китайская программа-вирус Baidu

[PaRaDoXxXxX]

присосалась как низнаю что, прошу помощи

CollectionLog-2014.11.07-11.42.zip

[mike 1]

Здравствуйте! Деинсталлируйте:

 

test version 1.5-->"C:\Program Files\test\unins000.exe"
????3.0-->C:\Program Files\Baidu\BaiduAn\3.0.0.3971\uninst.exe

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\admin\appdata\roaming\newsi_23\s_inst.exe');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Dorrible\Ribble\d.exe','');
 QuarantineFile('c:\users\admin\appdata\roaming\newsi_23\s_inst.exe','');
 DeleteFile('c:\users\admin\appdata\roaming\newsi_23\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_23.job','32');
 DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_23','32');
 DeleteFile('C:\Windows\system32\Tasks\Ribble','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Dorrible\Ribble\d.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFileMask('c:\users\admin\appdata\roaming\newsi_23', '*', true, ' ');   
 DeleteDirectory('c:\users\admin\appdata\roaming\newsi_23');        
BC_ImportAll;
ExecuteSysClean;
BC_Activate; 
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O4 - HKCU\..\Run: [pcket_x64] C:\Program Files\BaiduEx\uninit.exe

 

Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

 

[PaRaDoXxXxX]

Кстати, китайская программа с зеленым значком все еще осталась.

ComboFix.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

c:\windows\system32\drivers\BDMWrench.sys

c:\windows\system32\drivers\BDArKit.SYS

c:\windows\system32\drivers\BDDefense.sys

c:\windows\system32\drivers\bd0003.sys

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\bd0001.sys

c:\windows\system32\an.bat

c:\windows\system32\sd.bat

c:\windows\system32\DRIVERS\BDEnhanceBoost.sys

 

Driver::

BDEnhanceBoost

bd0001

bd0002

bd0003

BDMWrench

BaiduHips

BDArKit

BDDefense

BDKVRTP

 

Folder::

c:\program files\BaiduEx

c:\users\Admin\AppData\Roaming\Dorrible

c:\program files\Common Files\Baidu

 

Registry::

[-HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{15DEE173-1BE9-4424-81E0-58A87076E9B1}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"pcket_x64"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"baidusdTray"=-



FileLook::

 

DirLook::

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[PaRaDoXxXxX]

upd

ComboFix.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

c:\windows\system32\DRIVERS\BDAntiExp.sys

 

Driver::

BDAntiExp

 

Folder::

C:\Users\Admin\AppData\Roaming\Baidu

C:\ProgramData\Baidu

C:\Program Files\test

 

Registry::

 

FileLook::

 

DirLook::

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[PaRaDoXxXxX]

upd

ComboFix.txt

[mike 1]

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[PaRaDoXxXxX]

upd

AdwCleanerR0.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.