Китайская программа Baidu

[liliya]

Добрый день!

 

По ошибке запустила скачанный из интернета файл *.pdf.exe. На компьютере стоял Kaspersky Internet Security, UAC был отключен. В итоге поставились 2 программы (все на китайском), и какой-то виджет (гаджет) на рабочем столе. Попробовала удалить программы, но папки в ProgramFiles все равно остались (там еще использовались DLL-ки). Решила включить UAC (требуется перезагрузка). Плюс попробовала удалить эти DLL-ки с помощью Unlocker'а. Unlocker предложил удалить эти файлы при последующей загрузке системы. Далее перезагрузила компьютер (чтобы удалить DLL-ки и включить UAC). В итоге интернет есть только для InternetExplorer. Oпера, мозилла, скайп, TeamViewer - интернет не видят. Далее сделала все по интрукции, логи прилагаются.CollectionLog-2014.10.14-23.33.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\kazantsev\appdata\local\installer\installsense_8648\delay.exe');
 TerminateProcessByName('c:\users\kazantsev\appdata\local\installer\installiwebar_8648\delay.exe');
 QuarantineFile('C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe','');
 QuarantineFile('c:\users\kazantsev\appdata\local\installer\installsense_8648\delay.exe','');
 QuarantineFile('c:\users\kazantsev\appdata\local\installer\installiwebar_8648\delay.exe','');
 DeleteFile('c:\users\kazantsev\appdata\local\installer\installiwebar_8648\delay.exe','32');
 DeleteFile('c:\users\kazantsev\appdata\local\installer\installsense_8648\delay.exe','32');
 DeleteFile('C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Installer_iwebar','64');
 DeleteFile('C:\Windows\system32\Tasks\Installer_sense','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoobzoYouTubeAccelerator');              
BC_ImportAll;
ExecuteSysClean;       
BC_Activate;
 ExecuteRepair(15);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1397799349&from=cor&uid=WDCXWD5000AAKX-001CA0_WD-WMAYU635367053670
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1397799349&from=cor&uid=WDCXWD5000AAKX-001CA0_WD-WMAYU635367053670
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1397799349&from=cor&uid=WDCXWD5000AAKX-001CA0_WD-WMAYU635367053670&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1397799349&from=cor&uid=WDCXWD5000AAKX-001CA0_WD-WMAYU635367053670&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1397799349&from=cor&uid=WDCXWD5000AAKX-001CA0_WD-WMAYU635367053670
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe

 

 

Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

 

 

[liliya]

Добрый день!

 

Сделала все как вы просили: KLAN-2070?188091, логи ComboFix приаттачила.

 

ComboFix.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

c:\windows\system32\drivers\BDSafeBrowser.sys

c:\windows\system32\DRIVERS\bd0004.sys

 

Driver::

bd0004

BDSafeBrowser

 

Folder::

c:\programdata\YTAHelper

c:\program files (x86)\YTAHelper

c:\users\Kazantsev\AppData\Roaming\Baidu

c:\program files (x86)\Common Files\Baidu

c:\programdata\Baidu

c:\program files (x86)\baidu

 

Registry::

 

FileLook::

 

DirLook::

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[liliya]

Добрый день! Отправляю новый отчёт.

ComboFix1.txt

[Roman_Five]

Скачайте Junkware Removal Tool и сохраните на рабочем столе.
Выгрузите всё защитное ПО и браузеры, чтобы избежать конфликтов.
Щелкните правой кнопкой мыши и выберите "Запуск от имени администратора".
Программа запустится и начнётся сканирование Вашей системы.
Дождитесь завершения сканирования.
По окончании лог сканирования (JRT.txt) сохранится на рабочий стол и автоматически откроется.
Прикрепите полученный лог к следующему сообщению.

Приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[liliya]

Я правильно, поняла, что я должна была отправить два лога? Отправляю.

Программа  AdwCleaner предлагает мне очистить вирусы, делать ли мне это действие?

На всякий случай выполнила очистку, отправляю отчет.

JRT.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[Roman_Five]

Деинсталлируйте ComboFix:

- нажмите Win+R 

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt

Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

[liliya]

Добрый день! Всё сделала - уязвимости не обнаружены. Огромное спасибо!

[mike 1]

Советы и рекомендации после лечения компьютера