Zadira913 Опубликовано 14 ноября, 2014 Опубликовано 14 ноября, 2014 Столкнулся вчера с этим китайским чудом CollectionLog-2014.11.14-13.55.zip
thyrex Опубликовано 14 ноября, 2014 Опубликовано 14 ноября, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DelBHO('{7F6AFBF1-E065-4627-A2FD-810366367D01}'); QuarantineFile('C:\Windows\SysWow64\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll',''); DeleteFile('C:\Windows\SysWow64\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll','32'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDSWShellExt.dll'); BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduan.exe'); BC_DeleteFile('c:\program files (x86)\baiduex\baiduan.txt'); BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduansvc.exe'); BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.0.0.667\baiduhips.exe'); BC_DeleteFile('c:\program files (x86)\baiduex\uninit.exe'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\ad.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDCooly.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDKitUtils.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDMAVEng.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\bduf.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMReport.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMWindowsLib.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\DriverManager.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\EnhanceBoost.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMProcessRunningTime.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMCoolyPlugins\BDMSOAccCoolyPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmsafeplugins\BDMSysFixerPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\RTPPlugins\BDMSOAccServicePlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\RTPPlugins\HipsClient.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\DllInject.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\websafe.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDConfig.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDLogicUtils.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMAVCached.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMAVEng.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMBase.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMFrameWork.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMNet.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMReport.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMStringUtils.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMTinyXml.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\DriverManager.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\TrustAndIso.dll'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys'); BC_DeleteFile('C:\Windows\System32\Drivers\BDArKit.SYS'); BC_DeleteSvc('bd0001'); BC_DeleteSvc('bd0002'); BC_DeleteSvc('BDArKit'); BC_DeleteSvc('BDMNetMon'); BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Исправляйте ярлыки C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnkC:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net\Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Borderlands - The Pre-Sequel\Играть Borderlands - The Pre-Sequel.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Station Launcher.lnk C:\Users\Public\Desktop\Battle.net.lnk" -> ["C:\Program Files (x86)\Battle.net\Battle.net Launcher.exe C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk C:\Users\user\Desktop\Borderlands - The Pre-Sequel.lnk C:\Users\user\Desktop\Diablo III Launcher - Ярлык.lnk Пофиксите в HiJack R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text= O4 - HKLM\..\Run: [baiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe" -stmd=3 O4 - HKCU\..\Run: [pcket_x86] C:\Program Files (x86)\BaiduEx\uninit.exe O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text= Сделайте новые логи Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1]ComboFix[/url]
Zadira913 Опубликовано 14 ноября, 2014 Автор Опубликовано 14 ноября, 2014 Жду ответ из лабораториию. Вот новый лог CollectionLog-2014.11.14-16.18.zip
thyrex Опубликовано 14 ноября, 2014 Опубликовано 14 ноября, 2014 Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С KillAll:: File:: c:\windows\system32\drivers\bd0002.sys c:\windows\system32\drivers\bd0001.sys c:\windows\system32\drivers\BDArKit.SYS c:\windows\system32\drivers\bd0001_1.sys c:\windows\SysWow64\an.bat c:\windows\SysWow64\sd.bat Driver:: BDMNetMon bd0001 bd0002 BaiduHips BDMRTP BDArKit Folder:: c:\users\user\AppData\Roaming\Baidu c:\program files (x86)\Common Files\Baidu c:\programdata\Baidu c:\program files (x86)\Baidu c:\users\user\AppData\Local\Amigo C:\found.000 Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "BaiduAnTray"=- FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
mike 1 Опубликовано 14 ноября, 2014 Опубликовано 14 ноября, 2014 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
mike 1 Опубликовано 15 ноября, 2014 Опубликовано 15 ноября, 2014 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Zadira913 Опубликовано 15 ноября, 2014 Автор Опубликовано 15 ноября, 2014 Признаков вируса пока не обнаружил, думаю удалили с концом. Благодарю за помощь в борьбе с этим "чудом".
mike 1 Опубликовано 15 ноября, 2014 Опубликовано 15 ноября, 2014 Скачайте DelFix и сохраните утилиту на Рабочем столе Запустите DelFix Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup Нажмите на кнопку Run После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt Прикрепите этот отчет в вашей теме. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Zadira913 Опубликовано 15 ноября, 2014 Автор Опубликовано 15 ноября, 2014 Сделал DelFix.txt SecurityCheck.txt
mike 1 Опубликовано 15 ноября, 2014 Опубликовано 15 ноября, 2014 Исправьте и обновите: Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Adobe Reader X (10.1.12) - Russian v.10.1.12 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox 27.0.1 (x86 ru) v.27.0.1 Внимание! Скачать обновления Советы и рекомендации после лечения компьютера
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти