Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

появилась папка baidu не могу удалить еще антивирус baidu

Опубликовано
Здравствуйте! А у вас файлы случайно не зашифрованы? 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\pers\appdata\roaming\gemware\node-webkit.exe');
 QuarantineFileF('C:\Users\Pers\AppData\Roaming\ICL', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\Pers\AppData\Roaming\CryptoDB', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\Pers\AppData\Roaming\GemWare', '*', true, ' ', 0, 0);
 QuarantineFileF('C:\Users\Pers\AppData\Roaming\Microsoft Update', '*', true, ' ', 0, 0);     
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll','');
 QuarantineFile('C:\Users\Pers\appdata\local\microsoft\windows\system.exe','');
 QuarantineFile('C:\Users\Pers\AppData\Roaming\XLMDLQ.exe','');
 QuarantineFile('C:\Users\Pers\AppData\Roaming\CQAMQ.exe','');
 QuarantineFile('C:\Users\Pers\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','');
 QuarantineFile('C:\Users\Pers\AppData\Roaming\Microsoft Update\UnLoad.exe','');
 QuarantineFile('C:\Users\Pers\AppData\Roaming\GemWare\node-webkit.exe','');
 DeleteFile('C:\Users\Pers\AppData\Roaming\GemWare\node-webkit.exe','32');
 DeleteFile('C:\Users\Pers\AppData\Roaming\Microsoft Update\UnLoad.exe','32');
 DeleteFile('C:\Users\Pers\AppData\Roaming\CQAMQ.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\CQAMQ','64');
 DeleteFile('C:\Windows\system32\Tasks\XLMDLQ','64');
 DeleteFile('C:\Users\Pers\AppData\Roaming\XLMDLQ.exe','32');
 DeleteFile('C:\Users\Pers\appdata\local\microsoft\windows\system.exe','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','32');
 DeleteFile('C:\Users\Pers\appdata\roaming\microsoft\windows\start menu\programs\startup\systemautorun.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','node-webkit');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UnLoad_TorProject');               
 DeleteFileMask('C:\Users\Pers\AppData\Roaming\ICL', '*', true, ' ');
 DeleteFileMask('C:\Users\Pers\AppData\Roaming\CryptoDB', '*', true, ' ');
 DeleteFileMask('C:\Users\Pers\AppData\Roaming\GemWare', '*', true, ' ');
 DeleteFileMask('C:\Users\Pers\AppData\Roaming\Microsoft Update', '*', true, ' ');
 DeleteDirectory('C:\Users\Pers\AppData\Roaming\ICL');     
 DeleteDirectory('C:\Users\Pers\AppData\Roaming\CryptoDB');     
 DeleteDirectory('C:\Users\Pers\AppData\Roaming\GemWare');     
 DeleteDirectory('C:\Users\Pers\AppData\Roaming\Microsoft Update');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(21);
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
quarantine.zip  продублируйте еще также через эту  http://virusinfo.info/upload_virus.php?tid=37678  форму.
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O4 - HKCU\..\Run: [UnLoad_TorProject] C:\Users\Pers\AppData\Roaming\Microsoft Update\UnLoad.exe
O4 - HKCU\..\Run: [node-webkit] C:\Users\Pers\AppData\Roaming\GemWare\node-webkit.exe
O4 - Startup: SystemAutorun.exe
O20 - AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll
 
 

Скачайте ComboFix здесь и сохраните в корень диска С. 
 
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
 
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
 
 

 

Опубликовано

[KLAN-2202955878]

 

 

 

 

 

C:\ComboFix.txt нет такого

я еще плохо разбераюсь в пк

ни чего не получается

Опубликовано

Дождались окончания работы ComboFix? Утилита пишет, когда и под каким именем сохраняет файл с отчетом.

 

Новые логи по правилам также неплохо бы увидеть

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • renekka_s
      Автор renekka_s
      Что мы имеем... Стал сильно нагреваться ноут (Ardor neo) у них и так достаточно высокая температура при загрузке, но доходило >100 после замены термопасты и чистки. 
      1. AVZ не открывался до переименования как и Autoruns
      2. Dr.web дважды сканировал и находил троян, удалял - не помогало
      3. Естественно редактор реестра невозможно открыть, через cmd пробовала менять доступ и AVZ, все равно закрывается.



      В логе dr.web была строчка про
      ProgramData\fqupxqtgiuun.exe
      powercfg.exe
      conhost.exe.
      лежит по пути C:\ProgramData\fqupxqtgiuun.exe цифровой подписи нет и тд. через авторан посмотрели что к нему относится служба FMGEEOFG   

      HKLM\System\CurrentControlSet\Services
      Addition.txtShortcut.txt
      wmic process get ProcessId,ExecutablePath | findstr /i "ProgramData" --->
      FMGEEOFG
      ImagePath:
      C:\ProgramData\fqupxqtgiuun.exe

      с командой sc stop FMGEEOFG и sc delete FMGEEOFG успех выдает успех но при обновлении авторана служба снова появляется, хотя fqupxqtgiuun.exe в диспетчере я не увидела.

      Имя_службы: FMGEEOFG
              Тип                  : 10  WIN32_OWN_PROCESS
              Тип_запуска          : 2   AUTO_START
              Управление_ошибками  : 1   NORMAL
              Имя_двоичного_файла  : C:\ProgramData\fqupxqtgiuun.exe
              Группа_запуска       :
              Тег                  : 0
              Выводимое_имя        : FMGEEOFG
              Зависимости          :
              Начальное_имя_службы : LocalSystem

      хз что делать в общем. я не разбираюсь и понять не могу как исправить.
      avz_log.txtFRST.txt
    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
×
×
  • Создать...