Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

Вирусы, падают программы. [Backdoor.Win32.Small.lhd ] (заявка № 146736)

  1. #1
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54

    Вирусы, падают программы. [Backdoor.Win32.Small.lhd ]

    Началось все с того, что перестали работать браузеры. Причем все одноврменно.
    Хром, Сафари, Опера, IE падали даже не запускаясь. Работала только Мозилла и то, с зависаниями.
    Хорошо, что я писал свой браузер - это был мой единственный нормальный выход в интернет.
    Скачал CureIt, Авз и т.д.
    После сканирования удалено было около 50 файлов. Браузеры запустились. Но проблема полностью не ушла.
    Помимо неработающих браузеров - перестала запускаться mysql база данных на локальном сервере.
    Так же Аваст постоянно ругался на этот mysql.exe
    Ну думаю, ладно, установлю другую версию (использую сборку OpenServer в качестве локального веб-сервера.)
    Переключил сервер на другую mysql базу.
    Ну думаю, браузеры запустились, mysql я другой поставил - должно быть все ок. Но не тут-то было.
    Как я запускаю локальный сервер - через некоторое время снова Avast начинает ругаться на mysql.exe
    Он пытается создать/изменить/запустить файлы.
    Поковырявшись немного, посмотрев кто-кого запускает, у кого какие активные соединения - вот что нашел.
    В корне диска C лежит файл ksbinstaller_s_95_10676.exe. В свойствах у него напсиано "Текущая дериктория" и тут путь к папке, где лежит "mysql.exe". Обратил внимание на этот файл, поскольку в диспетчере возле него куча китайских иероглифов.
    На сайте macaffee нашел инфо про то, что существует такой вирус ksbinstaller.exe и лежит обычно в корне диска Ц.
    Как я понял, он обращается к mysql.exe, который в свою очередь, когда Avast его пропускает создает
    - в автозагрузке файл isetup.exe с различными иконками (teamveawer, cureit и т.д.)
    - в Windows\Temp\ создает файл isetup.exe
    Пытается создать еще где-то этот файл, но Аваст вроде блокирует.
    При просмотре активных соединений висит около 10 процессов isetup.exe из Windows\Temp\
    При чем каждый из них имеет два соединения, первое с 117.41.187.50:5433, второе с 188.244.154.117:1993
    При просмотре опций запуска этих файлов, у всех стоит c:\Windows\temp\isetup.exe -o"C:\windows\temp\tmp209" -pabc -y
    Сканируя файлы
    ksbinstaller_s_95_10676.exe
    mysql.exe
    isetup.exe
    Антивирус ничего не показывает, мол все в порядке. Кроме этого в корне диска Ц есть еще файл KAVSETUPS_87_10676.exe, который я туда не закидывал и предполагаю, что тоже относится к вирусу.
    Кроме этого регулярно падает скайп. и OpenServer запускается раз через раз из-за сбоя mysql.
    Так же каждые 10 минут падает флеш плеер. А когда открываю диспетчер, там процессов на флеш плеер по 5-10 штук.
    Удаление isetup.exe не помогает, он создается снова. Другие файлы решил пока не удалять, может Вам они будут необходимы.
    Заранее спасибо за помощь.
    Вложения Вложения
    Последний раз редактировалось Fruty; 02.10.2013 в 20:08.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Fruty, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Windows\system32\winhelp32.exe','');
     TerminateProcessByName('c:\ksbinstaller_s_95_10676.exe');
     QuarantineFile('c:\ksbinstaller_s_95_10676.exe','');
     TerminateProcessByName('c:\windows\temp\isetup.exe');
     QuarantineFile('c:\windows\temp\isetup.exe','');
     DeleteFile('c:\windows\temp\isetup.exe','32');
     DeleteFile('c:\ksbinstaller_s_95_10676.exe','32');
     DeleteFile('C:\Windows\system32\winhelp32.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54
    Карантин отправил (Файл сохранён как 131002_180752_virus_524c60f8247be.zip
    Размер файла 12768290
    MD5 5c2c81de7607c32f9f6827c281deb66d)
    --
    Сделал новые логи, прикрепляю.

    - - - Добавлено - - -

    Еще хотел сказать. Процесс WmiPrvSE.exe постоянно грузит процессор от 20 до 60%, даже если ничего не запущено. Не знаю, относится ли оно к моим имеющимся вирусам...

    - - - Добавлено - - -

    Еще я логе hijackthis есть строка
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 201.62.68.65:3129
    Как я понимаю это прокси для IE. Если я его не устанавливал, я могу это удалить?
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все, кроме
    Код:
    C:\Users\Admin\AppData\Roaming\Auslogics\Rescue\Boost Speed\130929194455431.rsc (Trojan.Downloader) -> Действие не было предпринято.
    C:\Users\Admin\Downloads\RemoveWAT21.rar (HackTool.Wpakill) -> Действие не было предпринято.
    C:\Users\Admin\Downloads\LOIC-1.0.7.42-binary.zip (PUP.HackTool.LOIC) -> Действие не было предпринято.
    C:\Users\Admin\Downloads\Aktivator_Windows_7.rar (RiskWare.Tool.HCK) -> Действие не было предпринято.
    C:\Users\Admin\Downloads\clickermann_last.zip (Trojan.Agent) -> Действие не было предпринято.
    C:\Users\Admin\Downloads\ioncube-relased-v-9-0-full-edition.rar (Trojan.Downloader) -> Действие не было предпринято.
    C:\Downloads\Архивы\LOIC-1.0.7.42-binary.zip (PUP.HackTool.LOIC) -> Действие не было предпринято.
    C:\Program Files\RelevantKnowledge\rlls.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
    C:\Program Files\Pure Networks\Network Magic\Patch.exe (Patch.NetworkMagic) -> Действие не было предпринято.
    D:\Fruty\Games\Underground 2 (RUS Portable)\SetupReg.exe (Trojan.Nuker) -> Действие не было предпринято.
    D:\Fruty\Programs\Clickermann v4.6.002\Clickermann.exe (Trojan.Agent) -> Действие не было предпринято.
    D:\Fruty\Programs\Clickermann v4.6.002\httpwork.dll (Trojan.Agent) -> Действие не было предпринято.
    D:\Fruty\torrent\Axure\JetBrains PHPStorm 5.0.4\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
    D:\Fruty\torrent\Network Magic Pro Edition 5.5.9118.2\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
    D:\Fruty\Видео\Курсы\Course_C#\Resurses\Instal\WinRar 4.1.65.exe (Spyware.Agent) -> Действие не было предпринято.
    Пофиксите в HiJack
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 201.62.68.65:3129
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54
    Удалил в MBAM, в Hijackthis профиксил.
    Прикрепляю новые логи.
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54
    Думал что все нормально, но проработав несколько часов снова Аваст заблокировал mysqld.exe с надписью "Заблокрирована вирусная угроза при попытке создать/изменить файл C:\Windows\Temp\isetup.exe"

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Обновления для системы все установлены?

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54
    Лог combofix не могу сделать. Ситуация осложнилась очень.
    Аваст снова "Заблокировал вирусную угрозу" и через минут 20 у меня начали вылазить окна с китайскими иероглифами, открываются папки, создался китайский браузер, закрепился в панеле запуска и стал браузером по умолчанию. Я полез в процесы, чтобы убить эти китайские окна, но в ответ "отказано в доступе". Аваст на это не реагировал совсем, Запустить касперский AVP не вышло, эта штука (якобы Китайский антивирус King Soft ) его заблокировала. Так же не смог запустить Cure It, HijackThis она вообще удалила, ссылаясь на то, что это вирус.
    Авз запускалась, но при выборе какого-то действия намертво зависала.
    Скачать из интеренета ничего не возможно, как и запустить установку чего-либо (Невозможно создать временный файл пишет.)
    Так же перестали работать SVN/просмотр изображений и некоторые другие программы. Зашел на C:\ и там снова был ksbinstaller и другие левые файлы. удалил их, в окне псевдоантивируса что-то понажимал и он закрылся.
    Но скачать по прежнему ничего не могу. Сделал лог авз. Запустился MBAM и ничего не нашел. Аваст просканировал - 0 резульатов.
    Эта фигня осела у меня в C:\Program Files\DianXin - псевдобраузер и C:\Program Files\kingsoft вот тут якобы антивирус.
    Можно ли перегрузить комп? Все нереально виснет. Прилаживаю лог АВЗ.

    - - - Добавлено - - -

    Обновить базу AVZ тоже невозможно. "File access denied"

    - - - Добавлено - - -

    Если может поможет я в начале, когда еще этих окон было мало сделал скрины, там видно, что оно из себя представляет, и в диспетчере процессы. могу прикрепить.

    - - - Добавлено - - -

    Проверяю эти файлы на вирустотал и мне к большому удивлению показывает, что это действительно "Антивирус king soft" и браузер этот с непонятными символами - мол тоже безвредный файл...

    - - - Добавлено - - -

    Перегрузился комп.
    Снова эта штука вылезла, одно окно вроде закрыл, второе не могу. Прикрепляю лог hijackthis
    Вложения Вложения

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe','');
     QuarantineFile('c:\program files\kingsoft\kingsoft antivirus\kavmenu.dll','');
     TerminateProcessByName('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe');
     QuarantineFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe','');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kavmenu.dll','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4}');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc');
    DeleteFileMask('c:\program files\kingsoft', '*', true);
    DeleteDirectory('c:\program files\kingsoft');
    DeleteFileMask('C:\Program Files\DianXin', '*', true);
    DeleteDirectory('C:\Program Files\DianXin');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54
    Выполнить скрипт авз не получалось, он просто зависал. Зависал на пером же этапе, писало про начало отключения от интернета, потом примерно "application was stopped/aborted by 15000 ms" и на этом было все. Но когда я отключил интернет вручную заработало, скрипт выполнился.
    По поводу вируса - он установил с десяток каких-то программ, которые постоянно выскакивают, в браузере появились рекламные баннеры. Формат времени изменился, все на китайском.
    После выполнения скрипта компьютер не включался. Перед загрузкой справа вверху появился какой-то лев, который так же был установлен вирусом. Появлялись надписи "Настройка обновлений... 35%." потом "Настройка обновлений не удалась, отмена изменений" после чего компьютер уходил в перезагрузку и все повторялось заново. Как-то в одну из попыток все-таки он включился, вот сейчас высылаю карантин и повторно сделаю логи avz + hijackthis
    каждые 10 секунд выскакивает окно завершения работы одной из китайских программ.

    - - - Добавлено - - -

    Загрузил карантин
    Результат загрузки
    Файл сохранён как 131013_192337_virus_525af3397bcc5.zip
    Размер файла 982326
    MD5 4b1d84d00768b021a1a626333db6dfdf

    - - - Добавлено - - -

    Еще в корне диска С куча файлов, как я понимаю - это install программ, которые устаналивает вирус. Так же при входе в "Мой компьютер" кроме жестких дисков есть "Другое" где указана папка с иероглифами, открыть её не возможно, окно explorer.exe пишет "Приложение не найдено"

    - - - Добавлено - - -

    Лев - это какой-то Rising Antivirus, он так же был установлен без моего ведома.

    Прикрепляю лог hijackthis. из этого списка, мне точно не известны программы и строки

    Код:
    C:\Program Files\UseCalendarEx\usecalendarex.exe
    C:\Program Files\kuping4\kuping_v4.exe
    C:\Program Files\Rising\RSD\popwndexe.exe
    C:\Program Files\UseCalendarEx\usesync.exe
    C:\Program Files\Rising\RAV\RsTray.exe
    C:\Program Files\Feihuo\FeihuoSpeed\FHSpeed.exe
    C:\Program Files\Feihuo\Feihuo.exe
    C:\Program Files\kuping4\KpQuickenFunction.exe
    C:\Program Files\Doyo\doyo.exe
    C:\Program Files\Doyo\DYService.exe
    C:\Program Files\kuping4\KpMini.exe
    C:\Windows\system32\WerFault.exe
    
    O4 - HKLM\..\Run: [kuping] C:\Program Files\kuping4\kuping_v4.exe /start
    O4 - HKLM\..\Run: [RSDTRAY] "C:\Program Files\Rising\RSD\popwndexe.exe"
    O4 - HKLM\..\Run: [RavTRAY] "C:\Program Files\Rising\RAV\RSTRAY.EXE" -system
    O4 - HKLM\..\Run: [kxesc] "c:\program files\kingsoft\kingsoft antivirus\kxetray.exe" -autorun
    O4 - HKCU\..\Run: [FHSpeed] C:\Program Files\Feihuo\FeihuoSpeed\FHSpeed.exe
    O4 - HKCU\..\Run: [Feihuo] C:\Program Files\Feihuo\Feihuo.exe auto
    O4 - HKCU\..\Run: [doyo] "C:\Program Files\Doyo\doyostart.exe" tray
    O4 - HKUS\S-1-5-21-2048194963-3319898581-3507201597-1000\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun (User '?')
    O4 - HKUS\S-1-5-21-2048194963-3319898581-3507201597-1000\..\Run: [doyo] "C:\Program Files\Doyo\doyostart.exe" tray (User '?')
    O4 - Global Startup: їбЖБ.lnk = ?
    O23 - Service: ????????? (knbcenter) - Kingsoft Corporation - C:\Users\Admin\AppData\Local\liebao\LBBrowser\knbcenter.exe
    O23 - Service: Rsd Service (RsMgrSvc) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\RSD\RsMgrSvc.exe
    O23 - Service: Rav Service (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\RAV\RavMonD.exe

    Еще пропала языковая панель, поэтому добавил в папку автозагрузки ctfmon.exe
    Я бы вообще все профиксил, что не относится к загрузке винды, но к сожалению могу случайно не туда тыкнуть

    - - - Добавлено - - -

    Добавляю свежие логи авз
    Вложения Вложения
    Последний раз редактировалось Fruty; 14.10.2013 в 00:26.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Program Files\UseCalendarEx\UseCalendarEx.sys','');
     SetServiceStart('UseCalendarEx', 4);
     DeleteService('UseCalendarEx');
     QuarantineFile('C:\Program Files\UseCalendarEx\timeService.exe','');
     SetServiceStart('timeService.exe', 4);
     DeleteService('timeService.exe');
     QuarantineFile('C:\Program Files\Rising\RAV\RavMonD.exe','');
     SetServiceStart('RsRavMon', 4);
     DeleteService('RsRavMon');
     SetServiceStart('knbcenter', 4);
     DeleteService('knbcenter');
     QuarantineFile('C:\Program Files\Doyo\basectrl.dll','');
     QuarantineFile('C:\Program Files\Doyo\BaseCore.dll','');
     TerminateProcessByName('c:\program files\usecalendarex\usesync.exe');
     QuarantineFile('c:\program files\usecalendarex\usesync.exe','');
     TerminateProcessByName('c:\program files\usecalendarex\usecalendarex.exe');
     QuarantineFile('c:\program files\usecalendarex\usecalendarex.exe','');
     TerminateProcessByName('c:\program files\usecalendarex\timeservice.exe');
     QuarantineFile('c:\program files\usecalendarex\timeservice.exe','');
     TerminateProcessByName('c:\program files\rising\rav\ravmond.exe');
     QuarantineFile('c:\program files\rising\rav\ravmond.exe','');
     TerminateProcessByName('c:\program files\kuping4\kuping_v4.exe');
     QuarantineFile('c:\program files\kuping4\kuping_v4.exe','');
     TerminateProcessByName('c:\program files\kuping4\kpquickenfunction.exe');
     QuarantineFile('c:\program files\kuping4\kpquickenfunction.exe','');
     TerminateProcessByName('c:\program files\kuping4\kpmini.exe');
     QuarantineFile('c:\program files\kuping4\kpmini.exe','');
     TerminateProcessByName('c:\users\admin\appdata\local\liebao\lbbrowser\knbcenter.exe');
     QuarantineFile('c:\users\admin\appdata\local\liebao\lbbrowser\knbcenter.exe','');
     TerminateProcessByName('c:\program files\feihuo\feihuospeed\fhspeed.exe');
     QuarantineFile('c:\program files\feihuo\feihuospeed\fhspeed.exe','');
     TerminateProcessByName('c:\program files\feihuo\feihuo.exe');
     QuarantineFile('c:\program files\feihuo\feihuo.exe','');
     TerminateProcessByName('c:\program files\doyo\dyservice.exe');
     QuarantineFile('c:\program files\doyo\dyservice.exe','');
     TerminateProcessByName('c:\program files\doyo\doyo.exe');
     QuarantineFile('c:\program files\doyo\doyo.exe','');
     DeleteFile('c:\program files\doyo\doyo.exe','32');
     DeleteFile('c:\program files\doyo\dyservice.exe','32');
     DeleteFile('c:\program files\feihuo\feihuo.exe','32');
     DeleteFile('c:\program files\feihuo\feihuospeed\fhspeed.exe','32');
     DeleteFile('c:\users\admin\appdata\local\liebao\lbbrowser\knbcenter.exe','32');
     DeleteFile('c:\program files\kuping4\kpmini.exe','32');
     DeleteFile('c:\program files\kuping4\kpquickenfunction.exe','32');
     DeleteFile('c:\program files\kuping4\kuping_v4.exe','32');
     DeleteFile('c:\program files\rising\rav\ravmond.exe','32');
     DeleteFile('c:\program files\usecalendarex\timeservice.exe','32');
     DeleteFile('c:\program files\usecalendarex\usecalendarex.exe','32');
     DeleteFile('c:\program files\usecalendarex\usesync.exe','32');
     DeleteFile('C:\Program Files\Doyo\BaseCore.dll','32');
     DeleteFile('C:\Program Files\Doyo\basectrl.dll','32');
     DeleteFile('C:\Program Files\Rising\RAV\RavMonD.exe','32');
     DeleteFile('C:\Program Files\UseCalendarEx\timeService.exe','32');
     DeleteFile('C:\Program Files\UseCalendarEx\UseCalendarEx.sys','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','doyo');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Feihuo');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FHSpeed');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kuping');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc');
    DeleteFileMask('c:\program files\doyo', '*', true);
    DeleteDirectory('c:\program files\doyo');
    DeleteFileMask('c:\program files\feihuo', '*', true);
    DeleteDirectory('c:\program files\feihuo');
    DeleteFileMask('C:\Program Files\VPets', '*', true);
    DeleteDirectory('C:\Program Files\VPets');
    DeleteFileMask('c:\program files\kuping4', '*', true);
    DeleteDirectory('c:\program files\kuping4');
    DeleteFileMask('c:\program files\rising', '*', true);
    DeleteDirectory('c:\program files\rising');
    DeleteFileMask('c:\program files\usecalendarex', '*', true);
    DeleteDirectory('c:\program files\usecalendarex');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите в HiJack (некоторых строчек может не быть)
    Код:
    O4 - HKLM\..\Run: [kuping] C:\Program Files\kuping4\kuping_v4.exe /start
    O4 - HKLM\..\Run: [RSDTRAY] "C:\Program Files\Rising\RSD\popwndexe.exe"
    O4 - HKLM\..\Run: [RavTRAY] "C:\Program Files\Rising\RAV\RSTRAY.EXE" -system
    O4 - HKLM\..\Run: [kxesc] "c:\program files\kingsoft\kingsoft antivirus\kxetray.exe" -autorun
    O4 - HKCU\..\Run: [FHSpeed] C:\Program Files\Feihuo\FeihuoSpeed\FHSpeed.exe
    O4 - HKCU\..\Run: [Feihuo] C:\Program Files\Feihuo\Feihuo.exe auto
    O4 - HKCU\..\Run: [doyo] "C:\Program Files\Doyo\doyostart.exe" tray
    O4 - HKUS\S-1-5-21-2048194963-3319898581-3507201597-1000\..\Run: [doyo] "C:\Program Files\Doyo\doyostart.exe" tray (User '?')
    O4 - Global Startup: їбЖБ.lnk = ?
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54
    Сделал лог combofix, как просили ранее.
    Перед запуском мне выбило сообщение, что у меня запущен антивирус rising. Во время работы восстановилось время (убрался китайский) и запустились некоторые из китайских программ. Компьютер перезагрузился, время снова стало китайское. Комбофикс запустился автоматически и продолжил работу. Снова восстановил время.
    По окончанию создался лог, его прикрепляю. Так же, по завершению работы комбофикса в редакторе открылся файл c:\companionjs.log размером в 23мб. В нем два миллиона строк примерно следующего содержания:

    Код:
    8360(8824) : STEP 210
    
    8360(8824) : STEP 211
    
    8360(8824) : STEP 300
    
    8360(8824) : STEP 301.BAD
    Как я понимаю активность зловреда начинается, когда я запускаю виртуальный веб-сервер и в процессах висит mysqld.exe
    Вложения Вложения

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Похоже, что вирус лезет через дыры в MS SQL

    Выполните для начала все из сообщения №13, а потом сделайте новый лог ComboFix

    Что из этого Вам известно?
    2013-10-12 14:00 . 2013-10-12 14:01 471381 ----a-w- C:\play_2071_10515.exe
    2013-10-12 13:55 . 2013-10-12 13:59 22899256 ----a-w- C:\KAVSETUPS_38_4629.exe
    2013-10-12 13:46 . 2013-10-12 13:55 44252632 ----a-w- C:\ksbinstaller_s_93_4629.exe
    2013-10-12 11:49 . 2013-10-12 11:49 -------- d-----r- C:\RavBin

    2013-10-12 11:44 . 2013-10-12 11:44 234264 ------w- C:\sir1646088.exe
    2013-10-12 11:42 . 2013-10-12 11:42 -------- d-----w- c:\users\Admin\AppData\Roaming\bho
    2013-10-12 11:42 . 2013-10-12 11:42 -------- d-----w- c:\users\Admin\AppData\Roaming\usesyncConfig
    2013-10-12 11:42 . 2013-10-12 11:44 12026744 ----a-w- C:\doyo_setup_3051_s.exe

    2013-10-12 11:38 . 2013-10-12 11:41 2101960 ----a-w- C:\chaosu_5024_R.exe

    2013-10-12 11:36 . 2013-10-12 11:37 5956552 ----a-w- C:\kuping_s_50405.exe
    2013-10-12 11:35 . 2013-10-12 11:36 5198328 ----a-w- C:\Setup_105.exe
    2013-10-12 11:35 . 2013-10-12 14:00 1001632 ----a-w- C:\dianxin_silent[95].exe

    2013-10-12 11:32 . 2013-10-12 11:35 22899256 ----a-w- C:\jKAVSETUPS_60_300215.exe
    2013-10-12 11:25 . 2013-10-12 11:31 44256512 ----a-w- C:\qksbinstaller_s_71_600107.exe

    2013-10-09 20:42 . 2013-10-09 21:31 -------- d-----w- C:\KRECYCLE
    2013-10-09 20:42 . 2013-10-09 20:42 -------- d-----w- c:\users\Admin\AppData\Roaming\shoujizhushou

    2013-10-01 08:55 . 2013-10-12 13:55 -------- d-----w- c:\users\Admin\AppData\Local\liebao

    2013-09-28 21:36 . 2013-09-28 21:36 -------- d-----w- c:\program files\EyeLeo
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54
    При выполнении скрипта в AVZ наверное произошел сбой. Сначала все было норм, в конце появилось что запущена какая-то микропрограмма очистки или удаления и там были какие-то ключи реестра. И все, на этом остановилось. Не зависло, а просто скрипт перестал работать, как будто завершил свою работу. Можно было свободно делать в авз, что хочешь. Запустил скрипт заново и все полностью зависло. Пришлось перезагрузить вручную.
    Хотел загрузить карантин, но в авз его нет. есть только старый, за сентябрь месяц. Сделал новые логи авз+hijackthis, сейчс сделаю лог комбофикс.

    2013-09-28 21:36 . 2013-09-28 21:36 -------- d-----w- c:\program files\EyeLeo
    вот это только знакомо. Эту программу я устанавливал, она переодически блокирует компьютер предлагая сделать небольшой перерыв и зарядку для глаз.

    - - - Добавлено - - -

    Добавил лог комбофикс
    Вложения Вложения

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
    Код:
    KillAll::
    
    File::
    C:\play_2071_10515.exe
    C:\KAVSETUPS_38_4629.exe
    C:\ksbinstaller_s_93_4629.exe
    C:\sir1646088.exe
    C:\doyo_setup_3051_s.exe
    C:\chaosu_5024_R.exe
    C:\kuping_s_50405.exe
    C:\Setup_105.exe
    C:\dianxin_silent[95].exe
    C:\jKAVSETUPS_60_300215.exe
    C:\qksbinstaller_s_71_600107.exe
    c:\windows\Tasks\Relive.job
    
    Driver::
    
    Folder::
    C:\RavBin
    c:\programdata\Rising
    c:\program files\Rising
    c:\program files\Doyo
    c:\users\Admin\AppData\Roaming\bho
    c:\users\Admin\AppData\Roaming\usesyncConfig
    c:\users\Admin\AppData\Roaming\usecalendar
    c:\program files\UseCalendarEx
    c:\program files\kuping4
    C:\KRECYCLE
    c:\users\Admin\AppData\Roaming\shoujizhushou
    c:\users\Admin\AppData\Roaming\Kingsoft
    c:\users\Admin\AppData\Local\Kingsoft
    c:\programdata\Kingsoft
    c:\users\Admin\AppData\Local\liebao
    
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "kxesc"=-
    
    FileLook::
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bf.exe
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54
    Прикрепряю лог выполнения скрипта combofix.
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Обновите MySQL до последней версии, явно через него взламывают.
    WBR,
    Vadim

  21. Это понравилось:


  22. #20
    Junior Member Репутация
    Регистрация
    06.09.2009
    Адрес
    Одесса
    Сообщений
    41
    Вес репутации
    54
    Скрипт Комбофикс не удалил .exe файлы которые были в корне диска C. Я удалил их вручную и сделал копию в запароленом архиве. Если они будут необходимы выложу на файлообменник.
    Обновил mysql до последней актуальной версии. Думал, что все отлично, но через некоторое время снова аваст ругается на mysqld.exe.
    Предполагаю, что это не дыра в mysql, а зловред использует просто его возможности.
    Сделать снова логи АВЗ или какие-нибудь другие?
    Последний раз редактировалось Fruty; 17.10.2013 в 23:27.

  • Уважаемый(ая) Fruty, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 27.03.2013, 23:03
    2. Ответов: 10
      Последнее сообщение: 11.11.2012, 18:28
    3. Программы падают с ошибкой StackHash
      От dr.Nick в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.10.2011, 22:21
    4. падают браузеры
      От Дмитрий84 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 20.06.2011, 16:44
    5. Падают службы
      От regButch в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:08

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01518 seconds with 20 queries