Китайская Imyumqu.exe грузит проц на 100%

**rutkit** · 18.05.2016, 20:25

Здравствуйте!
Такая проблема, окала часа наблюдаю странное поведение ноута, загрузка процессора прыгает от 50 до 100 в режиме покоя.
Ранее такого не было и выше 5% никогда не превышало.Прогнал cureit ничего не нашел он
Зашел в диспетчер и вижу новый процесс Imyumqu.exe QQ游戏下载程序 он никак не удаляется.
В поисковике вбивал ничего не нашел о нем, даже google не знает что это такое.
Судя по дате, сегодня это программа появилась в Program Files , но софт я никакой не ставил.
Так же появилась папка карантина.
Программа QQ отравляет данные по такому ip http://joxi.ru/eAO1qyZt4K5VNm?d=1 я ее заблокировал по трафику,

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.05.2016, 20:26

Уважаемый(ая) rutkit, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**rutkit** · 19.05.2016, 12:33

Хелперы ответьте пожалуйста!

**thyrex** · 19.05.2016, 21:35

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 SetServiceStart('Wsiyse gswwmwci', 4);
 DeleteService('Wsiyse gswwmwci');
 TerminateProcessByName('c:\program files (x86)\microsoft gecqis\imyumqu.exe');
 QuarantineFile('c:\program files (x86)\microsoft gecqis\imyumqu.exe','');
 DeleteFile('c:\program files (x86)\microsoft gecqis\imyumqu.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**rutkit** · 19.05.2016, 23:05

при загрузке пишет ошибка.
Результат загрузки

Ошибка загрузки. Данный файл уже был загружен

я закинул в яндекс диск на всякий случай
https://yadi.sk/d/AvymB8Vnrr2vN
очень странный размер 22 байт всего.
есть еще один карантин virusinfo_autoquarantine.zip
требуется ли его загружать?

**thyrex** · 21.05.2016, 09:33

Новые логи где?

**rutkit** · 21.05.2016, 22:47

вот новые логи

**rutkit** · 22.05.2016, 11:32

у меня снова появился странный процесс, http://joxi.ru/8AnVX84fqEoMLA?d=1
появляется еще ряд процессов сами по себе http://joxi.ru/brR6DN3uQGLb7r?d=1
я в шоке. Не успеваю их посмотреть, само расположение, от куда они лезут я не могу понять.
Нашел гнездо, где они живут это черви. http://joxi.ru/brR6DN3uQGLZ7r?d=1
И еще нашел место на локальном сервере в папке mysql 5.5 появились 2 файла sillyr_x xttll.dll
А сервер у меня смотрел на внешний ip

Пришлось заняться самолечением, использовал такой скрипт

Код:

begin
 QuarantineFile('C:\Users\sh@man\AppData\Local\Amigo\Application\amigo.exe','');
 QuarantineFile('C:\Windows\SysWOW64\Drivers.com','');
 QuarantineFile('d:\___open-server\modules\database\MySQL-5.5\lib\plugin\sillyr_x.so','');
 QuarantineFile('d:\___open-server\modules\database\MySQL-5.5\lib\plugin\lxjxh.dll','');
 QuarantineFile('c:\program files (x86)\common files\svchost.exe','');
 QuarantineFile('c:\windows\syswow64\drivers.com','');
 DeleteFile('c:\windows\syswow64\drivers.com','32');
 DeleteFile('c:\program files (x86)\common files\svchost.exe','32');
 DeleteFile('c:\users\sh@man\desktop\virus\svchost.exe','32');
 DeleteFile('d:\___open-server\modules\database\MySQL-5.5\lib\plugin\lxjxh.dll','32');
 DeleteFile('d:\___open-server\modules\database\MySQL-5.5\lib\plugin\sillyr_x.so','32');
 DeleteFile('C:\Windows\SysWOW64\Drivers.com','32');
 DeleteFile('C:\Users\sh@man\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\sh@man\AppData\Local\Mail.Ru\MailRuUpdater.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
end.

а потом
такой

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Был создан карантин.
Сейчас попробую полечить cureit потому что, на ноуте стали запускаться программы разные само по себе и запустилась камера тоже. А работу работать надо

Китайская Imyumqu.exe грузит проц на 100% (заявка № 200601)

Опции темы