Показано с 1 по 5 из 5.

Лжеантивирус kingsoft antivirus (shoujizhushou) с плавающим окном (заявка № 179504)

  1. #1
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    2
    Вес репутации
    34

    Лжеантивирус kingsoft antivirus (shoujizhushou) с плавающим окном

    Здравствуйте!

    На компьютер занесен ложный антивирус "kingsoft antivirus".
    На экране появилось плавающее окошко. Открывает вкладки с рекламой в браузере, добавляет баннеры. Тормозит работу компьютера.
    Размещен в C:\Program Files\kingsoft\kingsoft antivirus и C:\Program Files\kingsoft\shoujizhushou.
    Пытался удалить при помощи Uninstall tool, однако зараза восстановилась, как феникс из пепла.
    (Судя по всему, такая же зараза указана в этой ветке форума - http://virusinfo.info/showthread.php?t=177206 )
    Вероятно, kingsoft antivirus - китайский вирус, так как письменные символы отображаются в виде квадратиков, а картинки содержат иероглифы.

    Пожалуйста, помогите справиться.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Vitatus, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    DeleteService('KAVBootC');
     SetServiceStart('ksapi', 4);
     DeleteService('ksapi');
     SetServiceStart('kisnetm', 4);
     DeleteService('kisnetm');
     SetServiceStart('kisknl', 4);
     DeleteService('kisknl');
     DeleteService('kxescore');
     TerminateProcessByName('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe');
     TerminateProcessByName('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe');
     TerminateProcessByName('c:\program files\kingsoft\shoujizhushou\kphonetray.exe');
     DeleteFile('c:\program files\kingsoft\shoujizhushou\kphonetray.exe','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\defendmon.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\jsonv6.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kadbtool.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kavmenu.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kclearpanel.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kdefendpop.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kdgui2.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\keasyipcn.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kfloatmain.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kfloatwin.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kismain.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kminitray.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\knetworkpanel.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kpopclt.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kpopsvr.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\krcmddown.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\krcmdmon.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\krcmdutils.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ksapi.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ksdectrl.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kshmpg.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kspupwnd.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kstools.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kswebshield.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kswscxex.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\ksysopteng.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ktoolupd.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kupdatesp.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\kxescan\ksesscan.dll','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\kxescan\kseutil.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\security\kxescan\ksextfix.dll','32');
     DeleteFile('C:\WINDOWS\system32\drivers\kisknl.sys','32');
     DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\ksnetm\kisnetmxp.sys','32');
     DeleteFile('C:\WINDOWS\system32\drivers\ksapi.sys','32');
     DeleteFile('C:\WINDOWS\system32\Drivers\KAVBootC.sys','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kwsui.dll','32');
     DeleteFile('C:\program files\kingsoft\kingsoft antivirus\lblocker.dll','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи по правилам


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    2
    Вес репутации
    34
    Здравствуйте!

    Большое спасибо за то, что откликнулись.

    Программа-лжеантивирус удалена.

    Однако, как и прежде, в браузере отображаются баннеры (в том числе и на вашем), открываются новые вкладки с различными сайтами - предложениями вроде заработка в интернете или сайтом "Яндекс" с введенным запросом "Травля клопов" и т.п.

    Новые логи приложены.
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Расширение AdBlock какой версии установлено в Firefox и Хроме?

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
      HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=dbsj&db_39_20013
      HKU\S-1-5-21-583907252-963894560-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=dbsj&db_39_20013
      Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value
      2015-03-15 11:44 - 2015-03-14 17:33 - 00085352 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi.sys
      2015-03-14 17:37 - 2015-03-14 17:37 - 00000000 ____D () C:\Documents and Settings\LocalService\Local Settings\Application Data\liebao
      2015-03-14 17:33 - 2015-03-14 17:34 - 00000000 ____D () C:\Program Files\liebao
      2015-03-14 17:33 - 2015-03-14 17:33 - 00148784 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\knbdrv.sys
      2015-03-14 17:33 - 2015-03-14 17:33 - 00102704 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\KNBDrv64.sys
      2015-03-14 17:33 - 2015-03-14 17:33 - 00000000 ____D () C:\Documents and Settings\Галина\Local Settings\Application Data\liebao
      2015-03-14 17:29 - 2015-03-14 17:29 - 00000000 ____D () C:\Program Files\Tencent
      2015-03-14 17:29 - 2015-03-14 17:29 - 00000000 ____D () C:\Documents and Settings\Галина\Application Data\Tencent
      2015-03-13 22:40 - 2015-03-14 17:28 - 00000000 ____D () C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸
      2015-03-13 22:40 - 2015-03-13 22:07 - 00031848 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kavbootc64.sys
      2015-03-13 22:40 - 2015-03-13 22:05 - 00033128 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\bootsafe64.sys
      2015-03-13 22:40 - 2015-03-13 22:05 - 00024936 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\bootsafe.sys
      2015-03-13 12:19 - 2015-03-13 12:19 - 00000000 ____D () C:\Documents and Settings\Галина\Application Data\shoujizhushou
      2015-03-13 12:05 - 2015-03-13 12:05 - 00000000 ____D () C:\Documents and Settings\Галина\Local Settings\Application Data\Kingsoft
      2015-03-11 18:07 - 2015-03-13 12:41 - 00000000 __SHD () C:\KRECYCLE
      2015-03-11 18:07 - 2015-03-13 11:10 - 00000000 ____D () C:\Documents and Settings\Галина\Application Data\Kingsoft
      2015-03-11 18:05 - 2015-03-15 11:36 - 00983040 _____ () C:\WINDOWS\system32\config\KAVEventLog.EVT
      2015-03-11 18:05 - 2015-03-14 20:13 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\Kingsoft
      2015-03-11 18:05 - 2015-03-13 11:57 - 00114488 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetmxp.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00113464 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00109880 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm64.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00056680 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi64.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00024472 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\bc.sys
      2015-03-11 18:05 - 2015-03-13 11:57 - 00019352 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksskrpr.sys
      2015-03-11 18:04 - 2015-03-11 18:12 - 00000000 ____D () C:\Program Files\kingsoft
      2011-09-30 14:05 - 2011-10-13 23:37 - 0000286 ____H () C:\Documents and Settings\Галина\Application Data\wndsksi.inf
      C:\Documents and Settings\Галина\Local Settings\Temp\Baidusd.Setup.3.0.0.4609.youqian_1000174052.exe
      C:\Documents and Settings\Галина\Local Settings\Temp\mailruhomesearchvbm.exe
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{0002DF01-0000-0000-C000-000000000046}\localserver32 -> C:\Program Files\liebao\liebao.exe (Kingsoft Corporation)
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{122D5FEF-8711-4d87-A5BC-41ED5DF77258}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{56C2D5F5-0F32-45cb-AD75-87AF17CFDC27}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{57963704-EE80-4bc5-8421-66098E5832AE}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{68C0D34D-264F-4d64-AEF1-51C728DFDAD8}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_8_30.tmp No File
      CustomCLSID: HKU\S-1-5-21-583907252-963894560-725345543-1003_Classes\CLSID\{F62D2442-FE48-4cbc-9FCA-E19FC839461B}\InprocServer32 -> C:\Documents and Settings\Галина\Local Settings\Temp\v8_9F_58.tmp No File
      Reboot:
    • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Блокировщик с синим окном
    От Надир в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 19.09.2011, 14:53
  2. Проблема с окном ( iLite Net Accelerator )
    От RinGo в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 24.12.2009, 06:42
  3. Kingsoft Internet Security: китайский защитник
    От SDA в разделе Антивирусы
    Ответов: 1
    Последнее сообщение: 08.07.2009, 06:54
  4. Ответов: 7
    Последнее сообщение: 25.04.2008, 14:52

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00546 seconds with 20 queries