Пострадали от IM-Worm.Win32.Chydo.ccq, Trojan.WIn32/Killav и кучки червей. [IM-Worm.Win32.Chydo.ccq, Trojan.Win32.Vilsel.ofn ]

**progersa** · 20.07.2018, 17:15

Здравствуйте уважаемые безопасники.
В сети, около 40 компов, разгулялись троянцы антивирусы переодически натыкаются на:
IM-Worm.Win32.Chydo.ccq,
not-a-virus:HEUR:AdWare.Script.Generic,
HEUR:Trojan.WinLNK.StartPage.ab.
Trojan.WIn32/Killav
Trojan.WIn32/Popupper
Trojan.WIn32/Dynamer!ac
и др.
Проявление в крайне высокой загрузки оперативы и цп процессами svchost и system, появление в папках файлов rar, exe, bat, scr и др.
Компы в основном очень древние, подавляюще WinXP, поэтому со штатными антивирусами и системными обновлениями очень туго, хотя на более мощных отражающей способности KFA и WinDefender, не хватает. Сканирование kvrt, krd, cureit, drveb, avz, malvarebytes, windows defender отлавливает практически только безобидные кряки.
Есть компы которые крайне нежелательно отключать от сети более чем на 2 часа, всю сеть одновременно положить практически нереально.
Помогите, что можно предпринять, высылаю логи по каждому компу.
Комп №6 При копировании с него pdf по сети на других ругаются антивири

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.07.2018, 17:16

Уважаемый(ая) progersa, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 20.07.2018, 18:53

Сделайте лог МВАМ

**progersa** · 24.07.2018, 15:45

Ситуация аналогичная машине https://virusinfo.info/showthread.ph...58#post1485458
Сворачивание в панель mb3-setup-legacywos-3.5.1.2522-1.0.365-1.0.5292.exe и mb3-setup-consumer-3.5.1.2522-1.0.391-1.0.6007.exe запуск аналогичных процессов с расширением tmp, абракадабра в процессах после завершения запускающаяся под другим именем и exe в доступных на запись шарах.
Вложение 672780

**thyrex** · 24.07.2018, 15:52

В первых логах этого нет, так что давайте лог МВАМ

**progersa** · 25.07.2018, 08:49

MBAM вроде установился но не дает запуститься, высылаю новый автолог
В файлообменнике сайта уже нету места, поэтому прикрепил лог ссылкой или нужно создавать новый аккаунт?
https://cloud.mail.ru/public/7LJb/ZG49bsAKF

**thyrex** · 25.07.2018, 10:16

Старые вложения удалите через Мой кабинет - Вложения.

Здесь тоже в скрипте будет отключен автозапуск файлов со всех устройств, кроме CD/DVD-привода.

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\Temp\vvshkdzuneyyvybjloola.exe','');
 QuarantineFile('C:\WINDOWS\system32\zvozynfwlyokdcbfd.exe','');
 QuarantineFile('D:\ndqvoxjudku.bat','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\ndqvoxjudku.bat','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\snfpnbsiwixskigj.exe','');
 QuarantineFile('C:\WINDOWS\Temp\ifzllbumcqheyyydcc.exe','');
 QuarantineFile('C:\WINDOWS\Temp\gfbprjeyqgzyuwyfgihd.exe','');
 QuarantineFile('C:\WINDOWS\system32\ifzllbumcqheyyydcc.exe','');
 QuarantineFile('C:\WINDOWS\Temp\trmzarlevkcavwxddec.exe','');
 QuarantineFile('C:\WINDOWS\system32\vvshkdzuneyyvybjloola.exe','');
 QuarantineFile('C:\WINDOWS\Temp\snfpnbsiwixskigj.exe .','');
 TerminateProcessByName('c:\windows\temp\vfmly.exe');
 QuarantineFile('c:\windows\temp\vfmly.exe','');
 TerminateProcessByName('c:\windows\temp\snfpnbsiwixskigj.exe');
 QuarantineFile('c:\windows\temp\snfpnbsiwixskigj.exe','');
 DeleteFile('c:\windows\temp\snfpnbsiwixskigj.exe','32');
 DeleteFile('c:\windows\temp\vfmly.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ivfhxdmu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kdtbxjymyivoea');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','znybszjsz');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','jbqxsdrepykcr');
 DeleteFile('C:\WINDOWS\Temp\snfpnbsiwixskigj.exe .','32');
 DeleteFile('C:\WINDOWS\system32\vvshkdzuneyyvybjloola.exe','32');
 DeleteFile('C:\WINDOWS\Temp\trmzarlevkcavwxddec.exe','32');
 DeleteFile('C:\WINDOWS\system32\ifzllbumcqheyyydcc.exe','32');
 DeleteFile('C:\WINDOWS\Temp\gfbprjeyqgzyuwyfgihd.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','znybszjsz');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','kbpvpzmyiqbs');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ivfhxdmu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ndqvoxjudku');
 DeleteFile('C:\WINDOWS\Temp\ifzllbumcqheyyydcc.exe','32');
 DeleteFile('C:\WINDOWS\system32\snfpnbsiwixskigj.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','shtxpxisag');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','tfopejr');
 DeleteFile('C:\autorun.inf','32');
 DeleteFile('C:\ndqvoxjudku.bat','32');
 DeleteFile('D:\autorun.inf','32');
 DeleteFile('D:\ndqvoxjudku.bat','32');
 DeleteFile('C:\WINDOWS\system32\zvozynfwlyokdcbfd.exe','32');
 DeleteFile('C:\WINDOWS\Temp\vvshkdzuneyyvybjloola.exe','32');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

**progersa** · 25.07.2018, 15:50

Отправил карантин
После чистки отработали все сканеры, у MBAMа порядка 900 подозрений включая малву, автораны из процессов вроде ушли.

**thyrex** · 25.07.2018, 17:11

В карантин МВАМ все, кроме

Код:

PUM.Optional.LowRiskFileTypes, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, No Action By User, [6953], [251589],1.0.6059
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-21-1957994488-838170752-1177238915-1004\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, No Action By User, [6953], [251589],1.0.6059
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, No Action By User, [6953], [251589],1.0.6059
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LOWRISKFILETYPES, No Action By User, [6953], [251589],1.0.6059

PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, No Action By User, [12969], [293295],1.0.6059
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, No Action By User, [12969], [293296],1.0.6059
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, No Action By User, [12969], [293294],1.0.6059

RiskWare.HidCon.Drop, C:\PROGRAM FILES\MAGICLOGON\HIDCON.EXE, No Action By User, [8907], [353147],1.0.6059
RiskWare.HidCon.Drop, C:\WINDOWS\SYSTEM32\HIDCON.EXE, No Action By User, [8907], [353147],1.0.6059

**CyberHelper** · 25.07.2018, 17:21

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 45
В ходе лечения обнаружены вредоносные программы:
1. c:\ndqvoxjudku.bat - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
2. c:\windows\system32\ifzllbumcqheyyydcc.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
3. c:\windows\system32\snfpnbsiwixskigj.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
4. c:\windows\system32\vvshkdzuneyyvybjloola.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
5. c:\windows\system32\zvozynfwlyokdcbfd.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
6. c:\windows\temp\gfbprjeyqgzyuwyfgihd.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
7. c:\windows\temp\ifzllbumcqheyyydcc.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
8. c:\windows\temp\snfpnbsiwixskigj.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
9. c:\windows\temp\snfpnbsiwixskigj.exe . - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
10. c:\windows\temp\trmzarlevkcavwxddec.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
11. c:\windows\temp\vfmly.exe - Trojan.Win32.Vilsel.ofn ( BitDefender: Gen:Variant.Pykspa.1 )
12. c:\windows\temp\vvshkdzuneyyvybjloola.exe - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )
13. d:\ndqvoxjudku.bat - IM-Worm.Win32.Chydo.ccq ( BitDefender: Dropped:Worm.Generic.325054 )

Пострадали от IM-Worm.Win32.Chydo.ccq, Trojan.WIn32/Killav и кучки червей. [IM-Worm.Win32.Chydo.ccq, Trojan.Win32.Vilsel.ofn ] (заявка № 219679)

Опции темы