Yudjin Опубликовано 13 ноября, 2014 Опубликовано 13 ноября, 2014 Здравствуйте!Не могу избавиться от Baidu, а также от программы BlockAndSurf, связанной с ней (???). Еще висят в памяти пара китайских программ... Kaspersky Virus Removal Tool ничего не нашел. При попытке удалить BlockAndSurf, KAV выдает предупреждение о PDM:Trojan.Win32.Generic. После перезагрузки программа опять на своем месте, китайские тоже... Отчет прилагаю. CollectionLog-2014.11.12-20.58.zip
Roman_Five Опубликовано 13 ноября, 2014 Опубликовано 13 ноября, 2014 удалите через программы и компонеты (если сможете): BlockAndSurf-->C:\Program Files (x86)\ver3BlockAndSurf\Uninstall.exe Zaxar Games Browser-->"C:\Program Files (x86)\Zaxar\uninstall.exe" Settings Manager-->C:\Program Files (x86)\Settings Manager\smdmf\Uninstall.exe /browser=all ДругВокруг 2.0-->C:\Users\Максим\AppData\Roaming\ДругВокруг\uninst.exe Скачайте ComboFix здесь или здесь и сохраните в корень диска С. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1
thyrex Опубликовано 14 ноября, 2014 Опубликовано 14 ноября, 2014 Содержимое папки c:\users\Максим\AppData\Local\NetBoxLogs известно? Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С KillAll:: File:: c:\windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys c:\windows\system32\drivers\BDMWrench_x64.sys c:\windows\SysWow64\drivers\bd0003.sys c:\windows\SysWow64\drivers\BDArKit.sys c:\windows\system32\drivers\BDMNetMon.sys c:\windows\system32\drivers\BDArKit.sys c:\windows\system32\drivers\bd0003.sys c:\windows\system32\drivers\bd0001.sys Driver:: BDAntiExp BDEnhanceBoost globalUpdatem bd0003 BDMWrench_x64 BDArKit BDKVRTP BDMNetMon BDMRTP webinstr Folder:: c:\program files (x86)\Reg Organizer c:\users\Максим\AppData\Roaming\Browsers c:\users\Максим\AppData\Roaming\ICL c:\programdata\Schedule c:\users\Максим\AppData\Roaming\newSI_608 c:\users\Максим\AppData\Roaming\newSI_606 c:\users\Максим\AppData\Roaming\Baidu c:\program files (x86)\Common Files\Baidu c:\programdata\Baidu c:\program files (x86)\baidu c:\users\Максим\AppData\Local\Kometa c:\users\Максим\AppData\Local\Amigo Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Yudjin Опубликовано 14 ноября, 2014 Автор Опубликовано 14 ноября, 2014 Содержимое папки NetBoxLogs: 63S3x8AbnagO_15-10-2014__3.log.send kometa_21-10-2014__2.log.send kometasettings_15-10-2014__3.log.send Отчет прилагаю. ComboFix.txt
mike 1 Опубликовано 14 ноября, 2014 Опубликовано 14 ноября, 2014 Running from: c:\users\¦ръёшь\Desktop\ComboFix.exe Вас кажется просили сохранить утилиту на диск С. Переделывайте скрипт из 4 сообщения.
mike 1 Опубликовано 14 ноября, 2014 Опубликовано 14 ноября, 2014 Сделайте лог HiJackThis Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе Распакуйте архив с утилитой в отдельную папку Запустите FixerBro Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да В главном окне программы нажмите на кнопку "Проверить" Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt) По окончанию сканирования нажмите на кнопку "Отчет". Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме.
Yudjin Опубликовано 15 ноября, 2014 Автор Опубликовано 15 ноября, 2014 Сделано. hijackthis.log AdwCleanerR0.txt FixerBro_20141115.txt
mike 1 Опубликовано 15 ноября, 2014 Опубликовано 15 ноября, 2014 1. Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=049ca65f7551a6452e802bddc94e4cc0&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=049ca65f7551a6452e802bddc94e4cc0&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=049ca65f7551a6452e802bddc94e4cc0&text= O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) 2. Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. 3.Запустите повторно FixerBro by glax24.Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления. C:\Users\Максим\Desktop\Google Chrome.lnk [C:\Users\Максим\AppData\Local\Google\Chrome\Application\chrome.exe "http://ipasearch.ru" ] C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://ipasearch.ru" ] C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Users\Максим\AppData\Local\Google\Chrome\Application\chrome.exe "http://ipasearch.ru" ] C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk [C:\Users\Максим\AppData\Local\Google\Chrome\Application\chrome.exe "http://ipasearch.ru" ] C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://ipasearch.ru" ] C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Users\Максим\AppData\Local\Google\Chrome\Application\chrome.exe "http://ipasearch.ru" ] C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://ipasearch.ru" ] C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk [C:\Program Files (x86)\Opera\launcher.exe "http://ipasearch.ru" ] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk [C:\Program Files (x86)\Opera\launcher.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)] Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt). По окончанию удаления нажмите на кнопку "Отчет" Сохраните лог утилиты Прикрепите сохраненный отчет в вашей теме. 4. Удалите расширения в браузерах: flickrjzlabscom - (C:\Users\Максим\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\) (11.08.2014) HD+v2.1 - (C:\Users\Максим\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\) (11.08.2014) SuperMegaBest.com - (C:\Users\Максим\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\) (11.08.2014) Качай с ВК - (C:\Users\Максим\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfefdmepaiiimfhbgneijclbnailbghl) (09.11.2014) ПромоКодо - (C:\Users\Максим\AppData\Local\Google\Chrome\User Data\Default\Extensions\eomdbhbfdhkfhdeahajamkdebiihomjj) (09.11.2014) Linkey - (C:\Users\Максим\AppData\Local\Google\Chrome\User Data\Default\Extensions\fpmeembnagmagppkgghhfjfdfajdfcah) (09.11.2014) WallPepper ВКонтакте - (C:\Users\Максим\AppData\Local\Google\Chrome\User Data\Default\Extensions\pepjgkdpkihjnbdaggonbpphlfkbhdli) (09.11.2014)
Yudjin Опубликовано 17 ноября, 2014 Автор Опубликовано 17 ноября, 2014 Сделано. FixerBro_20141117.txt AdwCleanerS0.txt AdwCleanerR1.txt
Yudjin Опубликовано 17 ноября, 2014 Автор Опубликовано 17 ноября, 2014 Расширения в браузере удаляли? В Хроме - да, Мозиллы нет вообще.
Yudjin Опубликовано 17 ноября, 2014 Автор Опубликовано 17 ноября, 2014 Не удается запустить брандмауэр Windows, который был отключен на время лечебных процедур. Проявлений Baidu нет.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти