Не могу избавиться от вредоносной программы

[dimedrol940]

Здравствуйте!  Столкнулся с вирусом "trajan.baidu 37". Если возможно, подскажите Dr.Web CureIt!., удалил его или нет? Заранее спасибо за помощь.

CollectionLog-2014.11.09-13.11.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;   
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\firefox.bat','');
 QuarantineFile('C:\Windows\setup.exe','');     
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys','32');     
 DeleteFile('C:\firefox.bat','32');
 DeleteFile('C:\Windows\setup.exe','32');     
 DeleteService('BDAntiExp');
 DeleteService('BDEnhanceBoost');        
 DeleteFileMask('C:\Program Files\Common Files\Baidu', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Baidu', '*', true, ' ');
 DeleteFileMask('C:\Program Files\test', '*', true, ' ');
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\eTranslator', '*', true, ' ');
 DeleteDirectory('C:\Program Files\Common Files\Baidu');     
 DeleteDirectory('C:\ProgramData\Baidu');     
 DeleteDirectory('C:\Program Files\test');     
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\eTranslator');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;    
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=78625494467c16825e5f7f8ac15d9ad0&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=78625494467c16825e5f7f8ac15d9ad0&text={searchTerms}

 

 

Сделайте новые логи

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.