Китайская AdWare [not-a-virus:RiskTool.Win32.KuaiZip.a, not-a-virus:AdWare.Win32.Agent.xxdeub ]

[ИваСерж]

Здравствуйте.
Установил программку с сайта http://www.erightsoft.com/Superdc.html "бесплатную" версию "с рекламой". Программка оказалась бесполезной виндоуз-формой, зато наставила кучу неизвестных программ. В частности не нужный мне KuaiZip. Браузер "зажил" своей жизнью на китайском, перехватывает запросы в гугл.
Проверил CureIt -что-то вычистило, но симптомы остались.
Лог прикладываю

[Info_bot]

Уважаемый(ая) ИваСерж, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Серж\appdata\local\temp\00010887\msiql.exe');
 QuarantineFile('c:\users\Серж\appdata\local\temp\00010887\msiql.exe', '');
 QuarantineFile('C:\Program Files (x86)\Phperleghevagh Builder\local64spl.dll', '');
 DeleteFile('c:\users\Серж\appdata\local\temp\00010887\msiql.exe', '32');
 DeleteFile('C:\Program Files (x86)\Phperleghevagh Builder\local64spl.dll', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Tobishsteraent" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'msiql');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

[ИваСерж]

1. Ссылка на карантин после первого запуска АВЗ
https://virusinfo.info/virusdetector...724B5420AD6797
2. Архив карантина добавлен в вверху темы
3. Лог после запуска AutoLogger прикладываю
4. Лог от AdwCleaner прикладываю. От угроз пока не чистил.

[regist]

1)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2) Свежие логи AutoLogger-ом сделайте.

[ИваСерж]

Ситуация чуть-чуть улучшилась, хотя появились другие симптомы: с какой-то периодичностью начал мерцать монитор. Либо дергается вся картинка влево, либо на несколько секунд черный монитор. Может быть связано с вирусом?
Надо ли будет поменять пароли? Такое впечатление, что троянец их и собирал.

[regist]

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O22 - Task (Ready): Online Application v209 - C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe 1 60 (file missing)
O22 - Task (Ready): Online Application v209 Guard - C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe 1 61 (file missing)
O22 - Task (Ready): Online Application v209 Guardian - C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe 1 62 (file missing)
O22 - Task (Ready): Traffic Exchange v2 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 36 (file missing)
O22 - Task (Ready): Traffic Exchange v2 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 37 (file missing)
O22 - Task (Ready): Traffic Exchange v2 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe 1 38 (file missing)
O22 - Task (Ready): Traffic Exchange v209 - 1 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 60 (file missing)
O22 - Task (Ready): Traffic Exchange v209 - 2 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 61 (file missing)
O22 - Task (Ready): Traffic Exchange v209 - 3 - C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe 1 62 (file missing)
O22 - Task (Ready): \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (file missing)

Доказательств, что вирус собирал пароли нет, но раз заразились, то сменить их в любом случае не помешает.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[ИваСерж]

Лог прикладываю.
Проблем с браузерами нет. КавайЗип тоже вроде пропал.
Остались всплывающие китайские окна (не в браузере, а вполне себе самостоятельные)

[regist]

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.87.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
BREG
dirzooex %SystemDrive%\PROGRAM FILES\ЇМС№\X86
deldir %SystemDrive%\PROGRAM FILES\ЇМС№\X86
dirzooex %SystemDrive%\PROGRAM FILES\ЇМС№\X64
deldir %SystemDrive%\PROGRAM FILES\ЇМС№\X64
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.39.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.51.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.57.1\PSMACHINE.DLL
delall KUAIZIP SHELL EXTENSION\[CLSID]
czoo
restart

что с проблемой?

[ИваСерж]

Видимых проблем больше нет. При старте винды ничего не вылазит. Браузеры тоже чистые. Кавай-зип вычищен. Остатки, что лежали по пути "C:\Program Files\їмС№" стер вручную.
Спасибо за рещение проблемы.

[regist]

Выполните скрипт в uVS и пришлите карантин

карантин не прислали.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[ИваСерж]

Файл добавил. Лог выполнения АВЗ тоже приложил.

[regist]

Устраняйте уязвимости, на этом всё.
Удачи .

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 27
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\phperleghevagh builder\local64spl.dll - Trojan.Win64.Eroyee.ra
  2. c:\users\серж\appdata\local\temp\00010887\msiql.ex e - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen ( BitDefender: Gen:Variant.Zusy.188040 )
  3. \diskopt.exe._0731e07a7f1c220a39947e8ea927e04ef2e1 23b5 - not-a-virus:RiskTool.Win32.KuaiZip.a
  4. \duilib.dll._ca6ceee4395eda7ce598e72161ddae89b6e1e 7b5 - not-a-virus:RiskTool.Win32.KuaiZip.a
  5. \finderlib.dll._1b860a6e9ed5ac54f006418d85334cee27 842108 - not-a-virus:RiskTool.Win32.KuaiZip.a
  6. \kuaizip.exe._2ae13cc139978a281b009a2434ce2cad1c55 3ba1 - not-a-virus:RiskTool.Win32.KuaiZip.a
  7. \kuaizipupdatechecker.dll._32674f0d10e4988d4300da8 dfb5caf6e62da45d6 - not-a-virus:RiskTool.Win32.KuaiZip.a
  8. \kzformat.dll._a021b7588bd555fe481079c515dddacc31e 713a2 - not-a-virus:RiskTool.Win32.KuaiZip.a
  9. \kzformat.dll._69912d29fdb36d8c2f3e8ef9e9e12a7371a e5634 - not-a-virus:RiskTool.Win32.KuaiZip.a
  10. \kzipshell.dll._ecbe02fdab71e9c4544b5fe5c8f90bae01 21ecff - not-a-virus:RiskTool.Win32.KuaiZip.a
  11. \kzmodule.dll._48380ec800edca2abea0d583a8e6c90d8d9 0ebde - not-a-virus:RiskTool.Win32.KuaiZip.a
  12. \kzmodule.dll._9c7ac3cfd9b31e9796ab9085b0220a8a318 e409e - not-a-virus:RiskTool.Win32.KuaiZip.a
  13. \kzmount2.exe._e1b0ca2e54c25a9e33fe6c5f8f1fd6c0a37 08ed7 - not-a-virus:RiskTool.Win32.KuaiZip.a
  14. \kzreport.exe._2fd1d0446ffc5e64459fe200a8a3ae5f92b a5b6c - not-a-virus:RiskTool.Win32.KuaiZip.a
  15. \kztui.exe._50aca6b4c85d1595e249077570e1dfea18a6be ca - not-a-virus:AdWare.Win32.Agent.xxdeub
  16. \mountcore.dll._de963d0a725bc8a14de235856460ef66c3 7096d6 - not-a-virus:RiskTool.Win32.KuaiZip.a
  17. \mountcore.dll._51255fe37b450ae67634468825cb5c502a 808606 - not-a-virus:RiskTool.Win32.KuaiZip.a
  18. \mount.dll._53ec253474c6aae7f0c697e9a74fc53745ae59 a9 - not-a-virus:RiskTool.Win32.KuaiZip.a
  19. \mount.dll._82f53d53746c32a564953f34565c629455a61b a4 - not-a-virus:RiskTool.Win32.KuaiZip.a
  20. \setuphelper.exe._71cf9d96cb40bed662c024dfedfb560e 172bcb38 - not-a-virus:RiskTool.Win32.KuaiZip.a
  21. \setuphelper.exe._9a7641221b1c600e4a2394cdbd84bb3d 5fc80735 - not-a-virus:RiskTool.Win32.KuaiZip.a
  22. \uninst.exe._23e30226591813d7b130655ebbcc454783484 aad - not-a-virus:RiskTool.Win32.KuaiZip.a
  23. \updatechecker.exe._e9a63f5cd8a19bf31bbbf464c46745 2ae97e578e - not-a-virus:RiskTool.Win32.KuaiZip.a
  24. \update.exe._342963e2321d1e86b96253afb3af02d9794d7 c15 - not-a-virus:RiskTool.Win32.KuaiZip.a
  25. \7z.dll._bc33bb91e3f986618e67e082d6a1d3d470f4e911 - not-a-virus:RiskTool.Win32.KuaiZip.a
  26. \7z.dll._e78970ec11c533783c86ff6d6fc3170fd04ac597 - not-a-virus:RiskTool.Win32.KuaiZip.a