Перейти к содержанию

Вирус с файлами scr pif exe (опознаётся как Trojan.Win32.Chydo.ccq)


Рекомендуемые сообщения

Здравствуйте!

Заражён компьютер А ( он в сети напрямую с компьютером В, есть расшаренный общие папки с общим доступом). На компьютере А установлен KIS 14 000 4651 ©. На компьютере В установен ESET SS 7.

При работе заметил что являются в папке вирусные файлы с названиями "Не далять" "Свежак" и с копией названия папки (при этом папке назначается параметр "Скрытая") имеющие расширение scr pif exe. Через несколько секунд они исчезают - это Касперский их удаляет, за неделю ничего не изменилась.

Я отключил все расшаренные папки. Обновил базы и сделал полную проверку - Касперский нашёл 172 заражённых файла и удалил их - назвава вирус Trojan.Win32.Chydo.ccq.

Отчёты добавлены.

ПОдскажите справился Касперский с этим вирусом или чтото осталось?


Хотел заметить что выполняя стандартные  скрипты в AVZ он сканировал только диск С, а вирусы у меня на обоих на С и на Д

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

Ссылка на сообщение
Поделиться на другие сайты

1. надо ещё логи RSIT

2. отключить от сети оба компьютера и просканировать утановленными антивирусами со свежими базами все ЖД и сменные

3. с второго компа снять логи и открыть новую тему.

Ссылка на сообщение
Поделиться на другие сайты

1. надо ещё логи RSIT

2. отключить от сети оба компьютера и просканировать утановленными антивирусами со свежими базами все ЖД и сменные

3. с второго компа снять логи и открыть новую тему.

 

1. Логи RSIT готовы

2. Отключил от сети, проверил все диски

3. Тему отдельную по второму ПК создам

второй лог

info.txt

log.txt

Ссылка на сообщение
Поделиться на другие сайты

такой прокси используется?

ProxyServer = http=127.0.0.1:2080

C:\Windows\loader.exe проверьте на virustotal.com

ссылку на результат проверки приложите.

 

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

такой прокси используется?

ProxyServer = http=127.0.0.1:2080

1. Прокси я не включал. Прокси не используется вообще. К компьютеру подключен 4G модем Мегафон (интернет расшарен для второго компьютера в сети - прямое подключение витой парой). Я проверял в настройках Internet Explorer там галочки использовать прокси нет.

 

 

C:\Windows\loader.exe проверьте на virustotal.com

ссылку на результат проверки приложите.

2. Ссылка на результаты:

https://www.virustotal.com/ru/file/fc761228d8892545e813e763deac19105c3fce15ebd642f5332ad12217402ceb/analysis/

 

Имя файла: Windows Loader.exe Показатель выявления: 22 / 47

По всему: Activador de Windows 7, no malware

 

3. Логи  Malwarebytes' Anti-Malware прикладываю

MBAM-log-2013-12-09 (15-10-02).txt

Ссылка на сообщение
Поделиться на другие сайты

с этим PC всё чисто.

 

смените все пароли (особенно банковские).

 

создавайте тему для второго.

 

для профилактики - http://virusinfo.info/showthread.php?t=73352


деинсталлируйте MBAM

Ссылка на сообщение
Поделиться на другие сайты

Выражаю благодарность!

Спасибо за оперативную и подробную помощь!

 

Сейчас выполню указанный скрипт и займусь вторым.

 

Подскажите это всётаки был троян который крадёт пароли?

Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...

К сожалению ситуация повторилась :(

 

Опять по всей машине появляются и тут же удаляются файлы с расширениями pif exe scr с копиями названия папки.

Вижу 2 варианта, либо занесли с флешки, либо пролез через браузер Internet Explorer. IE прикрыл, установил альтернативный браузер.

 

1. Касперский KIS 14 00 4651 d с сегодняшними базами их детектирует как Trojan.Win32.Chydo.ccq. Удаляет их но они опять появляются в рандомных папках на всех локальных дисках.

2. Проверил последним DrWeb CureIT - он не нашёл ничего.

3. Полная проверка MBAM - выдала 176 заражений и удалила их.

4. Что интересно проверяю тут же Касперским - модуль полной проверки поверяет все диски и пишет что заражения нет, а в главном окне КИС уже висят 46 предупреждений о заражении!!

Т.е. полная проверка где проходит тут же заражается, за ней заражаются файлы и ещё до окончания проверки уже заражённы!

 

 

 

 

 

 


Добавил отчёт MBAB

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

MBAM-log-2014-02-05 (15-26-42).txt

Ссылка на сообщение
Поделиться на другие сайты

Логи из 8 сообщения это уже другой компьютер? 

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
 
Подробнее читайте в руководстве
 
Обнаруженные файлы:
C:\Users\Public\Public.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Libraries\Libraries.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Music\Music.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Recorded TV\Sample Media\Media.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\АвтоУралЦентр\АвтоУралЦентр.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\АвтоУралЦентр\договора старые\старые.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\Карданная передача\передача.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\Справка\Справка.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\УралЗапчасть\ДОГОВОРА\ДОГОВОРА.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\УралЗапчасть\Претензии\Претензии.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\УралЗапчасть\ПРИКАЗЫ\ПРИКАЗЫ.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\ЭЛЕКТРОННЫЕ КАТАЛОГИ\КАТАЛОГИ.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Гость.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\WebSlices~.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\Cache.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\02UQ5TJB\02UQ5TJB.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\LI8FUE1J\LI8FUE1J.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\XGZN6J6A\XGZN6J6A.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Internet Explorer\Explorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Media Player\Player.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\ru-RU.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\00011BDF\00011BDF.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Office\Groove\System\System.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Windows.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Caches\Caches.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Explorer\Explorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\GameExplorer\GameExplorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KDSKL6QF\KDSKL6QF.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NA0O5VBY\NA0O5VBY.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows Media\Media.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Temp\Temp.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Explorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Pinned.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\UserData\Low\Low.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Windows.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Cookies\Cookies.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IECompatCache\IECompatCache.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IECompatCache\Low\Low.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IETldCache\IETldCache.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IETldCache\Low\Low.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Libraries\Libraries.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Printer Shortcuts\Shortcuts.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\CustomDestinations.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\SendTo\SendTo.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Start Menu.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessories.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Downloads\Downloads.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Favorites\Favorites.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Links\Links.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Music\Music.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Pictures\Pictures.rar (Trojan.Chydo) -> Действие не было предпринято.
D:\1C-BASE\АвтоУралЦентр 2013-07-13\ExtForms\17233045.70\17233045.70.exe (Trojan.Chydo) -> Действие не было предпринято.
 
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 
Ссылка на сообщение
Поделиться на другие сайты

Компьютер всё тот же.

После сканирования МБАМ выбрал "Remove Selected" ("Удалить выделенные"), программа сохранила ещё один лог (после удаления). Прилагаю.

Чуть позже просканирую ещё раз... но пока писал Каспер опять начал ругаться на очередные ЕХЕ :(

 

 

mbam-log-2014-02-05 (14-40-53).txt

Ссылка на сообщение
Поделиться на другие сайты

Создайте отдельную тему для второго компьютера. Похоже вирус распространяется через общие ресурсы компьютера. 

Ссылка на сообщение
Поделиться на другие сайты

Создайте отдельную тему для второго компьютера. Похоже вирус распространяется через общие ресурсы компьютера. 

Тему создам, но на втором компьютере ESET 7 не находит ни одного вируса, и даже полная проверка MBAM показывает отсутствие вирусов!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От m1hazka
      Вопрос про вирус-стиллер AzoRULT,ТОЛЬКО ПОНИМАЮЩИЕ ЛЮДИ.
      Сегодня сделал с помощью Мicrosoft Defender полную проверку, под конец он нашел вирус Trojan.Win32Azorult,про азорулта я уже прочитал, вопрос в том как его полностью удалить, и ВОЗМОЖНО ЛИ ИЗБАВИТЬСЯ ОТ ЭТОГО ВИРУСА ПОСРЕДСТВОМ ПЕРЕУСТАНОВИТЬ ВИНДУ, так же появилась странная учётная запись с ником john, увидел ее сначало через реестр в SpecialAccounts,значение стояло на 0,отсюда я сделал вывод что она была скрыта, так же смотрел то, что вирус сделал это учётную запись администратором, значение я поставил на 1 чтобы она отображалась и удалил её,но потом зашёл в центр учётных записей, просто ради интереса нажал "Изменить тип учётной записи " ,и что я вижу- моя учётная запись с обычными правами, права администратора поставить нельзя, так же заметил что вирус не даёт зайти в некоторые службы Виндоус, например gpedit.msc ввожу через win + r, закрывается спустя 1-2 секунды, ещё вирус я так понял заблокировал мне доступ на сайты некоторых антивирусов, Касперский я не могу установить из-за того, что нету прав администратора, на ДР. Веб курилку не пускает, пишет что сайт недоступен Что делать дальше не знаю, буду премного благодарен, тем кто разбирается.
    • От Ytkaaa
      Здравствуйте, возник вопрос: как понять что на компьютере Вредоносное ПО типа RAT или троян, и как от этого защититься?
       
      И можно ли сделать сканирование security cloud/KVRT/malwarebytes и быть спокойным на это счет?
    • От Oxigen4ik
      Здравствуйте, недавно решил провести проверку пк и увидел что установлен троян, читал в интернете что этот троян ворует только пароли а так он безвредный(но я так не думаю.

    • От Dmitry Nevajno1
      Добрый день, Kaspersky Endpoint Security, начал выдавать активную угрозу "Trojan.Win32.SEPEH.gen". Выполняли обновления Windows, проверял adwcleaner'ом, толку ноль. Из за него сбоит сервер "Экран смерти". Как быть?

    • От Катам
      Доброго времени суток.
      Был взлом аккаунта instagram, подумал утечка данных, начал проверять компы (у меня их 3 шт):
      Утилита AVZ обнаружила порядочное количество Rootkit.
      Cureit - обнаружил изменения в файле Hosts и исправил.
      Произошло это в конце июля. 
       
      Последнее время wi-fi начал самопроизвольно отключаться и подключаться 
      Комп стационарный с wi-fi адаптером TP-link.
      Сегодня 20.08.2020 провел проверку, Kaspersky Virus Removal Tool 2015; - обнаружился Trojan.Multi.BroSubsc.gen 
      Cureit - не обнаружил ничего.
       
      Вопрос с множеством Rootkit остается открытым. Так же прошу помочь мне разобраться с проблемой Wi-fi это проблема создана заражением внесшим изменения в систему или это проблема железа. 
      Отчет AutoLogger.exe - прилагаю
       
      CollectionLog-2020.08.20-21.59.zip
×
×
  • Создать...