Вирус с файлами scr pif exe (опознаётся как Trojan.Win32.Chydo.ccq)

[Fanat]

Здравствуйте!

Заражён компьютер А ( он в сети напрямую с компьютером В, есть расшаренный общие папки с общим доступом). На компьютере А установлен KIS 14 000 4651 ©. На компьютере В установен ESET SS 7.

При работе заметил что являются в папке вирусные файлы с названиями "Не далять" "Свежак" и с копией названия папки (при этом папке назначается параметр "Скрытая") имеющие расширение scr pif exe. Через несколько секунд они исчезают - это Касперский их удаляет, за неделю ничего не изменилась.

Я отключил все расшаренные папки. Обновил базы и сделал полную проверку - Касперский нашёл 172 заражённых файла и удалил их - назвава вирус Trojan.Win32.Chydo.ccq.

Отчёты добавлены.

ПОдскажите справился Касперский с этим вирусом или чтото осталось?

Хотел заметить что выполняя стандартные  скрипты в AVZ он сканировал только диск С, а вирусы у меня на обоих на С и на Д

virusinfo_syscure.zipПолучение информации...

hijackthis.logПолучение информации...

virusinfo_syscheck.zipПолучение информации...

[Roman_Five]

1. надо ещё логи RSIT

2. отключить от сети оба компьютера и просканировать утановленными антивирусами со свежими базами все ЖД и сменные

3. с второго компа снять логи и открыть новую тему.

[Fanat]

  В 06.12.2013 в 16:00, Roman_Five сказал:

1. надо ещё логи RSIT

2. отключить от сети оба компьютера и просканировать утановленными антивирусами со свежими базами все ЖД и сменные

3. с второго компа снять логи и открыть новую тему.

 

1. Логи RSIT готовы

2. Отключил от сети, проверил все диски

3. Тему отдельную по второму ПК создам

второй лог

info.txtПолучение информации...

log.txtПолучение информации...

[Roman_Five]

такой прокси используется?

ProxyServer = http=127.0.0.1:2080

C:\Windows\loader.exe проверьте на virustotal.com

ссылку на результат проверки приложите.

 

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

[Fanat]

  В 09.12.2013 в 06:59, Roman_Five сказал:

такой прокси используется?

ProxyServer = http=127.0.0.1:2080

1. Прокси я не включал. Прокси не используется вообще. К компьютеру подключен 4G модем Мегафон (интернет расшарен для второго компьютера в сети - прямое подключение витой парой). Я проверял в настройках Internet Explorer там галочки использовать прокси нет.

 

 

  В 09.12.2013 в 06:59, Roman_Five сказал:

C:\Windows\loader.exe проверьте на virustotal.com

ссылку на результат проверки приложите.

2. Ссылка на результаты:

https://www.virustotal.com/ru/file/fc761228d8892545e813e763deac19105c3fce15ebd642f5332ad12217402ceb/analysis/

 

Имя файла: Windows Loader.exe Показатель выявления: 22 / 47

По всему: Activador de Windows 7, no malware

 

3. Логи  Malwarebytes' Anti-Malware прикладываю

MBAM-log-2013-12-09 (15-10-02).txtПолучение информации...

[Roman_Five]

с этим PC всё чисто.

 

смените все пароли (особенно банковские).

 

создавайте тему для второго.

 

для профилактики - http://virusinfo.info/showthread.php?t=73352

деинсталлируйте MBAM

[Fanat]

Выражаю благодарность!

Спасибо за оперативную и подробную помощь!

 

Сейчас выполню указанный скрипт и займусь вторым.

 

Подскажите это всётаки был троян который крадёт пароли?

[Fanat]

К сожалению ситуация повторилась

 

Опять по всей машине появляются и тут же удаляются файлы с расширениями pif exe scr с копиями названия папки.

Вижу 2 варианта, либо занесли с флешки, либо пролез через браузер Internet Explorer. IE прикрыл, установил альтернативный браузер.

 

1. Касперский KIS 14 00 4651 d с сегодняшними базами их детектирует как Trojan.Win32.Chydo.ccq. Удаляет их но они опять появляются в рандомных папках на всех локальных дисках.

2. Проверил последним DrWeb CureIT - он не нашёл ничего.

3. Полная проверка MBAM - выдала 176 заражений и удалила их.

4. Что интересно проверяю тут же Касперским - модуль полной проверки поверяет все диски и пишет что заражения нет, а в главном окне КИС уже висят 46 предупреждений о заражении!!

Т.е. полная проверка где проходит тут же заражается, за ней заражаются файлы и ещё до окончания проверки уже заражённы!

 

 

 

 

 

 

Добавил отчёт MBAB

virusinfo_syscheck.zipПолучение информации...

virusinfo_syscure.zipПолучение информации...

info.txtПолучение информации...

log.txtПолучение информации...

MBAM-log-2014-02-05 (15-26-42).txtПолучение информации...

[mike 1]

Логи из 8 сообщения это уже другой компьютер? 

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

 

Подробнее читайте в руководстве

 

Обнаруженные файлы:
C:\Users\Public\Public.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Libraries\Libraries.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Music\Music.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Recorded TV\Sample Media\Media.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\АвтоУралЦентр\АвтоУралЦентр.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\АвтоУралЦентр\договора старые\старые.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\Карданная передача\передача.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\Справка\Справка.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\УралЗапчасть\ДОГОВОРА\ДОГОВОРА.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\УралЗапчасть\Претензии\Претензии.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\УралЗапчасть\ПРИКАЗЫ\ПРИКАЗЫ.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\ЭЛЕКТРОННЫЕ КАТАЛОГИ\КАТАЛОГИ.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Гость.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\WebSlices~.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\Cache.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\02UQ5TJB\02UQ5TJB.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\LI8FUE1J\LI8FUE1J.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\XGZN6J6A\XGZN6J6A.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Internet Explorer\Explorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Media Player\Player.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\ru-RU.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\00011BDF\00011BDF.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Office\Groove\System\System.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Windows.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Caches\Caches.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Explorer\Explorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\GameExplorer\GameExplorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KDSKL6QF\KDSKL6QF.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NA0O5VBY\NA0O5VBY.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows Media\Media.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Temp\Temp.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Explorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Pinned.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\UserData\Low\Low.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Windows.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Cookies\Cookies.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IECompatCache\IECompatCache.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IECompatCache\Low\Low.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IETldCache\IETldCache.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IETldCache\Low\Low.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Libraries\Libraries.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Printer Shortcuts\Shortcuts.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\CustomDestinations.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\SendTo\SendTo.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Start Menu.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessories.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Downloads\Downloads.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Favorites\Favorites.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Links\Links.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Music\Music.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Pictures\Pictures.rar (Trojan.Chydo) -> Действие не было предпринято.
D:\1C-BASE\АвтоУралЦентр 2013-07-13\ExtForms\17233045.70\17233045.70.exe (Trojan.Chydo) -> Действие не было предпринято.

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

[Fanat]

Компьютер всё тот же.

После сканирования МБАМ выбрал "Remove Selected" ("Удалить выделенные"), программа сохранила ещё один лог (после удаления). Прилагаю.

Чуть позже просканирую ещё раз... но пока писал Каспер опять начал ругаться на очередные ЕХЕ

 

 

mbam-log-2014-02-05 (14-40-53).txtПолучение информации...

[mike 1]

Создайте отдельную тему для второго компьютера. Похоже вирус распространяется через общие ресурсы компьютера. 

[Fanat]

  В 05.02.2014 в 09:28, mike 1 сказал:

Создайте отдельную тему для второго компьютера. Похоже вирус распространяется через общие ресурсы компьютера. 

Тему создам, но на втором компьютере ESET 7 не находит ни одного вируса, и даже полная проверка MBAM показывает отсутствие вирусов!