На рабочем столе появился гаджет, показывает загрузку процессора, погоду...

[Insaff 0]

На рабочем столе появился гаджет, показывает загрузку процессора, погоду, скорость интернета, выглядит так. В диспетчере куча непонятных процессов, например kxetray.exe, удалить процесс не дает. Программа  Malwarebytes' Anti-Malware инсталируется, но не запускается ошибка не найден файл. Логи Вашим Автоматическим сборщиком логов собрал логи. Картинку с гаджетом прикладываю. При нажатии на него появлятся системное меню, там только квадратики, как будьто кодировка неправильная. Через некоторое время компьютер зависает, но не наглухо. Мышка двигается, Ктрл+Алт+ДЕЛ появляется окно лиспетчера задач, но с ним уже ничего нельзя сделать, как будьто отказали и левая и правая кнопки мыши.

CollectionLog-2016.01.22-00.34.zip

[thyrex 1 468]

kingsoft antivirus сами устанавливали?

[Insaff 0]

kingsoft antivirus сами устанавливали?

нет

[thyrex 1 468]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\msvlqr.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Update\Explorer.exe','');
 DeleteService('WINIO');
 DeleteService('TS888');
 DeleteService('QMUdisk');
 TerminateProcessByName('c:\documents and settings\all users\application data\vksaver\vksaver.exe');
 TerminateProcessByName('d:\system\program files\kingsoft\kingsoft antivirus\kxescore.exe');
 TerminateProcessByName('d:\system\program files\kingsoft\kingsoft antivirus\kxetray.exe');
 DeleteFile('d:\system\program files\kingsoft\kingsoft antivirus\kxescore.exe','32');
 DeleteFile('d:\system\program files\kingsoft\kingsoft antivirus\kxetray.exe','32');
 DeleteFile('c:\documents and settings\all users\application data\vksaver\vksaver.exe','32');
 DeleteFile('D:\system\program files\kingsoft\kingsoft antivirus\kminitray.dll','32');
 DeleteFile('D:\system\program files\kingsoft\kingsoft antivirus\kusbcore.dll','32');
 DeleteFile('D:\system\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMUdisk.sys','32');
 DeleteFile('D:\system\Program Files\Tencent\QQPCMgr\10.5.15816.217\TS888.sys','32');
 DeleteFile('D:\system\Program Files\IQIYI Video\LStyle\winio.sys','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Update\Explorer.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Explorer Manager');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\msvlqr.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4027906723');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 DeleteFile('C:\WINDOWS\system32\userini.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Explorer Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 DeleteFile('D:\system\Program Files\IQIYI Video\LStyle\MobProtect.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\MobProtect.job','32');
 DeleteFile('d:\system\program files\kingsoft\kingsoft antivirus\security\ksnetm\kisnetmxp.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[Insaff 0]

Выполните скрипт в AVZ

Скрипты выполнил, архив отправил  по электронной почте, получил ответ -  KLAN-3644208664

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','');
 QuarantineFile('C:\WINDOWS\system32\userini.exe','');
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\msvlqr.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Update\Explorer.exe','');
 DeleteService('WINIO');
 DeleteService('TS888');
 DeleteService('QMUdisk');
 TerminateProcessByName('c:\documents and settings\all users\application data\vksaver\vksaver.exe');
 TerminateProcessByName('d:\system\program files\kingsoft\kingsoft antivirus\kxescore.exe');
 TerminateProcessByName('d:\system\program files\kingsoft\kingsoft antivirus\kxetray.exe');
 DeleteFile('d:\system\program files\kingsoft\kingsoft antivirus\kxescore.exe','32');
 DeleteFile('d:\system\program files\kingsoft\kingsoft antivirus\kxetray.exe','32');
 DeleteFile('c:\documents and settings\all users\application data\vksaver\vksaver.exe','32');
 DeleteFile('D:\system\program files\kingsoft\kingsoft antivirus\kminitray.dll','32');
 DeleteFile('D:\system\program files\kingsoft\kingsoft antivirus\kusbcore.dll','32');
 DeleteFile('D:\system\Program Files\Tencent\QQPCMgr\10.5.15816.217\QMUdisk.sys','32');
 DeleteFile('D:\system\Program Files\Tencent\QQPCMgr\10.5.15816.217\TS888.sys','32');
 DeleteFile('D:\system\Program Files\IQIYI Video\LStyle\winio.sys','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Update\Explorer.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Explorer Manager');
 DeleteFile('C:\DOCUME~1\ALLUSE~1\msvlqr.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4027906723');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 DeleteFile('C:\WINDOWS\system32\userini.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Explorer Manager','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Manager','command');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Update\MSupdate.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
 DeleteFile('D:\system\Program Files\IQIYI Video\LStyle\MobProtect.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\MobProtect.job','32');
 DeleteFile('d:\system\program files\kingsoft\kingsoft antivirus\security\ksnetm\kisnetmxp.sys','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

 

УПС, похоже отпраил пустой архив, отправлю заново

[thyrex 1 468]

Новые логи где?