Перейти к содержанию

Вирус с файлами scr pif exe (опознаётся как Trojan.Win32.Chydo.ccq)


Рекомендуемые сообщения

Здравствуйте!

Заражён компьютер А ( он в сети напрямую с компьютером В, есть расшаренный общие папки с общим доступом). На компьютере А установлен KIS 14 000 4651 ©. На компьютере В установен ESET SS 7.

При работе заметил что являются в папке вирусные файлы с названиями "Не далять" "Свежак" и с копией названия папки (при этом папке назначается параметр "Скрытая") имеющие расширение scr pif exe. Через несколько секунд они исчезают - это Касперский их удаляет, за неделю ничего не изменилась.

Я отключил все расшаренные папки. Обновил базы и сделал полную проверку - Касперский нашёл 172 заражённых файла и удалил их - назвава вирус Trojan.Win32.Chydo.ccq.

Отчёты добавлены.

ПОдскажите справился Касперский с этим вирусом или чтото осталось?


Хотел заметить что выполняя стандартные  скрипты в AVZ он сканировал только диск С, а вирусы у меня на обоих на С и на Д

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

Ссылка на сообщение
Поделиться на другие сайты

1. надо ещё логи RSIT

2. отключить от сети оба компьютера и просканировать утановленными антивирусами со свежими базами все ЖД и сменные

3. с второго компа снять логи и открыть новую тему.

Ссылка на сообщение
Поделиться на другие сайты

1. надо ещё логи RSIT

2. отключить от сети оба компьютера и просканировать утановленными антивирусами со свежими базами все ЖД и сменные

3. с второго компа снять логи и открыть новую тему.

 

1. Логи RSIT готовы

2. Отключил от сети, проверил все диски

3. Тему отдельную по второму ПК создам

второй лог

info.txt

log.txt

Ссылка на сообщение
Поделиться на другие сайты

такой прокси используется?

ProxyServer = http=127.0.0.1:2080

C:\Windows\loader.exe проверьте на virustotal.com

ссылку на результат проверки приложите.

 

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

такой прокси используется?

ProxyServer = http=127.0.0.1:2080

1. Прокси я не включал. Прокси не используется вообще. К компьютеру подключен 4G модем Мегафон (интернет расшарен для второго компьютера в сети - прямое подключение витой парой). Я проверял в настройках Internet Explorer там галочки использовать прокси нет.

 

 

C:\Windows\loader.exe проверьте на virustotal.com

ссылку на результат проверки приложите.

2. Ссылка на результаты:

https://www.virustotal.com/ru/file/fc761228d8892545e813e763deac19105c3fce15ebd642f5332ad12217402ceb/analysis/

 

Имя файла: Windows Loader.exe Показатель выявления: 22 / 47

По всему: Activador de Windows 7, no malware

 

3. Логи  Malwarebytes' Anti-Malware прикладываю

MBAM-log-2013-12-09 (15-10-02).txt

Ссылка на сообщение
Поделиться на другие сайты

с этим PC всё чисто.

 

смените все пароли (особенно банковские).

 

создавайте тему для второго.

 

для профилактики - http://virusinfo.info/showthread.php?t=73352


деинсталлируйте MBAM

Ссылка на сообщение
Поделиться на другие сайты

Выражаю благодарность!

Спасибо за оперативную и подробную помощь!

 

Сейчас выполню указанный скрипт и займусь вторым.

 

Подскажите это всётаки был троян который крадёт пароли?

Ссылка на сообщение
Поделиться на другие сайты
  • 1 month later...

К сожалению ситуация повторилась :(

 

Опять по всей машине появляются и тут же удаляются файлы с расширениями pif exe scr с копиями названия папки.

Вижу 2 варианта, либо занесли с флешки, либо пролез через браузер Internet Explorer. IE прикрыл, установил альтернативный браузер.

 

1. Касперский KIS 14 00 4651 d с сегодняшними базами их детектирует как Trojan.Win32.Chydo.ccq. Удаляет их но они опять появляются в рандомных папках на всех локальных дисках.

2. Проверил последним DrWeb CureIT - он не нашёл ничего.

3. Полная проверка MBAM - выдала 176 заражений и удалила их.

4. Что интересно проверяю тут же Касперским - модуль полной проверки поверяет все диски и пишет что заражения нет, а в главном окне КИС уже висят 46 предупреждений о заражении!!

Т.е. полная проверка где проходит тут же заражается, за ней заражаются файлы и ещё до окончания проверки уже заражённы!

 

 

 

 

 

 


Добавил отчёт MBAB

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

MBAM-log-2014-02-05 (15-26-42).txt

Ссылка на сообщение
Поделиться на другие сайты

Логи из 8 сообщения это уже другой компьютер? 

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
 
Подробнее читайте в руководстве
 
Обнаруженные файлы:
C:\Users\Public\Public.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Libraries\Libraries.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Music\Music.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Public\Recorded TV\Sample Media\Media.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\АвтоУралЦентр\АвтоУралЦентр.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\АвтоУралЦентр\договора старые\старые.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\Карданная передача\передача.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\Справка\Справка.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\УралЗапчасть\ДОГОВОРА\ДОГОВОРА.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\УралЗапчасть\Претензии\Претензии.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\УралЗапчасть\ПРИКАЗЫ\ПРИКАЗЫ.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\UralC\Desktop\ЭЛЕКТРОННЫЕ КАТАЛОГИ\КАТАЛОГИ.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Гость.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\WebSlices~.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\Cache.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\02UQ5TJB\02UQ5TJB.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\LI8FUE1J\LI8FUE1J.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Feeds Cache\XGZN6J6A\XGZN6J6A.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Internet Explorer\Explorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Media Player\Player.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\ru-RU.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\00011BDF\00011BDF.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Office\Groove\System\System.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Windows.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Caches\Caches.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Explorer\Explorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\GameExplorer\GameExplorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KDSKL6QF\KDSKL6QF.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NA0O5VBY\NA0O5VBY.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Microsoft\Windows Media\Media.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Local\Temp\Temp.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Explorer.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Pinned.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Internet Explorer\UserData\Low\Low.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Windows.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Cookies\Cookies.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IECompatCache\IECompatCache.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IECompatCache\Low\Low.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IETldCache\IETldCache.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\IETldCache\Low\Low.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Libraries\Libraries.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Printer Shortcuts\Shortcuts.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\CustomDestinations.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\SendTo\SendTo.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Start Menu.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessories.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Downloads\Downloads.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Favorites\Favorites.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Links\Links.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Music\Music.rar (Trojan.Chydo) -> Действие не было предпринято.
C:\Users\Гость\Pictures\Pictures.rar (Trojan.Chydo) -> Действие не было предпринято.
D:\1C-BASE\АвтоУралЦентр 2013-07-13\ExtForms\17233045.70\17233045.70.exe (Trojan.Chydo) -> Действие не было предпринято.
 
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 
Ссылка на сообщение
Поделиться на другие сайты

Компьютер всё тот же.

После сканирования МБАМ выбрал "Remove Selected" ("Удалить выделенные"), программа сохранила ещё один лог (после удаления). Прилагаю.

Чуть позже просканирую ещё раз... но пока писал Каспер опять начал ругаться на очередные ЕХЕ :(

 

 

mbam-log-2014-02-05 (14-40-53).txt

Ссылка на сообщение
Поделиться на другие сайты

Создайте отдельную тему для второго компьютера. Похоже вирус распространяется через общие ресурсы компьютера. 

Ссылка на сообщение
Поделиться на другие сайты

Создайте отдельную тему для второго компьютера. Похоже вирус распространяется через общие ресурсы компьютера. 

Тему создам, но на втором компьютере ESET 7 не находит ни одного вируса, и даже полная проверка MBAM показывает отсутствие вирусов!

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Hoarrr
      Доброго времени суток!
      Последний Kaspersky Total Security постоянно находит в памяти MEM:Trojan.Win32.SEPEH.gen. Выбор опции лечение с перезагрузкой не помогает. KTS что-то делает, потом перезагружает компьютер, рапортует о том, что все вылечено, но через какое-то время выдает сообщение об обнаружении MEM:Trojan.Win32.SEPEH.gen в системной памяти. При повторном запуске полного сканирования с максимальными настройками безопасности в системной памяти то находит MEM:Trojan.Win32.SEPEH.gen, то не находит, будто бы через раз это делает.
    • От mirror1
      Доброго дня.
      Сорян , если тему скинул не в тот раздел , не шарю в этом
      В общем , есть файлы : 1.exe , 2.exe - это своего рода приватный софт  , скинутый мне на проверку, перед покупкой(он писался не лично для меня. Распространяется узкому кругу лиц по знакомству)
      закинул я их значит на VT и вижу это :
      Это 1.exe - https://prnt.sc/vnrbh7
      Это 2.exe - https://prnt.sc/vnrb4x

      Теперь сомневаюсь в покупке, может кто-то объяснить что там?
      Я в этом 0
       
      Сообщение от модератора kmscom Тема перенесена из раздела Помощь в удалении вирусов  
    • От nikita_shs
      Здравствуйте, не устанавливается антивирус, судя по диспетчеру задач он после открытия сразу закрывается, нашел в файле хост заблокированные сайт антивирусов и форумов, все почистил, доктором вебом удалил вирусы но касперский все равно не устанавливается, также в стандартном антивирусе виндовс в исключении находится 3 папки, которые никак не удаляются от туда 
      Прикладываю логи
       
      CollectionLog-2020.11.23-19.55.zip
    • От xiaomi
      Установил с рутрекера софтину и комп зажил своей жизнью
       
      Прикладываю автологи
      CollectionLog-2020.11.15-00.55.rar
    • От Peter15
      При загрузке страницы входа в Chrome выскакивает предупреждение. Игнорировать?

×
×
  • Создать...