китайский вирус тенсент и его друзья

[lunalex80]

Дети скачивали игры ну и накачали вирусов ( антивирусника не было ) .

в раскладке клавиатуры появился китайский язык (выключить в системе не удается ) , постоянные всплывающие окна в треть экрана , открывание непонятных окон по 100 штук а то и больше , скачал антивирусники ( касперский фри и т.д ) . Ничего не обнаруживается все типа в порядке. В папке программ файлс  нашел папку тенсент удалил через "revo uninstall" , все на прежнем месте!! Что делать?

CollectionLog-2017.04.01-15.02.zip

[regist]

Здравствуйте!

 

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

2) Cezurity Antivirus Scanner и Kaspersky - остаться должен только один антивирус, советую удалить Cezurity.

 

3) Youtube AdBlock - сами ставили?

 

 

4)

Игровой центр [2015/06/29 19:21:20]-->"C:\Users\user\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall
Служба автоматического обновления программ [2017/02/25 16:56:07]-->C:\Users\user\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

Деинсталируйте.

 

5) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\user\appdata\roaming\kyubey\kyubey.exe');
 SetServiceStart('ucdrv', 4);
 StopService('ucdrv');
 StopService('MaohaWifiNetPro');
 StopService('Kyubey');
 StopService('BallduckSU');
 QuarantineFile('C:\Program Files\firefox\bin\firefoxupdate.exe', '');
 QuarantineFile('C:\Windows\System32\drivers:ucdrv-x86.sys', '');
 QuarantineFile('C:\Program Files\Maoha\MaohaAP\MaoHaWiFiNet.sys', '');
 QuarantineFileF('c:\users\user\appdata\roaming\kyubey', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files\їмс№', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\users\user\appdata\roaming\kyubey\kyubey.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\1\Bfinstall.exe', '');
 QuarantineFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Program Files\MIO\MIO.exe', '');
 QuarantineFile('C:\ProgramData\smp2.exe', '');
 QuarantineFile('C:\Windows\System32\drivers:ucdrv-x86.sys:$DATA', '');
 QuarantineFileF('C:\Program Files\Maoha\MaohaAP', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Windows\System32\drivers:x86:$DATA', '');
 QuarantineFileF('C:\Users\user\AppData\Roaming\Vofer2\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Roaming\SearchAY\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\49R5753T1912Y884', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Tencent\QQBrowser\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\Maoha\MaohaAP\MaoHaWiFiNet.sys', '32');
 DeleteFile('C:\Windows\System32\drivers:ucdrv-x86.sys', '32');
 DeleteFile('C:\Windows\Tasks\QQBrowser Updater Task.job', '32');
 DeleteFile('C:\Windows\Tasks\QQBrowser Updater Task(Core).job', '32');
 DeleteFile('c:\users\user\appdata\roaming\kyubey\kyubey.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\1\Bfinstall.exe', '32');
 DeleteFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Program Files\MIO\MIO.exe', '32');
 DeleteFile('C:\ProgramData\smp2.exe', '32');
 DeleteFile('C:\Windows\System32\drivers:ucdrv-x86.sys:$DATA', '32');
 DeleteFile('C:\Windows\System32\drivers:x86:$DATA', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Fuduwardstalaward" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "49R5753T1912Y884" /F', 0, 15000, true);
 DeleteService('ucdrv');
 DeleteService('MaohaWifiNetPro');
 DeleteService('Kyubey');
 DeleteService('BallduckSU');
 DeleteFileMask('C:\Program Files\Maoha\MaohaAP', '*', true);
 DeleteFileMask('C:\Users\user\AppData\Roaming\Vofer2\', '*', true);
 DeleteFileMask('C:\Users\user\AppData\Roaming\SearchAY\', '*', true);
 DeleteFileMask('C:\ProgramData\49R5753T1912Y884', '*', true);
 DeleteFileMask('C:\Program Files\Tencent\QQBrowser\', '*', true);
 DeleteFileMask('c:\users\user\appdata\roaming\kyubey', '*', true);
 DeleteFileMask('c:\program files\їмс№', '*', true);
 DeleteDirectory('C:\Program Files\Maoha\MaohaAP');
 DeleteDirectory('C:\Users\user\AppData\Roaming\Vofer2\');
 DeleteDirectory('C:\Users\user\AppData\Roaming\SearchAY\');
 DeleteDirectory('C:\ProgramData\49R5753T1912Y884');
 DeleteDirectory('C:\Program Files\Tencent\QQBrowser\');
 DeleteDirectory('c:\users\user\appdata\roaming\kyubey');
 DeleteDirectory('c:\program files\їмс№');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CDManager', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ForceUpdateVOF', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IQmanager', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchAY', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vofer', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vofer2', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в АВЗ:

 

 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[lunalex80]

Китайский вирус [KLAN-6049580153])

 

 

Благодарим Вас за обращение в Лаборатории Касперского 

 

Файлы были отсканированы в автоматическом режиме. 

 

Нет информации о заданных файлов можно найти в антивирусных базах: 

Драйверы: ucdrv-x86.sys 

Драйверы: ucdrv-x86.sys: $ DATA 

Драйверы: x86: $ DATA 

IQmanager.exe 

localconfig.json 

uuid.json 

localconfig_0.json 

c.js 

c.js.sha1 

fingerprint2.js 

__init.js 

python.exe 

fetch_macholib.bat 

bcqr00003.dat 

bcqr00004.dat 

bcqr00019.dat 

bcqr00020.dat 

bcqr00021.dat 

bcqr00022.dat 

 

Riskware, который может нанести вред вашему компьютеру был обнаружен в следующих файлах: 

Kyubey.exe - не-а-вирус: RiskTool.Win32.Agent.anrl 

 

Мы будем тщательно анализировать файлы, отправленные. Если результат анализа отличается от этого автоматического результата сканирования, вы будете уведомлены по электронной почте. 

 

Это автоматически генерируется сообщение. Пожалуйста, не отвечайте на него. 

[regist]

Жду свежие логи Autologger-а.

[lunalex80]

Простите, я просто не знаю ,что делать с тем что мне прислали (выполнить логи , просто я в компах не силен ) подскажите как правильно их выполнить !

[regist]

Собрать логи Autologger-ом и прикрепить архив CollectionLog, точно также как вы собрали их и прикрепили при создание темы. Просто запустить Autologger и следовать его рекомендациям.

 

+ вы ещё не сделали

 

 

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

там по ссылке всё подробно расписано.

 

И не ответили на вопрос

 

 

3) Youtube AdBlock - сами ставили?

[lunalex80]

Youtube AdBlock Не ставил , я уже удалил это !

вроде получилось отправить свежие логи 

простите не то отправил

Youtube AdBlock Не ставил , я уже удалил это !

вроде получилось отправить свежие логи 

простите не то отправил

CollectionLog-2017.04.01-15.02.zip

[regist]

 

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

А с этим пунктом какие проблемы возникли?

 

 

Прикрепленные файлы Прикрепленный файл CollectionLog-2017.04.01-15.02.zip 86,34К скачиваний 0

вы же старый лог прикрепили, а нужно было сделать и прикрепить свежий.

[lunalex80]

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

А с этим пунктом какие проблемы возникли?

 

 

Прикрепленные файлы Прикрепленный файл CollectionLog-2017.04.01-15.02.zip 86,34К скачиваний 0

вы же старый лог прикрепили, а нужно было сделать и прикрепить с

при выполнении процедуры пишет ошибку www.z-oleg.com/secur/avz_up [2100000002]

[regist]

 

 

при выполнении процедуры пишет ошибку www.z-oleg.com/secur/avz_up [2100000002]

Удалите папку Autologger. Скачайте свежий Autologger из правил и проведите процедуру им, а также не забудьте сделать свежие логи.

[lunalex80]

ошибка avzupd

[regist]

+ папка

c:\update\psgo\

вам знакома?

[lunalex80]

нет не знакома ,кстати новые логи отправляю

CollectionLog-2017.04.02-16.41.zip

[regist]

Тогда ещё вопрос, не знакома целиком c:\update\

или только подпака \psgo\

[lunalex80]

вся не знакома!