Решена Im-worm.win32.chydo.ccq

Legoss

Новый пользователь
Сообщения
17
Реакции
0
Баллы
1
Добрый день! Есть однораноговая сеть нп 15 ПК. Шесть из них просканированы KVRT, на всех обнаружен Im-worm.win32.chydo.ccq в количестве от двух до пяти тысяяч на каждом. Поможете с лечением?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,637
Реакции
1,712
Баллы
433
Эти отчеты пока не нужны. А нужен архив CollectionLog.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,637
Реакции
1,712
Баллы
433
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\docume~1\kab58~1\locals~1\temp\npzefl.exe');
 TerminateProcessByName('c:\windows\system32\apmeslfbwkhxszmnpla.exe');
 QuarantineFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\ctsmcxtroedvsbqtxvmlf.exe', '');
 QuarantineFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\gtoeqhztmythafqpp.exe', '');
 QuarantineFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\ndbujdyvrgevrznpspfd.exe .', '');
 QuarantineFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\ndbujdyvrgevrznpspfd.exe', '');
 QuarantineFile('c:\docume~1\kab58~1\locals~1\temp\npzefl.exe', '');
 QuarantineFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\zlfufvmfxicphlvt.exe .', '');
 QuarantineFile('C:\WINDOWS\system32\apmeslfbwkhxszmnpla.exe', '');
 QuarantineFile('C:\WINDOWS\system32\gtoeqhztmythafqpp.exe', '');
 QuarantineFile('C:\WINDOWS\system32\ndbujdyvrgevrznpspfd.exe', '');
 QuarantineFile('C:\WINDOWS\system32\pdzqdvojdqmbvbnnoj.exe', '');
 DeleteFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\ctsmcxtroedvsbqtxvmlf.exe', '32');
 DeleteFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\gtoeqhztmythafqpp.exe', '32');
 DeleteFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\ndbujdyvrgevrznpspfd.exe .', '32');
 DeleteFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\ndbujdyvrgevrznpspfd.exe', '32');
 DeleteFile('c:\docume~1\kab58~1\locals~1\temp\npzefl.exe', '');
 DeleteFile('c:\docume~1\kab58~1\locals~1\temp\npzefl.exe', '32');
 DeleteFile('C:\DOCUME~1\KAB58~1\LOCALS~1\Temp\zlfufvmfxicphlvt.exe .', '32');
 DeleteFile('C:\WINDOWS\system32\apmeslfbwkhxszmnpla.exe', '32');
 DeleteFile('C:\WINDOWS\system32\gtoeqhztmythafqpp.exe', '32');
 DeleteFile('C:\WINDOWS\system32\ndbujdyvrgevrznpspfd.exe', '32');
 DeleteFile('C:\WINDOWS\system32\pdzqdvojdqmbvbnnoj.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rbtgpdsjzialbd', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ubqagrdrekz', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'rzpahtgvjqgp', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'ufymwlbtkunzqtc', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gtoeqhztmythafqpp', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rbtgpdsjzialbd', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ubqagrdrekz', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'qzqckxlbqypzo', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'qzqckxlbqypzo', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gtoeqhztmythafqpp', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ubqagrdrekz', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'rzpahtgvjqgp', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'rzpahtgvjqgp', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'zlfufvmfxicphlvt', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rbtgpdsjzialbd', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ubqagrdrekz', 'x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(8);
 ExecuteRepair(10);
 ExecuteRepair(17);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Прикрепите к следующему сообщению свежий CollectionLog.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,637
Реакции
1,712
Баллы
433
Логи выглядят значительно лучше.

Соберите и прикрепите лог сканирования AdwCleaner, только используйте эту версию - https://safezone.cc/resources/13/
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,637
Реакции
1,712
Баллы
433
Очистите всё найденное. После перезагрузки отчет с символом [C0] покажите.
 

Legoss

Новый пользователь
Сообщения
17
Реакции
0
Баллы
1
Извините за задержку, были какие то проблемы с интернетом.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,637
Реакции
1,712
Баллы
433
Что сейчас с проблемой на этом компьютере?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,637
Реакции
1,712
Баллы
433
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
16,226
Реакции
12,919
Баллы
2,203
Пролечите флешки и отключите автозапуск со съемных носителей на всех машинах. ++++ обновление ПО и установка заплаток безопасности (какие не были установлены), а то будем лечить по кругу
Ваше?
C:\zftchrcpbg.rar
C:\Documents and Settings\kab 58\Мои документы\Default.rdp

Деинсталлируйте
DriverPack

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1214440339-823518204-682003330-1003\...\MountPoints2: {359a262c-130a-11e9-9a8f-7085c2764bc0} - G:\epzejbkpc.bat
    HKU\S-1-5-21-1214440339-823518204-682003330-1003\...\MountPoints2: {3eac485f-0f15-11e9-9a8b-7085c2764bc0} - F:\epzejbkpc.bat
    HKU\S-1-5-21-1214440339-823518204-682003330-1003\...\MountPoints2: {5534b3d9-fdcf-11e8-9a76-7085c2764bc0} - F:\qbjuhvgpdlb.bat
    HKU\S-1-5-21-1214440339-823518204-682003330-1003\...\MountPoints2: {701062cf-ee39-11e8-9a59-d4089c7e983e} - F:\epzejbkpc.bat
    HKU\S-1-5-21-1214440339-823518204-682003330-1003\...\MountPoints2: {847b5f89-f85d-11e8-9a70-7085c2764bc0} - F:\epzejbkpc.bat
    HKU\S-1-5-21-1214440339-823518204-682003330-1003\...\MountPoints2: {bcb43154-f2d1-11e8-9a66-7085c2764bc0} - F:\epzejbkpc.bat
    HKU\S-1-5-21-1214440339-823518204-682003330-1003\...\MountPoints2: {f68601d4-f92b-11e8-9a71-7085c2764bc0} - F:\glygktdpa.bat
    HKU\S-1-5-21-1214440339-823518204-682003330-1003\...\MountPoints2: {f68601da-f92b-11e8-9a71-7085c2764bc0} - F:\epzejbkpc.bat
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <==== ATTENTION
    2019-02-12 14:19 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\system32\gtoeqhztmythafqpp.exe
    2019-02-12 11:10 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\pdzqdvojdqmbvbnnoj.exe
    2019-02-12 11:10 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\ndbujdyvrgevrznpspfd.exe
    2019-02-12 11:10 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\gtoeqhztmythafqpp.exe
    2019-02-12 11:10 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\ctsmcxtroedvsbqtxvmlf.exe
    2019-02-12 10:56 - 2009-07-10 07:25 - 000602112 __RSH C:\WINDOWS\gtoeqhztmythafqpp.1
    2019-02-12 10:51 - 2009-07-10 07:25 - 000602112 __RSH C:\WINDOWS\system32\gtoeqhztmythafqpp.1
    2019-02-12 10:51 - 2009-07-10 07:25 - 000602112 __RSH C:\WINDOWS\gtoeqhztmythafqpp.e
    2019-02-12 10:48 - 2019-01-15 09:57 - 000593920 __RSH C:\WINDOWS\system32\gtoeqhztmythafqpp.e
    2019-02-12 10:46 - 2019-01-15 09:57 - 000593920 __RSH C:\WINDOWS\gtoeqhztmythafqpp.ex
    2019-02-12 09:09 - 2019-01-15 09:57 - 000593920 __RSH C:\WINDOWS\system32\gtoeqhztmythafqpp.ex
    2019-02-12 09:09 - 2019-01-15 09:57 - 000593920 __RSH C:\WINDOWS\____gtoeqhztmythafqpp.ex
    2019-02-12 09:09 - 2009-07-10 07:25 - 000602112 __RSH C:\WINDOWS\pdzqdvojdqmbvbnnoj.1
    2019-02-12 09:09 - 2009-07-10 07:25 - 000602112 __RSH C:\WINDOWS\ndbujdyvrgevrznpspfd.1
    2019-02-12 09:09 - 2009-07-10 07:25 - 000602112 __RSH C:\WINDOWS\ctsmcxtroedvsbqtxvmlf.1
    2019-02-12 09:09 - 2009-07-10 07:25 - 000602112 ____R C:\WINDOWS\system32\pdzqdvojdqmbvbnnoj.1
    2019-02-12 09:09 - 2009-07-10 07:25 - 000602112 ____R C:\WINDOWS\system32\ndbujdyvrgevrznpspfd.1
    2019-02-12 09:09 - 2009-07-10 07:25 - 000602112 ____R C:\WINDOWS\system32\ctsmcxtroedvsbqtxvmlf.1
    2019-02-12 09:09 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\zlfufvmfxicphlvt.exe
    2019-02-12 09:09 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\tllgxtqpneexvfvzedvvqh.exe
    2019-02-12 09:09 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\system32\zlfufvmfxicphlvt.exe
    2019-02-12 09:09 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\system32\tllgxtqpneexvfvzedvvqh.exe
    2019-02-12 09:09 - 2009-04-20 09:17 - 000602112 __RSH C:\WINDOWS\apmeslfbwkhxszmnpla.exe
    2019-02-12 16:06 - 2018-12-06 14:03 - 000000260 ____H C:\WINDOWS\system32\cdmqqvbjqqzbibanbjktxxciqxx.ipi
    2019-02-12 16:06 - 2018-12-06 14:03 - 000000260 ____H C:\WINDOWS\cdmqqvbjqqzbibanbjktxxciqxx.ipi
    2019-02-12 16:06 - 2018-12-06 14:03 - 000000260 ____H C:\Program Files\cdmqqvbjqqzbibanbjktxxciqxx.ipi
    2019-02-12 16:06 - 2018-12-06 14:03 - 000000260 ____H C:\Documents and Settings\kab 58\Local Settings\Application Data\cdmqqvbjqqzbibanbjktxxciqxx.ipi
    2018-12-06 14:03 - 2019-02-12 16:06 - 000000260 ____H () C:\Program Files\cdmqqvbjqqzbibanbjktxxciqxx.ipi
    2018-12-06 11:11 - 2018-12-06 11:11 - 000007324 _____ () C:\Program Files\ps.js
    2018-12-06 14:03 - 2018-12-06 14:03 - 000004008 ____H () C:\Program Files\zlfufvmfxicphlvtslxrgrhyrjuobtxhfexjds.tkd
    2018-12-06 14:03 - 2019-02-12 16:06 - 000000260 ____H () C:\Documents and Settings\kab 58\Local Settings\Application Data\cdmqqvbjqqzbibanbjktxxciqxx.ipi
    2018-12-06 14:03 - 2018-12-06 14:03 - 000004008 ____H () C:\Documents and Settings\kab 58\Local Settings\Application Data\zlfufvmfxicphlvtslxrgrhyrjuobtxhfexjds.tkd
    2019-02-12 14:19 - 2019-02-12 14:19 - 000327680 _____ () C:\Documents and Settings\kab 58\Local Settings\Temp\tbonslfsanm.exe
    2019-02-12 14:19 - 2009-04-20 09:17 - 000602112 __RSH () C:\Documents and Settings\kab 58\Local Settings\Temp\tllgxtqpneexvfvzedvvqh.exe
    Task: C:\WINDOWS\Tasks\At1.job => C:\Program Files\DriverPack Notifier\DriverPackNotifier.exe
    Task: C:\WINDOWS\Tasks\At2.job => C:\Program Files\DriverPack Notifier\DriverPackNotifier.exe
    Task: C:\WINDOWS\Tasks\At3.job => C:\Program Files\DriverPack Notifier\DriverPackNotifier.exe
    Task: C:\WINDOWS\Tasks\At4.job => C:\Program Files\DriverPack Notifier\DriverPackNotifier.exe
    MSCONFIG\startupreg: gtoeqhztmythafqpp => 
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Legoss

Новый пользователь
Сообщения
17
Реакции
0
Баллы
1
C:\zftchrcpbg.rar
C:\Documents and Settings\kab 58\Мои документы\Default.rdp можно просто удалить?

DriverPack деинсталлирован.
 

akok

Команда форума
Администратор
Сообщения
16,226
Реакции
12,919
Баллы
2,203
Если не ваше, то да.
 

akok

Команда форума
Администратор
Сообщения
16,226
Реакции
12,919
Баллы
2,203
Что с проблемой?
 
Сверху Снизу