Показано с 1 по 13 из 13.

вирус в виде китайский программ (заявка № 183715)

  1. #1
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    21
    Вес репутации
    30

    вирус в виде китайский программ

    Доброго времени суток. Возникла следующая проблема:
    Отец на стареньком ноуте с WinXP х32 подхватил какой-то вирус из инета. вирус установил кучу прог на китайском языке (вместо иероглифов отображались квадраты). среди этих прог был какой-то закос под китайскую аську QQ, антивирус kingsoft, UCBrowser, вроде даже продукты от mail.ru (по крайней мере за это они себя выдавали) и еще что-то.
    как пробовал лечить:
    1) по дате изменения вычислил в program files соответствующие папки програм, попробовал их удалить - файлы заблокированы. unlocker не помог.
    2) загрузился в безопасном режиме под админом и руками удалил эти папки.
    3) после чего в обычном режиме винда не грузилась (после окна с надписью "запуск windows" был просто черный экран. причем черный "вообще" - даже подсветка экрана не горела)
    4) в безопасном режиме (в него загрузилось нормально) руками почистил ключи в реестре, которые нашлись по поиску "kingsoft"
    5) загрузился в обычном режиме - загрузка прошла успешно, только между экранами "запуск windows" и "приветствие" высветилось какое-то окно с квадратами (иероглифами), если его закрыть - дальше грузится нормально. (при загрузке в безопасном режиме все разы появлялось такое же окно)


    так же в логах системы (ПКМ мой компьютер -> управление -> служебные программы -> просмотр событий -> система) при загрузке начали появляться две ошибки. смотрел более ранние логи - их не было. скрины ошибок прикрепляю к сообщению.

    P.S. логи делал по этой инструкции (она первая появилась в гугле). насколкьо я понял там те же AVZ и hijackthis только автоматизированны

    Скрытый текст


    1.png
    2.png
    Скрыть


    P.S. так же среди удаленных папок было что-то с названием вроде "trecent" или как-то так. все удаленные папки были созданы 14 мая вечером (после 17:00 или даже 19:00)

    P.S.2 в ходе проверки утилитой CureIt случайно был удален кряк antiwpa (потом восстановил его)
    Вложения Вложения
    Последний раз редактировалось Foxchrome; 15.05.2015 в 00:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Foxchrome, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Цитата Сообщение от Foxchrome Посмотреть сообщение
    P.S. логи делал по этой инструкции (она первая появилась в гугле).
    Здесь свои правила, для начала сойдёт, но в дальнейшем всё же придерживайтесь стандартов этого форума.

    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('QMUdisk');
     DeleteFileMask('C:\KRECYCLE', '*', true);
     DeleteFileMask('C:\Documents and Settings\111\Application Data\Kingsoft', '*', true);
     DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Kingsoft', '*', true);
     DeleteFileMask('C:\Documents and Settings\111\Application Data\Tencent', '*', true);
     DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Tencent', '*', true);
     DeleteDirectory('C:\KRECYCLE');
     DeleteDirectory('C:\Documents and Settings\111\Application Data\Kingsoft');
     DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Kingsoft');
     DeleteDirectory('C:\Documents and Settings\111\Application Data\Tencent');
     DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Tencent');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ucguard.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ksapi64.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ksapi.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\ksskrpr.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\kisnetmxp.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\kisnetm64.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\kisknl.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\kisknl64.sys');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\kisnetm.sys');
     BC_DeleteFile('C:\WINDOWS\system32\drivers\bc.sys');
     BC_DeleteSvc('ksapi');
     BC_DeleteSvc('kisknl');
     BC_DeleteSvc('kisnetm');
    ExecuteRepair(3);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    21
    Вес репутации
    30
    Выполнил
    ...в логах системы еще осталась ошибка про KDhacker (остальные исчезли)
    Вложения Вложения
    • Тип файла: rar logs.rar (30.8 Кб, 1 просмотров)

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    МэйлРушные утилиты, стартовые, расширения - нужны?
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    21
    Вес репутации
    30
    мэил ру не нужен.
    кроме него ничего не осталось?

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Много чего, дочистим сейчас.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKU\S-1-5-21-1708537768-1035525444-725345543-1004\...\Run: [AdobeBridge] => [X]
    FF DefaultSearchEngine: Поиск@Mail.Ru
    FF SelectedSearchEngine: Поиск@Mail.Ru
    FF Homepage: hxxp://mail.ru/cnt/10445?gp=openpart
    FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
    CHR Extension: (Домашняя страница Mail.Ru) - C:\Documents and Settings\111\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mfmjpfoggikolkfilofbpgcnhdcgahib [2015-05-14]
    CHR Extension: (Mail.Ru) - C:\Documents and Settings\111\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pfjgibhmcgncmjhdodpaolfbjpjjajal [2015-05-14]
    CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Documents and Settings\111\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pgaidlfgjkmeendhknafahppllbniejm [2015-05-14]
    CHR Extension: (No Name) - C:\Documents and Settings\111\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm [2015-05-14]
    CHR HKLM\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - https://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - https://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
    S1 KDHacker; No ImagePath
    2015-05-14 19:03 - 2015-05-14 19:03 - 00000000 ____D () C:\Documents and Settings\All Users\Главное меню\Программы\UC浏览器
    2015-05-14 19:03 - 2015-05-14 19:03 - 00000000 ____D () C:\Documents and Settings\111\Local Settings\Application Data\UCBrowser
    2015-05-14 19:03 - 2015-05-14 19:03 - 00000000 ____D () C:\Documents and Settings\111\Application Data\dg
    2015-05-14 19:04 - 2015-05-14 19:04 - 00000000 ____D () C:\Documents and Settings\111\Local Settings\Application Data\Kingsoft
    2015-05-14 19:02 - 2015-05-14 19:45 - 00065536 _____ () C:\WINDOWS\system32\config\KAVEventLog.EVT
    2015-05-14 19:02 - 2015-05-14 19:28 - 00196608 _____ () C:\WINDOWS\system32\config\Kingsoft.evt
    2015-05-14 19:02 - 2015-05-14 19:02 - 00000000 ____D () C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸
    2015-05-14 18:59 - 2015-05-14 19:02 - 00000000 ____D () C:\Documents and Settings\111\Главное меню\Программы\腾讯软件
    2015-05-14 18:59 - 2015-05-14 19:00 - 00000000 ____D () C:\Documents and Settings\LocalService\Application Data\Tencent
    2015-05-14 18:54 - 2015-05-14 18:54 - 00000000 ____D () C:\Documents and Settings\111\Local Settings\Application Data\MailRu
    2015-05-14 18:53 - 2015-05-14 18:54 - 00000000 ____D () C:\Documents and Settings\111\Local Settings\Application Data\Mail.Ru
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
    DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
    DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
    DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMAccountProtection.exe] => Enabled:????-???
    StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件
    StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报
    StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMAccountProtection.exe] => Enabled:????-???
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\卸载金山毒霸.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\uni0nst.exe (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\在线升级.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\kislive.exe (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\日志查看器.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\kavlog2.exe (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\病毒隔离系统.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\krecycle.exe (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\金山毒霸.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\kismain.exe (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\访问金山公司网站\金山公司主页.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\ressrc\chs\web\kingsoft_main.htm (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\访问金山公司网站\金山毒霸官方微博.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\ressrc\chs\web\kingsoft_weibo.htm (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\访问金山公司网站\金山毒霸官方社区.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\ressrc\chs\web\kingsoft_bbs.htm (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\金山毒霸\访问金山公司网站\金山毒霸网站.lnk -> C:\Program Files\kingsoft\kingsoft antivirus\ressrc\chs\web\kingsoft_duba.htm (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\UC浏览器\UC浏览器.lnk -> C:\Program Files\UCBrowser\Application\UCBrowser.exe (No File)
    Shortcut: C:\Documents and Settings\All Users\Главное меню\Программы\UC浏览器\卸载UC浏览器.lnk -> C:\Program Files\UCBrowser\Application\Uninstall.exe (No File)
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемами.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    21
    Вес репутации
    30
    на форуме я вижу иероглифы в вашем коде, но когда копирую в текстовый файл, то они автоматически заменяются квадратами. это может как-то помешать лечению?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Для верности сохраните fixlist.txt из вложения.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    21
    Вес репутации
    30
    код сохранял в блокноте в кодировке UTF-8
    после фикса и перезагрузки в логах системы пропало сообщение об ошибке, но между экраном "запуск windows" и "приветствие" опять появлялось окно с иероглифами из первого сообщения (после выполнение вашего скрипта в AVZ и сканирования с помощью FRST этого окна не было)
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Удалите папку C:\FRST со всем содержимым.

    Попробуйте твик реестра из вложения tweaks.zip, после перезагрузки сообщите, что с иероглифами.
    WBR,
    Vadim

  13. Это понравилось:


  14. #12
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    21
    Вес репутации
    30
    вроде бы всё чисто. спасибо
    P.S. возник такой вопрос: что запускалось в качестве этого окна с иероглифами при загрузке? насколько я понял, твик реестра просто убрал лишние пути. а сам файл где-то остался?

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Нет, это всё в реестре прописано было.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

Похожие темы

  1. Китайский Вирус
    От hateyou в разделе Помогите!
    Ответов: 20
    Последнее сообщение: 25.12.2014, 19:33
  2. Китайский вирус
    От lolocik в разделе Помогите!
    Ответов: 42
    Последнее сообщение: 02.12.2014, 16:43
  3. Китайский вирус
    От Женя *** 164579063 в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 02.10.2014, 22:21
  4. Ответов: 9
    Последнее сообщение: 30.11.2009, 02:13

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01245 seconds with 17 queries