Еще раз о Baidu

[Yudjin]

Вирус Baidu проявился еще на одном компьютере (не связаны сетью).

 

Домашняя страница подменяется на www.domachnyi-metods.net

Из папки Baidu удалить китайские программы не удается, т.к. при запуске uninstall появляется окно с китайскими сообщениями и не понятно что нажимать...

 

Отчет прилагаю.
 

CollectionLog-2014.11.14-20.34.zip

[mike 1]

Деинсталлируйте что сможете:

??-->C:\Users\Пользователь\AppData\Local\Baidu\Baidu\1.3.1.157\uninst.exe
????3.0-->C:\Program Files\Baidu\BaiduAn\3.0.0.3971\uninst.exe
????2.1-->C:\Program Files\Baidu\BaiduSd\2.1.0.3086\uninst.exe

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2a98ae59285124dd2160422b03ece3d0&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2a98ae59285124dd2160422b03ece3d0&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2a98ae59285124dd2160422b03ece3d0&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2a98ae59285124dd2160422b03ece3d0&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O4 - HKCU\..\Run: [pcket_x64] C:\Program Files\BaiduEx\uninit.exe
O4 - HKCU\..\Run: [BaiduClient] "C:\Users\Пользователь\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe" -noclient
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2a98ae59285124dd2160422b03ece3d0&text=

 

 

Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

 

[Yudjin]

Сделано.

ComboFix.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

c:\windows\system32\drivers\BDDefense.sys

c:\windows\system32\an.bat

c:\windows\system32\sd.bat

c:\windows\system32\DRIVERS\BDEnhanceBoost.sys

 

Driver::

BDEnhanceBoost

BDDefense

 

Folder::

c:\users\Пользователь\AppData\Local\Baidu

c:\users\Пользователь\AppData\Roaming\Baidu

c:\program files\Common Files\Baidu

c:\programdata\Baidu

c:\program files\Baidu

c:\program files\AnyProtectEx

c:\users\Пользователь\AppData\Roaming\AnyProtectEx

 

Registry::

 

FileLook::

 

DirLook::

c:\programdata\Package Cache

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[Yudjin]

Сделано.

ComboFix.txt

[Roman_Five]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

Folder::

c:\programdata\Package Cache

c:\program files\BaiduEx



RegLock:: 

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\ErrorThresholds]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_96DPI_PIXEL]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_ACTIVEX_REPURPOSEDETECTION]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BLOCK_LMZ_IMG]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BLOCK_LMZ_OBJECT]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BLOCK_LMZ_SCRIPT]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_DISABLE_ISO_2022_JP_SNIFFING]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_DISABLE_LEGACY_COMPRESSION]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_DISABLE_TELNET_PROTOCOL]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_FEEDS]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_HIGH_CONTRAST_BACKGROUND_IMAGES]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_IMAGING_USE_ART]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_INTERNET_SHELL_FOLDERS]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_LEGACY_DISPPARAMS]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_LEGACY_DLCONTROL_BEHAVIORS]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_RESTRICT_OBJECT_DATA_ATTRIBUTE]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_SHOW_APP_PROTOCOL_WARN_DIALOG]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_SSLUX]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_SUBDOWNLOAD_LOCKDOWN]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_UNC_SAVEDFILECHECK]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_USE_WINDOWEDSELECTCONTROL]

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\MAIN\UrlTemplate]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]



Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Yudjin]

Сделано.

ComboFix.txt

[mike 1]

Что с проблемой?

[Yudjin]

Что с проблемой?

 

Домашняя страница в IE все так же подменяется на другую. В папке "Пользователи" есть пользователь с китайским именем.

[mike 1]

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
  

• Распакуйте архив с утилитой в отдельную папку
  

• Запустите FixerBro
  

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  
  
  

• В главном окне программы нажмите на кнопку "Проверить"
  

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  

• По окончанию сканирования нажмите на кнопку "Отчет".
  

• Сохраните лог утилиты
  

• Прикрепите сохраненный отчет в вашей теме.
  

[Yudjin]

Сделано.

 

 

FixerBro_20141121.txt

[mike 1]

• Запустите повторно FixerBro by glax24.

  Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

 

C:\Users\Пользователь\Desktop\Yandex.lnk [C:\Users\Пользователь\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --"http://www.zarabotaems-dengi.net"]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.zarabotaems-dengi.net" ]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk [C:\Users\Пользователь\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --"http://www.zarabotaems-dengi.net"]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Удалить браузер Yandex.lnk [C:\Users\Пользователь\AppData\Local\Yandex\YandexBrowser\Application\22.0.1106.241\Installer\setup.exe --"http://www.zarabotaems-dengi.net"] - (setup.exe не найден в базе)
C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.zarabotaems-dengi.net" ]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.zarabotaems-dengi.net" ]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk [C:\Users\Пользователь\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --"http://www.zarabotaems-dengi.net"]
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Program Files\Internet Explorer\iexplore.exe "http://www.zarabotaems-dengi.net" ]

 

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).

• По окончанию удаления нажмите на кнопку "Отчет"

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

• Скачайте SITLog и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите sitlog.exe

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"

• По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt

• Прикрепите эти отчеты в вашей теме.

 

 

[Yudjin]

Сделано.

FixerBro_20141121 (2).txt

SITLog.txt

SITLog_Info.txt

[mike 1]

Эту папку удалите:

21.11.2014 17:33:57 --D----- C:\Users\??????

Что с проблемой?

[Yudjin]

Все хорошо! Домашняя страница открывается, как положено! Спасибо!