baiduan

[r1pper74ru]

Удаляю его через безопасный режим но он вновь  и вновь появляется. Да и в целом сделать чистку бы не помешало.

за ранее спасибо.

CollectionLog-2014.10.14-15.20.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 SetServiceStart('BDMWrench_x64', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 StopService('BDMWrench_x64');
 StopService('WindowsMangerProtect');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
 DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command');
 DeleteService('BDSafeBrowser');
 DeleteService('bd0004');
 DeleteService('bd0002');
 DeleteService('bd0001');
 DeleteService('BDMWrench_x64');
 DeleteService('WindowsMangerProtect');
 DeleteFileMask('C:\Program Files (x86)\Common Files\Baidu', '*', true, ' ');
 DeleteFileMask('C:\Program Files (x86)\baidu', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Baidu', '*', true, ' ');
 DeleteFileMask('C:\Users\Ato\AppData\Roaming\Baidu', '*', true, ' ');
 DeleteFileMask('C:\Users\Ato\AppData\Roaming\eTranslator', '*', true, ' ');
 DeleteFileMask('C:\supermegabest', '*', true, ' ');
 DeleteDirectory('C:\Users\Ato\AppData\Roaming\Baidu');     
 DeleteDirectory('C:\Users\Ato\AppData\Roaming\eTranslator');     
 DeleteDirectory('C:\supermegabest');     
 DeleteDirectory('C:\Program Files (x86)\Common Files\Baidu');     
 DeleteDirectory('C:\Program Files (x86)\baidu');     
 DeleteDirectory('C:\ProgramData\Baidu');     
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
 BC_DeleteSvc('BDMWrench_x64');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDSafeBrowser');    
BC_Activate;
 ExecuteRepair(2);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9d2f1b57f9fcd841fcf7463c64bdaa53&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9d2f1b57f9fcd841fcf7463c64bdaa53&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408801962&from=cor&uid=ST250DM000-1BC141_9VYFTDWWXXXX9VYFTDWW&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1408801962&from=cor&uid=ST250DM000-1BC141_9VYFTDWWXXXX9VYFTDWW&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9d2f1b57f9fcd841fcf7463c64bdaa53&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9d2f1b57f9fcd841fcf7463c64bdaa53&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

 

 

Сделайте новые логи

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

[r1pper74ru]

новые логи

 

KLAN-2055774878

AdwCleanerR0.txt

FixerBro_20141014.txt

CollectionLog-2014.10.14-16.48.zip

[mike 1]

1. Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

 

2.

• Запустите повторно FixerBro by glax24.
  

  Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  
  
  

• Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
  

 

C:\Users\Ato\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.bat]

C:\Users\Ato\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files\Internet Explorer\iexplore.bat]

C:\Users\Ato\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\chrome.bat]

C:\Users\Ato\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5ca47b5c5ed00a7d\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://inoxer.ru"  - (Объект запуска не найден)]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://inoxer.ru"  - (Объект запуска не найден)]

 

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
  

• По окончанию удаления нажмите на кнопку "Отчет"
  

• Сохраните лог утилиты
  

• Прикрепите сохраненный отчет в вашей теме.
  

 

 

3. Удалите расширение SuperMegaBest в браузере.

 

 

4. Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

[r1pper74ru]

Удалите расширение SuperMegaBest в браузере. 

 

Нету такого расширения в браузерах...

log.txt

FixerBro_20141014 (2).txt

AdwCleanerR1.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

C:\Users\Ato\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi

c:\windows\system32\drivers\BDMWrench_x64.sys

c:\windows\system32\drivers\BDSafeBrowser.sys

 

Driver::

BDMWrench_x64

 

Folder::

c:\program files (x86)\ШоппингГид

 

Registry::

 

FileLook::

 

DirLook::

c:\users\Ato\AppData\Roaming\Homepager

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[r1pper74ru]

up

ComboFix.txt

[mike 1]

Этот файл удалите:

c:\windows\system32\drivers\BDMWrench_x64.sys

Что с проблемой?

[r1pper74ru]

удалил даже 2 файла китайца,перезагрузил не появляются больше

[mike 1]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

 

Скачайте OTCleanIt, запустите, нажмите Clean up

 

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

 

[r1pper74ru]

завтра прийду к этому компу