Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Прошу помочь проверится на вирусню

Саша

Автор Саша
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Саша Профи

Саша

Опубликовано
Опубликовано

Вообщем, ситуация следующая. Хоть вроде и не маленький мальчик, но бес попутал, взялся качать аудиофайл через какой-то загрузчик, что предложил сайт. В конце загрузки стал ругатся Касперский, я толком не вчитался, что он писал, просто подумав, что раз он ругается, значит это не просто так, а потому сразу выбрать остановить загрузку и удалить файл.

Касперский немного подумал и предложил откатить изменения в системе. Я сделал и это, компьютер перегрузился, после этого я полез посмотреть что и как. В Диспетчере задач увидел новый процесс baidusd.exe (может после буквы d были ещё буквы, я не запомнил). Просмотрев раздел С по поиску, я увидел, что этот baidusd насоздавал кучу папок с собой + вместе с ним в Программах висели ещё 2 проги с квадратиками вместо букв. Я взялся всё это удалять через прогу Uninstall Tool, эти 2 файла имели окошки с китайскими иероглифами. Удалилось всё, кроме файлика baidu_av_4_0_3_57478.ini, внутри которого написано:

 

 

[main]
name=Baidu Antivirus
detect-registry=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Baidu Antivirus
fullname=Baidu Antivirus 4.0.3.57478#1294422
type=detect-only
os=all

[ak]
ak_use=true

 

Собственно, нижайше прошу помочь мне проверится и подлечить возможные последствия моей неосмотрительности в которой я глубоко каюсь  :sorry:  

 

CollectionLog-2014.08.06-18.18.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

в редакторе реестра (WIN+R ----> regedit) в ветке

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
 
удалите
 
"C:\Documents and Settings\Администратор\Local Settings\Temp\F0722_s_30803.exe"="C:\Documents and Settings\Администратор\Local Settings\Temp\F0722_s_30803.exe:*:Enabled:????????"
"C:\Program Files\Common Files\Baidu\BDDownload\106\bddownloader.exe"="C:\Program Files\Common Files\Baidu\BDDownload\106\bddownloader.exe:*:Enabled:???????"
"C:\Documents and Settings\Администратор\Local Settings\Temp\G0722_s_70904.exe"="C:\Documents and Settings\Администратор\Local Settings\Temp\G0722_s_70904.exe:*:Enabled:????????"

и в ветке 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
удалите
"C:\Documents and Settings\Администратор\Local Settings\Temp\F0722_s_30803.exe"="C:\Documents and Settings\Администратор\Local Settings\Temp\F0722_s_30803.exe:*:Enabled:????????"
"C:\Program Files\Common Files\Baidu\BDDownload\106\bddownloader.exe"="C:\Program Files\Common Files\Baidu\BDDownload\106\bddownloader.exe:*:Enabled:???????"
"C:\Documents and Settings\Администратор\Local Settings\Temp\G0722_s_70904.exe"="C:\Documents and Settings\Администратор\Local Settings\Temp\G0722_s_70904.exe:*:Enabled:????????"

почистите содержимое папки 

C:\Documents and Settings\Администратор\Local Settings\Temp\

а также удалите, при наличии, папку

C:\Program Files\Common Files\Baidu\

Сделайте лог MBAM

 

 

  • Спасибо (+1) 2
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Саша Профи

Саша

Опубликовано
  • Автор
Опубликовано (изменено)

Поудалял и проверил . Прогу я пока не закрывал (но в виду глубокой ночи таки закрою).

12.txt

Изменено пользователем Саша
Ссылка на комментарий
Поделиться на другие сайты
  • 2 месяца спустя...
ттттт Новичок

ттттт

Опубликовано
Опубликовано

Здравствуйте, у  моей сестры на ноутбуке такая же проблема, Касперский не видит угрозы, анлокером тоже не удаляется. Мы не профессионалы, как большая часть участников форума, но попытались воспользоваться вышеприведенными рекомендациями, может что не поняли, но в ветках [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] и [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\listу нас нет указанного продолжения после папок domainprofile и standardprofile, а идут папки Logging. Скорее всего, мы не так что-то поняли. Можете ли более подробно описать процесс удаления этой программы для нас, чайников, будем благодарны...

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


Можете ли более подробно описать процесс удаления этой программы для нас, чайников, будем благодарны...

конечно.
нет проблем.
только сначала выполните правила.
http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
потом темы разделим.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nikita Paramonov
      [РЕШЕНО] Вирусный CAAService - Spyware.RedLineStealer
      Автор Nikita Paramonov
      Windows Defender обнаружил вирус CAAService (C:\ProgramData\CAAService\CAAService.exe), другой антивирус распознал это как Spyware.RedLineStealer.
      Я уже удалял его, он появился опять, хотелось бы максимально защититься от его выполнения и понять, что его создаёт, помогите, пожалуйста.
       
      Обычно вновь появляется при перезагрузке системы, в автозапуске подозрительного не нашел, разве что какой-то "LM", его отключил.
    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
×
×
  • Создать...