MashaMasha Опубликовано 10 ноября, 2014 Опубликовано 10 ноября, 2014 Добрый вечер. Подцепила вирус Baidu. чистила через Dr.Web CureIt! и Касперского. Установленные им программы со значком щита рыцаря(две программы один щит зеленый другой голубой) и китайскими иероглифами удаляла через CCleaner. Затем провела поиск в компе всех файлов по тегу Baidu и удалила вручную. Удалились все файлы кроме текстового файла baidu_av_4_0_3_57478 из папки C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\Cleaner [main] name=Baidu Antivirus detect-registry=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Baidu Antivirus fullname=Baidu Antivirus 4.0.3.57478#1294422 type=detect-only os=all [ak] ak_use=true При перезагрузке все удаленные файлы появляются вновь, также никак не получается убрать рекламу при включении любого браузера. Очень надеюсь на помощь CollectionLog-2014.11.10-19.42.zip
mike 1 Опубликовано 10 ноября, 2014 Опубликовано 10 ноября, 2014 Здравствуйте! Деинсталлируйте: sCloudStatusCheck-->"C:\ProgramData\Program status\uninstall.exe" SmilesExtensions version 2.1-->"C:\Program Files (x86)\smwdgt\unins000.exe" Time tasks-->"C:\ProgramData\Schedule\uninstall.exe" Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Users\ww\appdata\roaming\closer.exe',''); QuarantineFile('C:\Users\ww\AppData\Roaming\newSI_1\s_inst.exe',''); QuarantineFile('C:\ProgramData\Program status\scheck.exe',''); DeleteFile('C:\ProgramData\Program status\scheck.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sCloudStatusCheck'); DeleteFile('C:\Users\ww\AppData\Roaming\newSI_1\s_inst.exe','32'); DeleteFile('C:\Windows\Tasks\newSI_1.job','64'); DeleteFile('C:\Users\ww\appdata\roaming\closer.exe','32'); DeleteFile('C:\Windows\SYSWOW64\drivers\bd0001.sys','32'); DeleteFile('C:\Windows\SYSWOW64\drivers\BDArKit.sys','32'); DeleteFile('C:\Windows\SYSWOW64\an.bat','32'); DeleteFile('C:\Windows\SYSWOW64\sd.bat','32'); DeleteFile('C:\Windows\system32\drivers\bd0001_1.sys','32'); DeleteFileMask('C:\ProgramData\Program status', '*', true, ' '); DeleteFileMask('C:\Users\ww\AppData\Roaming\newSI_1', '*', true, ' '); DeleteFileMask('C:\ProgramData\Schedule', '*', true, ' '); DeleteDirectory('C:\ProgramData\Schedule'); DeleteDirectory('C:\ProgramData\Program status'); DeleteDirectory('C:\Users\ww\AppData\Roaming\newSI_1'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(21); RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=5aaf1c152c77ff2b019252d1ac79d23a&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://inca.im/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=5aaf1c152c77ff2b019252d1ac79d23a&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=5aaf1c152c77ff2b019252d1ac79d23a&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=5aaf1c152c77ff2b019252d1ac79d23a&text= R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) Сделайте новые логи Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBroОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме.
MashaMasha Опубликовано 10 ноября, 2014 Автор Опубликовано 10 ноября, 2014 Сразу застряла на первом шаге. В папке programm Data у меня отсутствуютprogramm status и Schedule. А C:\Program Files (x86)\smwdgt\unins000.exe ни в какую не хочет удаляться... Выполнять следующие шаги несмотря на это?
MashaMasha Опубликовано 10 ноября, 2014 Автор Опубликовано 10 ноября, 2014 Скрипт на карантин ничего не поместил, quarantine.zip оказался пустым. Остальные отчеты прилагаю Извиняюсь CollectionLog не тот отправила CollectionLog-2014.11.10-21.41.zip FixerBro_20141110.txt AdwCleanerR1.txt hijackthis1.txt CollectionLog-2014.11.10-21.37.zip
mike 1 Опубликовано 10 ноября, 2014 Опубликовано 10 ноября, 2014 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Запустите повторно FixerBro by glax24.Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления. C:\Users\ww\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://sixsearch.ru" ] C:\Users\ww\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe "http://sixsearch.ru" ] C:\Users\ww\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe "http://sixsearch.ru" ] C:\Users\ww\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe "http://sixsearch.ru" ] C:\Users\ww\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://sixsearch.ru" ] C:\Users\ww\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://sixsearch.ru" ] C:\Users\ww\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe "http://sixsearch.ru" ] C:\Users\ww\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe "http://sixsearch.ru" ] C:\Users\ww\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe "http://sixsearch.ru" ] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe "http://sixsearch.ru" ] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://sixsearch.ru" ] Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt). По окончанию удаления нажмите на кнопку "Отчет" Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме.
MashaMasha Опубликовано 11 ноября, 2014 Автор Опубликовано 11 ноября, 2014 Огромное спасибо, реклама исчезла, а файлик baidu_av_4_0_3_57478 в C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\Cleaner так и продолжает сидеть, но множиться вроде перестал AdwCleanerS0.txt FixerBro_20141111.txt
mike 1 Опубликовано 11 ноября, 2014 Опубликовано 11 ноября, 2014 Скачайте SITLog и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите sitlog.exe Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да В главном окне программы выберите проверку за последние три месяца и нажмите "Старт" По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt Прикрепите эти отчеты в вашей теме.
MashaMasha Опубликовано 11 ноября, 2014 Автор Опубликовано 11 ноября, 2014 Сделано SITLog.txt SITLog_Info.txt
mike 1 Опубликовано 11 ноября, 2014 Опубликовано 11 ноября, 2014 Этот файл удалите: 08.11.2014 11:29:05 ----A---- C:\Windows\System32\drivers\bd0001_1.sys Что с проблемой?
MashaMasha Опубликовано 11 ноября, 2014 Автор Опубликовано 11 ноября, 2014 Спасибище огромное, на данный момент ничего нет
mike 1 Опубликовано 11 ноября, 2014 Опубликовано 11 ноября, 2014 Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти