Показано с 1 по 5 из 5.

Лжеантивирус kingsoft antivirus (shoujizhushou) с плавающим окном (заявка № 179504)

  1. #1
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    2
    Вес репутации
    7

    Лжеантивирус kingsoft antivirus (shoujizhushou) с плавающим окном

    Здравствуйте!

    На компьютер занесен ложный антивирус "kingsoft antivirus".
    На экране появилось плавающее окошко. Открывает вкладки с рекламой в браузере, добавляет баннеры. Тормозит работу компьютера.
    Размещен в C:\Program Files\kingsoft\kingsoft antivirus и C:\Program Files\kingsoft\shoujizhushou.
    Пытался удалить при помощи Uninstall tool, однако зараза восстановилась, как феникс из пепла.
    (Судя по всему, такая же зараза указана в этой ветке форума - http://virusinfo.info/showthread.php?t=177206 )
    Вероятно, kingsoft antivirus - китайский вирус, так как письменные символы отображаются в виде квадратиков, а картинки содержат иероглифы.

    Пожалуйста, помогите справиться.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) Vitatus, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,437
    Вес репутации
    2912
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    DeleteService('KAVBootC');
     SetServiceStart('ksapi', 4);
     DeleteService('ksapi');
     SetServiceStart('kisnetm', 4);
     DeleteService('kisnetm');
     SetServiceStart('kisknl', 4);
     DeleteService('kisknl');
     DeleteService('kxescore');
     TerminateProcessByName('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe');
     TerminateProcessByName('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe');
     TerminateProcessByName('c:\program files\kingsoft\shoujizhushou\kphonetray.exe');
     DeleteFile('c:\program files\kingsoft\shoujizhushou\kphonetray.exe','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\defendmon.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\jsonv6.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kadbtool.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kavmenu.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kclearpanel.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kdefendpop.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kdgui2.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\keasyipcn.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kfloatmain.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kfloatwin.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kismain.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kminitray.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\knetworkpanel.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kpopclt.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kpopsvr.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\krcmddown.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\krcmdmon.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\krcmdutils.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ksapi.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ksdectrl.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kshmpg.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kspupwnd.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kstools.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kswebshield.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kswscxex.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\ksysopteng.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ktoolupd.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kupdatesp.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\kxescan\ksesscan.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\kxescan\kseutil.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\security\kxescan\ksextfix.dll','32');
     DeleteFile('C:\WINDOWS\system32\drivers\kisknl.sys','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\ksnetm\kisnetmxp.sys','32');
     DeleteFile('C:\WINDOWS\system32\drivers\ksapi.sys','32');
     DeleteFile('C:\WINDOWS\system32\Drivers\KAVBootC.sys','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kwsui.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\lblocker.dll','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи по правилам


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    2
    Вес репутации
    7
    Здравствуйте!

    Большое спасибо за то, что откликнулись.

    Программа-лжеантивирус удалена.

    Однако, как и прежде, в браузере отображаются баннеры (в том числе и на вашем), открываются новые вкладки с различными сайтами - предложениями вроде заработка в интернете или сайтом "Яндекс" с введенным запросом "Травля клопов" и т.п.

    Новые логи приложены.
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,437
    Вес репутации
    2912
    Расширение AdBlock какой версии установлено в Firefox и Хроме?

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
      HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=dbsj&db_39_20013
      HKU\S-1-5-21-583907252-963894560-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=dbsj&db_39_20013
      Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
      2015-03-15 11:44 - 2015-03-14 17:33 - 00085352 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi.sys
      2015-03-14 17:37 - 2015-03-14 17:37 - 00000000 ____D () C:\Documents and Settings\LocalService\Local Settings\Application Data\liebao
      2015-03-14 17:33 - 2015-03-14 17:34 - 00000000 ____D () C:\Program Files\liebao
      2015-03-14 17:33 - 2015-03-14 17:33 - 00148784 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\knbdrv.sys
      2015-03-14 17:33 - 2015-03-14 17:33 - 00102704 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\KNBDrv64.sys
      2015-03-14 17:33 - 2015-03-14 17:33 - 00000000 ____D () C:\Documents and Settings\Галина\Local Settings\Application Data\liebao
      2015-03-14 17:29 - 2015-03-14 17:29 - 00000000 ____D () C:\Program Files\Tencent
      2015-03-14 17:29 - 2015-03-14 17:29 - 00000000 ____D () C:\Documents and Settings\Галина\Application Data\Tencent
      2015-03-13 22:40 - 2015-03-14 17:28 - 00000000 ____D () C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸
      2015-03-13 22:40 - 2015-03-13 22:07 - 00031848 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kavbootc64.sys
      2015-03-13 22:40 - 2015-03-13 22:05 - 00033128 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\bootsafe64.sys
      2015-03-13 22:40 - 2015-03-13 22:05 - 00024936 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\bootsafe.sys
      2015-03-13 12:19 - 2015-03-13 12:19 - 00000000 ____D () C:\Documents and Settings\Галина\Application Data\shoujizhushou
      2015-03-13 12:05 - 2015-03-13 12:05 - 00000000 ____D () C:\Documents and Settings\Галина\Local Settings\Application Data\Kingsoft
      2015-03-11 18:07 - 2015-03-13 12:41 - 00000000 __SHD () C:\KRECYCLE
      2015-03-11 18:07 - 2015-03-13 11:10 - 00000000 ____D () C:\Documents and Settings\Галина\Application Data\Kingsoft
      2015-03-11 18:05 - 2015-03-15 11:36 - 00983040 _____ () C:\WINDOWS\system32\config\KAVEventLog.EVT
      2015-03-11 18:05 - 2015-03-14 20:13 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\Kingsoft
      2015-03-11 18:05 - 2015-03-13 11:57 - 00114488 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetmxp.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00113464 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00109880 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm64.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00056680 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi64.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00024472 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\bc.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00019352 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksskrpr.sys
      2015-03-11 18:04 - 2015-03-11 18:12 - 00000000 ____D () C:\Program Files\kingsoft
      2011-09-30 14:05 - 2011-10-13 23:37 - 0000286 ____H () C:\Documents and Settings\Галина\Application Data\wndsksi.inf
      C:\Documents and Settings\Галина\Local Settings\Temp\Baidusd.Setup.3.0.0.4609.youqian_1000174052.exe
      C:\Documents and Settings\Галина\Local Settings\Temp\mailruhomesearchvbm.exe
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{0002DF01-0000-0000-C000-000000000046}\localserver32 -> C:\Program Files\liebao\liebao.exe (Kingsoft Corporation)
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      Reboot:
    • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Блокировщик с синим окном
    От Надир в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 19.09.2011, 14:53
  2. Переполнение буфера в Kingsoft Office Writer 2010
    От olejah в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 30.06.2010, 17:17
  3. Проблема с окном ( iLite Net Accelerator )
    От RinGo в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 24.12.2009, 06:42
  4. Kingsoft Internet Security: китайский защитник
    От SDA в разделе Антивирусы
    Ответов: 1
    Последнее сообщение: 08.07.2009, 06:54
  5. Ответов: 7
    Последнее сообщение: 25.04.2008, 14:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01423 seconds with 21 queries