По окончании сканирования программа создаст в той же папке, где находится она сама, два файла: OTL.txt и Extras.txt. Упакуйте их в архив и прикрепите к своему следующему сообщению.
Для остальных компьютеров сделайте отдельные темы в этом разделе с логами, кроме AVZ и HijackThis сразу лог MBAM прилагайте.
-
-
Junior Member
- Вес репутации
- 38
Сделал как писали.
Сделал как писали. Прилагаю архив с файлами.OTL & Extras.rar
- - - Добавлено - - -
На диски D, в папках так же лежат архивы и файлы, созданные вирусом, как быть, удалять их в ручную или как? Просто их там в каждой папке одноименный архив или какой-нибудь файл с другим расширением лежит.
-
Отключите до перезагрузки антивирус, запустите OTL (В случае, если у Вас Windows Vista или 7, программу нужно запускать от имени администратора, через контекстное меню (правой клавишей мыши по файлу) "Запуск от имени администратора"!), скопируйте скрипт ниже в окно Custom Scans/Fixes, закройте все браузеры и нажмите Run Fix
Код:
:OTL
[2012.11.21 10:09:30 | 000,009,746 | ---- | M] () (No name found) -- C:\Users\Sacura-1\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\extensions\staged\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi
[2012.03.13 00:34:56 | 000,000,412 | ---- | M] () -- C:\Users\Sacura-1\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\searchplugins\webalta-search.xml
CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\2.8_0\
CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\2.9.3_0\
CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\2.9_0\
CHR - Extension: No name found = C:\Users\Sacura-1\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh\3.1_0\
[2013.07.17 12:54:14 | 000,000,000 | ---D | M] -- C:\Users\Sacura-1\AppData\Roaming\SearchIndexer
@Alternate Data Stream - 181 bytes -> C:\ProgramData\TEMP:DF623ED6
@Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:44504F07
:Files
MsiExec /X{26A24AE4-039D-4CA4-87B4-2F83217004FF} /quiet /c
recycler /alldrives
:Commands
[EMPTYTEMP]
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]
Компьютер перезагрузится и откроет в блокноте лог выполнения скрипта, прикрепите его к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 38
Скрипт выполнил, лог прилагаю.03042014_154126.rar
-
Запустите OTL и нажмите кнопку CleanUp.
Архивы и вайлы с вирусом аккуратно удаляйте вручную.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Переходите к проверке других компьютеров в отдельных темах.
-
-
Junior Member
- Вес репутации
- 38
Сделал логи и для двух других компьютеров, которые соединины по сети с первым. Темы назвал так же, только с пометкой (1) и (2).
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-