вирус в виде китайский программ

Доброго времени суток. Возникла следующая проблема:
Отец на стареньком ноуте с WinXP х32 подхватил какой-то вирус из инета. вирус установил кучу прог на китайском языке (вместо иероглифов отображались квадраты). среди этих прог был какой-то закос под китайскую аську QQ, антивирус kingsoft, UCBrowser, вроде даже продукты от mail.ru (по крайней мере за это они себя выдавали) и еще что-то.
как пробовал лечить:
1) по дате изменения вычислил в program files соответствующие папки програм, попробовал их удалить - файлы заблокированы. unlocker не помог.
2) загрузился в безопасном режиме под админом и руками удалил эти папки.
3) после чего в обычном режиме винда не грузилась (после окна с надписью "запуск windows" был просто черный экран. причем черный "вообще" - даже подсветка экрана не горела)
4) в безопасном режиме (в него загрузилось нормально) руками почистил ключи в реестре, которые нашлись по поиску "kingsoft"
5) загрузился в обычном режиме - загрузка прошла успешно, только между экранами "запуск windows" и "приветствие" высветилось какое-то окно с квадратами (иероглифами), если его закрыть - дальше грузится нормально. (при загрузке в безопасном режиме все разы появлялось такое же окно)


так же в логах системы (ПКМ мой компьютер -> управление -> служебные программы -> просмотр событий -> система) при загрузке начали появляться две ошибки. смотрел более ранние логи - их не было. скрины ошибок прикрепляю к сообщению.

P.S. логи делал по [URL="http://forum.oszone.net/thread-98169.html"]этой[/URL] инструкции (она первая появилась в гугле). насколкьо я понял там те же AVZ и hijackthis только автоматизированны

[SPOILER]
[ATTACH=CONFIG]562061[/ATTACH]
[ATTACH=CONFIG]562062[/ATTACH]
[/SPOILER]

P.S. так же среди удаленных папок было что-то с названием вроде "trecent" или как-то так. все удаленные папки были созданы 14 мая вечером (после 17:00 или даже 19:00)

P.S.2 в ходе проверки утилитой CureIt случайно был удален кряк antiwpa (потом восстановил его)

Уважаемый(ая) [B]Foxchrome[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE=Foxchrome;1272473]P.S. логи делал по [URL="http://forum.oszone.net/thread-98169.html"]этой[/URL] инструкции (она первая появилась в гугле).[/QUOTE]

Здесь свои [URL="http://virusinfo.info/pravila.html"]правила[/URL], для начала сойдёт, но в дальнейшем всё же придерживайтесь стандартов этого форума.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('QMUdisk');
DeleteFileMask('C:\KRECYCLE', '*', true);
DeleteFileMask('C:\Documents and Settings\111\Application Data\Kingsoft', '*', true);
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Kingsoft', '*', true);
DeleteFileMask('C:\Documents and Settings\111\Application Data\Tencent', '*', true);
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Tencent', '*', true);
DeleteDirectory('C:\KRECYCLE');
DeleteDirectory('C:\Documents and Settings\111\Application Data\Kingsoft');
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Kingsoft');
DeleteDirectory('C:\Documents and Settings\111\Application Data\Tencent');
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Tencent');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\ucguard.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ksapi64.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ksapi.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ksskrpr.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\kisnetmxp.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\kisnetm64.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\kisknl.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\kisknl64.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\kisnetm.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\bc.sys');
BC_DeleteSvc('ksapi');
BC_DeleteSvc('kisknl');
BC_DeleteSvc('kisnetm');
ExecuteRepair(3);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).

Выполнил
...в логах системы еще осталась ошибка про KDhacker (остальные исчезли)

МэйлРушные утилиты, стартовые, расширения - нужны?

мэил ру не нужен.
кроме него ничего не осталось?

Много чего, дочистим сейчас.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKU\S-1-5-21-1708537768-1035525444-725345543-1004\...\Run: [AdobeBridge] => [X]
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=openpart
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\111\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mfmjpfoggikolkfilofbpgcnhdcgahib [2015-05-14]
CHR Extension: (Mail.Ru) - C:\Documents and Settings\111\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pfjgibhmcgncmjhdodpaolfbjpjjajal [2015-05-14]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Documents and Settings\111\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pgaidlfgjkmeendhknafahppllbniejm [2015-05-14]
CHR Extension: (No Name) - C:\Documents and Settings\111\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm [2015-05-14]
CHR HKLM\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
S1 KDHacker; No ImagePath
2015-05-14 19:03 - 2015-05-14 19:03 - 00000000 ____D () C:\Documents and Settings\All Users\Главное меню\Программы\UC浏览器
2015-05-14 19:03 - 2015-05-14 19:03 - 00000000 ____D () C:\Documents and Settings\111\Local Settings\Application Data\UCBrowser
2015-05-14 19:03 - 2015-05-14 19:03 - 00000000 ____D () C:\Documents and Settings\111\Application Data\dg
2015-05-14 19:04 - 2015-05-14 19:04 - 00000000 ____D () C:\Documents and Settings\111\Local Settings\Application Data\Kingsoft
2015-05-14 19:02 - 2015-05-14 19:45 - 00065536 _____ () C:\WINDOWS\system32\config\KAVEventLog.EVT
2015-05-14 19:02 - 2015-05-14 19:28 - 00196608 _____ () C:\WINDOWS\system32\config\Kingsoft.evt
2015-05-14 19:02 - 2015-05-14 19:02 - 00000000 ____D () C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸
2015-05-14 18:59 - 2015-05-14 19:02 - 00000000 ____D () C:\Documents and Settings\111\Главное меню\Программы\腾讯软件
2015-05-14 18:59 - 2015-05-14 19:00 - 00000000 ____D () C:\Documents and Settings\LocalService\Application Data\Tencent
2015-05-14 18:54 - 2015-05-14 18:54 - 00000000 ____D () C:\Documents and Settings\111\Local Settings\Application Data\MailRu
2015-05-14 18:53 - 2015-05-14 18:54 - 00000000 ____D () C:\Documents and Settings\111\Local Settings\Application Data\Mail.Ru
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMAccountProtection.exe] => Enabled:????-???
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMAccountProtection.exe] => Enabled:????-???
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\卸载金山毒霸.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\uni0nst.exe (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\在线升级.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\kislive.exe (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\日志查看器.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\kavlog2.exe (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\病毒隔离系统.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\krecycle.exe (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\金山毒霸.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\kismain.exe (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\访问金山公司网站\金山公司主页.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\ressrc\chs\web\kingsoft_main.htm (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\访问金山公司网站\金山毒霸官方微博.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\ressrc\chs\web\kingsoft_weibo.htm (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\访问金山公司网站\金山毒霸官方社区.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\ressrc\chs\web\kingsoft_bbs.htm (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\访问金山公司网站\金山毒霸网站.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\ressrc\chs\web\kingsoft_duba.htm (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\UC浏览器\UC浏览器.lnk -> C:\Program Files\UCBrowser\Application\UCBrowser.exe (No File)
Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\UC浏览器\卸载UC浏览器.lnk -> C:\Program Files\UCBrowser\Application\Uninstall.exe (No File)
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

на форуме я вижу иероглифы в вашем коде, но когда копирую в текстовый файл, то они автоматически заменяются квадратами. это может как-то помешать лечению?

Для верности сохраните [ATTACH=CONFIG]562103[/ATTACH] из вложения.

код сохранял в блокноте в кодировке UTF-8
после фикса и перезагрузки в логах системы пропало сообщение об ошибке, но между экраном "запуск windows" и "приветствие" опять появлялось окно с иероглифами из первого сообщения (после выполнение вашего скрипта в AVZ и сканирования с помощью FRST этого окна не было)

Удалите папку C:\FRST со всем содержимым.

Попробуйте твик реестра из вложения [ATTACH=CONFIG]562113[/ATTACH], после перезагрузки сообщите, что с иероглифами.

вроде бы всё чисто. спасибо
P.S. возник такой вопрос: что запускалось в качестве этого окна с иероглифами при загрузке? насколько я понял, твик реестра просто убрал лишние пути. а сам файл где-то остался?

Нет, это всё в реестре прописано было.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].