Вирусы, падают программы. [Backdoor.Win32.Small.lhd ]

Началось все с того, что перестали работать браузеры. Причем все одноврменно.
Хром, Сафари, Опера, IE падали даже не запускаясь. Работала только Мозилла и то, с зависаниями.
Хорошо, что я писал свой браузер - это был мой единственный нормальный выход в интернет.
Скачал CureIt, Авз и т.д.
После сканирования удалено было около 50 файлов. Браузеры запустились. Но проблема полностью не ушла.
Помимо неработающих браузеров - перестала запускаться mysql база данных на локальном сервере.
Так же Аваст постоянно ругался на этот mysql.exe
Ну думаю, ладно, установлю другую версию (использую сборку OpenServer в качестве локального веб-сервера.)
Переключил сервер на другую mysql базу.
Ну думаю, браузеры запустились, mysql я другой поставил - должно быть все ок. Но не тут-то было.
Как я запускаю локальный сервер - через некоторое время снова Avast начинает ругаться на mysql.exe
Он пытается создать/изменить/запустить файлы.
Поковырявшись немного, посмотрев кто-кого запускает, у кого какие активные соединения - вот что нашел.
В корне диска C лежит файл ksbinstaller_s_95_10676.exe. В свойствах у него напсиано "Текущая дериктория" и тут путь к папке, где лежит "mysql.exe". Обратил внимание на этот файл, поскольку в диспетчере возле него куча китайских иероглифов.
На сайте macaffee нашел инфо про то, что существует такой вирус ksbinstaller.exe и лежит обычно в корне диска Ц.
Как я понял, он обращается к mysql.exe, который в свою очередь, когда Avast его пропускает создает
- в автозагрузке файл isetup.exe с различными иконками (teamveawer, cureit и т.д.)
- в Windows\Temp\ создает файл isetup.exe
Пытается создать еще где-то этот файл, но Аваст вроде блокирует.
При просмотре активных соединений висит около 10 процессов isetup.exe из Windows\Temp\
При чем каждый из них имеет два соединения, первое с 117.41.187.50:5433, второе с 188.244.154.117:1993
При просмотре опций запуска этих файлов, у всех стоит c:\Windows\temp\isetup.exe -o"C:\windows\temp\tmp209" -pabc -y
Сканируя файлы
ksbinstaller_s_95_10676.exe
mysql.exe
isetup.exe
Антивирус ничего не показывает, мол все в порядке. Кроме этого в корне диска Ц есть еще файл KAVSETUPS_87_10676.exe, который я туда не закидывал и предполагаю, что тоже относится к вирусу.
Кроме этого регулярно падает скайп. и OpenServer запускается раз через раз из-за сбоя mysql.
Так же каждые 10 минут падает флеш плеер. А когда открываю диспетчер, там процессов на флеш плеер по 5-10 штук.
Удаление isetup.exe не помогает, он создается снова. Другие файлы решил пока не удалять, может Вам они будут необходимы.
Заранее спасибо за помощь.

Уважаемый(ая) [B]Fruty[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\winhelp32.exe','');
TerminateProcessByName('c:\ksbinstaller_s_95_10676.exe');
QuarantineFile('c:\ksbinstaller_s_95_10676.exe','');
TerminateProcessByName('c:\windows\temp\isetup.exe');
QuarantineFile('c:\windows\temp\isetup.exe','');
DeleteFile('c:\windows\temp\isetup.exe','32');
DeleteFile('c:\ksbinstaller_s_95_10676.exe','32');
DeleteFile('C:\Windows\system32\winhelp32.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Карантин отправил (Файл сохранён как 131002_180752_virus_524c60f8247be.zip
Размер файла 12768290
MD5 5c2c81de7607c32f9f6827c281deb66d)
--
Сделал новые логи, прикрепляю.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Еще хотел сказать. Процесс WmiPrvSE.exe постоянно грузит процессор от 20 до 60%, даже если ничего не запущено. Не знаю, относится ли оно к моим имеющимся вирусам...

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Еще я логе hijackthis есть строка
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 201.62.68.65:3129[/CODE]
Как я понимаю это прокси для IE. Если я его не устанавливал, я могу это удалить?

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]C:\Users\Admin\AppData\Roaming\Auslogics\Rescue\Boost Speed\130929194455431.rsc (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Admin\Downloads\RemoveWAT21.rar (HackTool.Wpakill) -> Действие не было предпринято.
C:\Users\Admin\Downloads\LOIC-1.0.7.42-binary.zip (PUP.HackTool.LOIC) -> Действие не было предпринято.
C:\Users\Admin\Downloads\Aktivator_Windows_7.rar (RiskWare.Tool.HCK) -> Действие не было предпринято.
C:\Users\Admin\Downloads\clickermann_last.zip (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Admin\Downloads\ioncube-relased-v-9-0-full-edition.rar (Trojan.Downloader) -> Действие не было предпринято.
C:\Downloads\Архивы\LOIC-1.0.7.42-binary.zip (PUP.HackTool.LOIC) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge\rlls.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\Program Files\Pure Networks\Network Magic\Patch.exe (Patch.NetworkMagic) -> Действие не было предпринято.
D:\Fruty\Games\Underground 2 (RUS Portable)\SetupReg.exe (Trojan.Nuker) -> Действие не было предпринято.
D:\Fruty\Programs\Clickermann v4.6.002\Clickermann.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Fruty\Programs\Clickermann v4.6.002\httpwork.dll (Trojan.Agent) -> Действие не было предпринято.
D:\Fruty\torrent\Axure\JetBrains PHPStorm 5.0.4\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Fruty\torrent\Network Magic Pro Edition 5.5.9118.2\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\Fruty\Видео\Курсы\Course_C#\Resurses\Instal\WinRar 4.1.65.exe (Spyware.Agent) -> Действие не было предпринято.[/code]

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 201.62.68.65:3129[/CODE]

Удалил в MBAM, в Hijackthis профиксил.
Прикрепляю новые логи.

Что с проблемой?

Думал что все нормально, но проработав несколько часов снова Аваст заблокировал mysqld.exe с надписью "Заблокрирована вирусная угроза при попытке создать/изменить файл C:\Windows\Temp\isetup.exe"

Обновления для системы все установлены?

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Лог combofix не могу сделать. Ситуация осложнилась очень.
Аваст снова "Заблокировал вирусную угрозу" и через минут 20 у меня начали вылазить окна с китайскими иероглифами, открываются папки, создался китайский браузер, закрепился в панеле запуска и стал браузером по умолчанию. Я полез в процесы, чтобы убить эти китайские окна, но в ответ "отказано в доступе". Аваст на это не реагировал совсем, Запустить касперский AVP не вышло, эта штука (якобы Китайский антивирус King Soft ) его заблокировала. Так же не смог запустить Cure It, HijackThis она вообще удалила, ссылаясь на то, что это вирус.
Авз запускалась, но при выборе какого-то действия намертво зависала.
Скачать из интеренета ничего не возможно, как и запустить установку чего-либо (Невозможно создать временный файл пишет.)
Так же перестали работать SVN/просмотр изображений и некоторые другие программы. Зашел на C:\ и там снова был ksbinstaller и другие левые файлы. удалил их, в окне псевдоантивируса что-то понажимал и он закрылся.
Но скачать по прежнему ничего не могу. Сделал лог авз. Запустился MBAM и ничего не нашел. Аваст просканировал - 0 резульатов.
Эта фигня осела у меня в C:\Program Files\DianXin - псевдобраузер и C:\Program Files\kingsoft вот тут якобы антивирус.
Можно ли перегрузить комп? Все нереально виснет. Прилаживаю лог АВЗ.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Обновить базу AVZ тоже невозможно. "File access denied"

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Если может поможет я в начале, когда еще этих окон было мало сделал скрины, там видно, что оно из себя представляет, и в диспетчере процессы. могу прикрепить.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Проверяю эти файлы на вирустотал и мне к большому удивлению показывает, что это действительно "Антивирус king soft" и браузер этот с непонятными символами - мол тоже безвредный файл...

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Перегрузился комп.
Снова эта штука вылезла, одно окно вроде закрыл, второе не могу. Прикрепляю лог hijackthis

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe','');
QuarantineFile('c:\program files\kingsoft\kingsoft antivirus\kavmenu.dll','');
TerminateProcessByName('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe');
QuarantineFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe','');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxescore.exe','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kavmenu.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4}');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc');
DeleteFileMask('c:\program files\kingsoft', '*', true);
DeleteDirectory('c:\program files\kingsoft');
DeleteFileMask('C:\Program Files\DianXin', '*', true);
DeleteDirectory('C:\Program Files\DianXin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Выполнить скрипт авз не получалось, он просто зависал. Зависал на пером же этапе, писало про начало отключения от интернета, потом примерно "application was stopped/aborted by 15000 ms" и на этом было все. Но когда я отключил интернет вручную заработало, скрипт выполнился.
По поводу вируса - он установил с десяток каких-то программ, которые постоянно выскакивают, в браузере появились рекламные баннеры. Формат времени изменился, все на китайском.
После выполнения скрипта компьютер не включался. Перед загрузкой справа вверху появился какой-то лев, который так же был установлен вирусом. Появлялись надписи "Настройка обновлений... 35%." потом "Настройка обновлений не удалась, отмена изменений" после чего компьютер уходил в перезагрузку и все повторялось заново. Как-то в одну из попыток все-таки он включился, вот сейчас высылаю карантин и повторно сделаю логи avz + hijackthis
каждые 10 секунд выскакивает окно завершения работы одной из китайских программ.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Загрузил карантин
Результат загрузки
Файл сохранён как 131013_192337_virus_525af3397bcc5.zip
Размер файла 982326
MD5 4b1d84d00768b021a1a626333db6dfdf

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Еще в корне диска С куча файлов, как я понимаю - это install программ, которые устаналивает вирус. Так же при входе в "Мой компьютер" кроме жестких дисков есть "Другое" где указана папка с иероглифами, открыть её не возможно, окно explorer.exe пишет "Приложение не найдено"

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Лев - это какой-то Rising Antivirus, он так же был установлен без моего ведома.

Прикрепляю лог hijackthis. из этого списка, мне точно не известны программы и строки

[CODE]C:\Program Files\UseCalendarEx\usecalendarex.exe
C:\Program Files\kuping4\kuping_v4.exe
C:\Program Files\Rising\RSD\popwndexe.exe
C:\Program Files\UseCalendarEx\usesync.exe
C:\Program Files\Rising\RAV\RsTray.exe
C:\Program Files\Feihuo\FeihuoSpeed\FHSpeed.exe
C:\Program Files\Feihuo\Feihuo.exe
C:\Program Files\kuping4\KpQuickenFunction.exe
C:\Program Files\Doyo\doyo.exe
C:\Program Files\Doyo\DYService.exe
C:\Program Files\kuping4\KpMini.exe
C:\Windows\system32\WerFault.exe

O4 - HKLM\..\Run: [kuping] C:\Program Files\kuping4\kuping_v4.exe /start
O4 - HKLM\..\Run: [RSDTRAY] "C:\Program Files\Rising\RSD\popwndexe.exe"
O4 - HKLM\..\Run: [RavTRAY] "C:\Program Files\Rising\RAV\RSTRAY.EXE" -system
O4 - HKLM\..\Run: [kxesc] "c:\program files\kingsoft\kingsoft antivirus\kxetray.exe" -autorun
O4 - HKCU\..\Run: [FHSpeed] C:\Program Files\Feihuo\FeihuoSpeed\FHSpeed.exe
O4 - HKCU\..\Run: [Feihuo] C:\Program Files\Feihuo\Feihuo.exe auto
O4 - HKCU\..\Run: [doyo] "C:\Program Files\Doyo\doyostart.exe" tray
O4 - HKUS\S-1-5-21-2048194963-3319898581-3507201597-1000\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun (User '?')
O4 - HKUS\S-1-5-21-2048194963-3319898581-3507201597-1000\..\Run: [doyo] "C:\Program Files\Doyo\doyostart.exe" tray (User '?')
O4 - Global Startup: їбЖБ.lnk = ?
O23 - Service: ????????? (knbcenter) - Kingsoft Corporation - C:\Users\Admin\AppData\Local\liebao\LBBrowser\knbcenter.exe
O23 - Service: Rsd Service (RsMgrSvc) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\RSD\RsMgrSvc.exe
O23 - Service: Rav Service (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\RAV\RavMonD.exe[/CODE]


Еще пропала языковая панель, поэтому добавил в папку автозагрузки ctfmon.exe
Я бы вообще все профиксил, что не относится к загрузке винды, но к сожалению могу случайно не туда тыкнуть :>

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Добавляю свежие логи авз

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\UseCalendarEx\UseCalendarEx.sys','');
SetServiceStart('UseCalendarEx', 4);
DeleteService('UseCalendarEx');
QuarantineFile('C:\Program Files\UseCalendarEx\timeService.exe','');
SetServiceStart('timeService.exe', 4);
DeleteService('timeService.exe');
QuarantineFile('C:\Program Files\Rising\RAV\RavMonD.exe','');
SetServiceStart('RsRavMon', 4);
DeleteService('RsRavMon');
SetServiceStart('knbcenter', 4);
DeleteService('knbcenter');
QuarantineFile('C:\Program Files\Doyo\basectrl.dll','');
QuarantineFile('C:\Program Files\Doyo\BaseCore.dll','');
TerminateProcessByName('c:\program files\usecalendarex\usesync.exe');
QuarantineFile('c:\program files\usecalendarex\usesync.exe','');
TerminateProcessByName('c:\program files\usecalendarex\usecalendarex.exe');
QuarantineFile('c:\program files\usecalendarex\usecalendarex.exe','');
TerminateProcessByName('c:\program files\usecalendarex\timeservice.exe');
QuarantineFile('c:\program files\usecalendarex\timeservice.exe','');
TerminateProcessByName('c:\program files\rising\rav\ravmond.exe');
QuarantineFile('c:\program files\rising\rav\ravmond.exe','');
TerminateProcessByName('c:\program files\kuping4\kuping_v4.exe');
QuarantineFile('c:\program files\kuping4\kuping_v4.exe','');
TerminateProcessByName('c:\program files\kuping4\kpquickenfunction.exe');
QuarantineFile('c:\program files\kuping4\kpquickenfunction.exe','');
TerminateProcessByName('c:\program files\kuping4\kpmini.exe');
QuarantineFile('c:\program files\kuping4\kpmini.exe','');
TerminateProcessByName('c:\users\admin\appdata\local\liebao\lbbrowser\knbcenter.exe');
QuarantineFile('c:\users\admin\appdata\local\liebao\lbbrowser\knbcenter.exe','');
TerminateProcessByName('c:\program files\feihuo\feihuospeed\fhspeed.exe');
QuarantineFile('c:\program files\feihuo\feihuospeed\fhspeed.exe','');
TerminateProcessByName('c:\program files\feihuo\feihuo.exe');
QuarantineFile('c:\program files\feihuo\feihuo.exe','');
TerminateProcessByName('c:\program files\doyo\dyservice.exe');
QuarantineFile('c:\program files\doyo\dyservice.exe','');
TerminateProcessByName('c:\program files\doyo\doyo.exe');
QuarantineFile('c:\program files\doyo\doyo.exe','');
DeleteFile('c:\program files\doyo\doyo.exe','32');
DeleteFile('c:\program files\doyo\dyservice.exe','32');
DeleteFile('c:\program files\feihuo\feihuo.exe','32');
DeleteFile('c:\program files\feihuo\feihuospeed\fhspeed.exe','32');
DeleteFile('c:\users\admin\appdata\local\liebao\lbbrowser\knbcenter.exe','32');
DeleteFile('c:\program files\kuping4\kpmini.exe','32');
DeleteFile('c:\program files\kuping4\kpquickenfunction.exe','32');
DeleteFile('c:\program files\kuping4\kuping_v4.exe','32');
DeleteFile('c:\program files\rising\rav\ravmond.exe','32');
DeleteFile('c:\program files\usecalendarex\timeservice.exe','32');
DeleteFile('c:\program files\usecalendarex\usecalendarex.exe','32');
DeleteFile('c:\program files\usecalendarex\usesync.exe','32');
DeleteFile('C:\Program Files\Doyo\BaseCore.dll','32');
DeleteFile('C:\Program Files\Doyo\basectrl.dll','32');
DeleteFile('C:\Program Files\Rising\RAV\RavMonD.exe','32');
DeleteFile('C:\Program Files\UseCalendarEx\timeService.exe','32');
DeleteFile('C:\Program Files\UseCalendarEx\UseCalendarEx.sys','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','doyo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Feihuo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FHSpeed');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kuping');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc');
DeleteFileMask('c:\program files\doyo', '*', true);
DeleteDirectory('c:\program files\doyo');
DeleteFileMask('c:\program files\feihuo', '*', true);
DeleteDirectory('c:\program files\feihuo');
DeleteFileMask('C:\Program Files\VPets', '*', true);
DeleteDirectory('C:\Program Files\VPets');
DeleteFileMask('c:\program files\kuping4', '*', true);
DeleteDirectory('c:\program files\kuping4');
DeleteFileMask('c:\program files\rising', '*', true);
DeleteDirectory('c:\program files\rising');
DeleteFileMask('c:\program files\usecalendarex', '*', true);
DeleteDirectory('c:\program files\usecalendarex');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Пофиксите в HiJack (некоторых строчек может не быть)
[CODE]O4 - HKLM\..\Run: [kuping] C:\Program Files\kuping4\kuping_v4.exe /start
O4 - HKLM\..\Run: [RSDTRAY] "C:\Program Files\Rising\RSD\popwndexe.exe"
O4 - HKLM\..\Run: [RavTRAY] "C:\Program Files\Rising\RAV\RSTRAY.EXE" -system
O4 - HKLM\..\Run: [kxesc] "c:\program files\kingsoft\kingsoft antivirus\kxetray.exe" -autorun
O4 - HKCU\..\Run: [FHSpeed] C:\Program Files\Feihuo\FeihuoSpeed\FHSpeed.exe
O4 - HKCU\..\Run: [Feihuo] C:\Program Files\Feihuo\Feihuo.exe auto
O4 - HKCU\..\Run: [doyo] "C:\Program Files\Doyo\doyostart.exe" tray
O4 - HKUS\S-1-5-21-2048194963-3319898581-3507201597-1000\..\Run: [doyo] "C:\Program Files\Doyo\doyostart.exe" tray (User '?')
O4 - Global Startup: їбЖБ.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present[/CODE]

Сделайте новые логи

Сделал лог combofix, как просили ранее.
Перед запуском мне выбило сообщение, что у меня запущен антивирус rising. Во время работы восстановилось время (убрался китайский) и запустились некоторые из китайских программ. Компьютер перезагрузился, время снова стало китайское. Комбофикс запустился автоматически и продолжил работу. Снова восстановил время.
По окончанию создался лог, его прикрепляю. Так же, по завершению работы комбофикса в редакторе открылся файл c:\companionjs.log размером в 23мб. В нем два миллиона строк примерно следующего содержания:

[CODE]8360(8824) : STEP 210

8360(8824) : STEP 211

8360(8824) : STEP 300

8360(8824) : STEP 301.BAD[/CODE]

Как я понимаю активность зловреда начинается, когда я запускаю виртуальный веб-сервер и в процессах висит mysqld.exe

Похоже, что вирус лезет через дыры в MS SQL

Выполните для начала все из сообщения №13, а потом сделайте новый лог ComboFix

Что из этого Вам известно?
[QUOTE]2013-10-12 14:00 . 2013-10-12 14:01 471381 ----a-w- C:\play_2071_10515.exe
2013-10-12 13:55 . 2013-10-12 13:59 22899256 ----a-w- C:\KAVSETUPS_38_4629.exe
2013-10-12 13:46 . 2013-10-12 13:55 44252632 ----a-w- C:\ksbinstaller_s_93_4629.exe
2013-10-12 11:49 . 2013-10-12 11:49 -------- d-----r- C:\RavBin

2013-10-12 11:44 . 2013-10-12 11:44 234264 ------w- C:\sir1646088.exe
2013-10-12 11:42 . 2013-10-12 11:42 -------- d-----w- c:\users\Admin\AppData\Roaming\bho
2013-10-12 11:42 . 2013-10-12 11:42 -------- d-----w- c:\users\Admin\AppData\Roaming\usesyncConfig
2013-10-12 11:42 . 2013-10-12 11:44 12026744 ----a-w- C:\doyo_setup_3051_s.exe

2013-10-12 11:38 . 2013-10-12 11:41 2101960 ----a-w- C:\chaosu_5024_R.exe

2013-10-12 11:36 . 2013-10-12 11:37 5956552 ----a-w- C:\kuping_s_50405.exe
2013-10-12 11:35 . 2013-10-12 11:36 5198328 ----a-w- C:\Setup_105.exe
2013-10-12 11:35 . 2013-10-12 14:00 1001632 ----a-w- C:\dianxin_silent[95].exe

2013-10-12 11:32 . 2013-10-12 11:35 22899256 ----a-w- C:\jKAVSETUPS_60_300215.exe
2013-10-12 11:25 . 2013-10-12 11:31 44256512 ----a-w- C:\qksbinstaller_s_71_600107.exe

2013-10-09 20:42 . 2013-10-09 21:31 -------- d-----w- C:\KRECYCLE
2013-10-09 20:42 . 2013-10-09 20:42 -------- d-----w- c:\users\Admin\AppData\Roaming\shoujizhushou

2013-10-01 08:55 . 2013-10-12 13:55 -------- d-----w- c:\users\Admin\AppData\Local\liebao

2013-09-28 21:36 . 2013-09-28 21:36 -------- d-----w- c:\program files\EyeLeo[/QUOTE]

При выполнении скрипта в AVZ наверное произошел сбой. Сначала все было норм, в конце появилось что запущена какая-то микропрограмма очистки или удаления и там были какие-то ключи реестра. И все, на этом остановилось. Не зависло, а просто скрипт перестал работать, как будто завершил свою работу. Можно было свободно делать в авз, что хочешь. Запустил скрипт заново и все полностью зависло. Пришлось перезагрузить вручную.
Хотел загрузить карантин, но в авз его нет. есть только старый, за сентябрь месяц. Сделал новые логи авз+hijackthis, сейчс сделаю лог комбофикс.

[QUOTE]2013-09-28 21:36 . 2013-09-28 21:36 -------- d-----w- c:\program files\EyeLeo [/QUOTE]
вот это только знакомо. Эту программу я устанавливал, она переодически блокирует компьютер предлагая сделать небольшой перерыв и зарядку для глаз.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Добавил лог комбофикс

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B]
[code]KillAll::

File::
C:\play_2071_10515.exe
C:\KAVSETUPS_38_4629.exe
C:\ksbinstaller_s_93_4629.exe
C:\sir1646088.exe
C:\doyo_setup_3051_s.exe
C:\chaosu_5024_R.exe
C:\kuping_s_50405.exe
C:\Setup_105.exe
C:\dianxin_silent[95].exe
C:\jKAVSETUPS_60_300215.exe
C:\qksbinstaller_s_71_600107.exe
c:\windows\Tasks\Relive.job

Driver::

Folder::
C:\RavBin
c:\programdata\Rising
c:\program files\Rising
c:\program files\Doyo
c:\users\Admin\AppData\Roaming\bho
c:\users\Admin\AppData\Roaming\usesyncConfig
c:\users\Admin\AppData\Roaming\usecalendar
c:\program files\UseCalendarEx
c:\program files\kuping4
C:\KRECYCLE
c:\users\Admin\AppData\Roaming\shoujizhushou
c:\users\Admin\AppData\Roaming\Kingsoft
c:\users\Admin\AppData\Local\Kingsoft
c:\programdata\Kingsoft
c:\users\Admin\AppData\Local\liebao

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kxesc"=-

FileLook::
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bf.exe

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://safezone.cc/images/cfscript.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Прикрепряю лог выполнения скрипта combofix.

Обновите MySQL до последней версии, явно через него взламывают.

Скрипт Комбофикс не удалил .exe файлы которые были в корне диска C. Я удалил их вручную и сделал копию в запароленом архиве. Если они будут необходимы выложу на файлообменник.
Обновил mysql до последней актуальной версии. Думал, что все отлично, но через некоторое время снова аваст ругается на mysqld.exe.
Предполагаю, что это не дыра в mysql, а зловред использует просто его возможности.
Сделать снова логи АВЗ или какие-нибудь другие?