Помогите удалить вирус Baidu

[Владимир Фищук]

Прочитал темы что есть на форуме по этому вирусу и попробовал сделать по аналогии.  Но не получается.

 

CollectionLog-2014.11.17-21.14.zip

[Roman_Five]

Скачайте ComboFix здесь или здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1

[Владимир Фищук]

Готово.

ComboFix.txt

[Roman_Five]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

File::
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDSafeBrowser.sysDriver::
c:\windows\system32\drivers\bd0002.sys

Driver::
BDMWrench_x64
BDSafeBrowser
bd0004
BDMWrench
BD0001
BD0002

Folder::
c:\program files (x86)\BaiduAn3.0
c:\program files (x86)\BaiduSd3.0
c:\program files (x86)\Common Files\Baidu
c:\programdata\Baidu
c:\users\Retev\AppData\Roaming\Baidu

Reboot::

После сохранения переместите в проводнике CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Владимир Фищук]

Я так понимаю еще не удалился. В диспетчере задач   осталась одна с иероглифами...раньше было две.

ComboFix.txt

[Roman_Five]

не вижу выполнения скрипта.
повторите.

[Владимир Фищук]

Странно...сделал как написано...перенес скрипт на иконку и запустилась программа.

Это скрипт нужно запускать только под Combofix  или можно под AVZ ?

[Roman_Five]

 

 

только под Combofix

да.

 

 

повторите.

KillAll::

File::
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDSafeBrowser.sysDriver::
c:\windows\system32\drivers\bd0002.sys

Driver::
BDMWrench_x64
BDSafeBrowser
bd0004
BDMWrench
BD0001
BD0002

Folder::
c:\program files (x86)\BaiduAn3.0
c:\program files (x86)\BaiduSd3.0
c:\program files (x86)\Common Files\Baidu
c:\programdata\Baidu
c:\users\Retev\AppData\Roaming\Baidu

Reboot::

[Владимир Фищук]

Готово. 

Наверно есть разница в чем сохранять скрипт...блокнот или блокнот+++

ComboFix.txt

[Roman_Five]

приложите логи автологгера.

[Владимир Фищук]

Готово

CollectionLog-2014.11.19-07.46.zip

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('C:\Users\Retev\AppData\Roaming\newnext.me\nengine.dll','');

 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');

 DeleteFile('C:\Users\Retev\AppData\Roaming\newnext.me\nengine.dll','32');

 DeleteFile('C:\iexplore.bat','32');

 DeleteFile('D:\WOTLauncher.bat','32');     

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\mobilegeni daemon');

 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\NextLive');     

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(2);

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=208a6b443676dd5c20a97f278def5ee7&text={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=208a6b443676dd5c20a97f278def5ee7&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=208a6b443676dd5c20a97f278def5ee7&text=

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  

• Распакуйте архив с утилитой в отдельную папку.
  

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
  

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  

• Прикрепите этот отчет к своему следующему сообщению.
  

 

 

 

Сделайте новые логи Автологгером. 

[Владимир Фищук]

 

 

quarantine.zip из папки AVZ отправьте через данную форму

Скрипт выполнил, но этот архив создался пустой. Там нет ни одного файла. Я так понимаю отправлять нет смысла? 

Лог прикрепил

ClearLNK-19.11.2014_20-16.log

[mike 1]

 

 

Я так понимаю отправлять нет смысла?

Да. Новые логи Автологгером сделайте. + Отпишитесь что с проблемой?

[Владимир Фищук]

Как по мне то проблема решена.

Если в логах тоже все чисто, то огромное Вам спасибо.

CollectionLog-2014.11.19-20.58.zip