Что за "Baida"

[Lyuten]

Доброе утро! Подцепил вирус какой то лютый с дуру, baidu. Удалил всё что можно, просканировал комп антивирусом, использовал avz как тут советовали и Combofix. Проблема в том что у меня изменился интерфэйс в виндоусе 7 и выглядит нижняя панель как на виндоус 98. Так же вместо "выключить компьютер" в пуске - завершение работы у меня "гибернация" (сохранение сеанса на диске и выключение компа, при включении востанавливает сеанс). И ещё когда пытаюсь открыть свой Dr.Web как администратор мне пишет что нет доступа. Я на грани сноса винды ...

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Lyuten]

Вот

И ещё у меня пропал звук, звуковое устройство не распознаётся.

У меня уже не открываются интернет страницы, зашёл сюда с другого компа. Собираюсь форматировать диск с виндой. Скажите пожалуйста может ли вирус остаться на втором диске с играми, фильмами, музыкой? Если да то после формата диска С можно ли принести винч к другу ( у него касперский) и проверить второй диск, безопасно ли это для винча друга?

CollectionLog-2014.11.22-09.10.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! Чужие скрипты написанные для других пользователей выполняли?

 

 

 

И ещё у меня пропал звук, звуковое устройство не распознаётся.

 

Зачем самостоятельно запускали Combofix? 

 

Деинсталлируйте:

Spybot - Search & Destroy-->"C:\Program Files (x86)\Spybot - Search & Destroy 2\unins000.exe"

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Evgeniy\AppData\Local\vk.bat','');
 QuarantineFile('C:\Users\Evgeniy\AppData\Local\ok.bat','');
 QuarantineFile('C:\Users\Evgeniy\AppData\Local\amigo.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\Users\Evgeniy\AppData\Local\amigo.bat','32');
 DeleteFile('C:\Users\Evgeniy\AppData\Local\ok.bat','32');
 DeleteFile('C:\Users\Evgeniy\AppData\Local\vk.bat','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe','32');
 DeleteFile('C:\Program Files (x86)\BaiduEx\uninit.exe','32');
 DeleteFile('C:\launcher.bat','32');
 DeleteFile('C:\Program Files (x86)\DivXConverterLauncher.bat','32');
 DeleteFile('C:\Program Files (x86)\DivXControlPanelLauncher.bat','32');
 DeleteFile('C:\Battle.net Launcher.bat','32');
 DeleteFile('C:\Windows\system32\drivers\bd0001_1.sys','32');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect Tray','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x86','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x64','command');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect Tray');   
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect');   
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x86');   
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x64');             
 DeleteService('BDKVRTP');
 DeleteFileMask('C:\Users\Evgeniy\AppData\Roaming\Baidu', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Baidu', '*', true, ' ');
 DeleteDirectory('C:\Users\Evgeniy\AppData\Roaming\Baidu');     
 DeleteDirectory('C:\ProgramData\Baidu');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=5a31636e91a66450310af84df6e62f55&text={searchTerms}

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

[Lyuten]

Это всё так сложно учитывая что на заражённом компе не работает интернет. (на этом компе кстати тоже к удивлению обнаружил байду но хозяин не париться =) ) Скажите пожалуйста поможет ли форматирование диска с и переустановка виндоуса, так было бы намного проще.

да чужой скрипт выполнял, дурак

[mike 1]

 

 

да чужой скрипт выполнял, дурак

Какой скрипт выполняли? 

 

 

 

Это всё так сложно учитывая что на заражённом компе не работает интернет.

 Что непонятно спрашивайте. 

[Lyuten]

Уже и не найду наверное какой скрипт. Вы так и не ответили про форматирование.

[mike 1]

Вы так и не ответили про форматирование.

Поможет. Вот только зачем нужно было вообще тему создавать раз собираетесь форматирование делать непонятно.

[Lyuten]

Меня больше волновал второй диск с информацией который я не собираюсь форматировать, и безопасность компа друга если принести к нему винч и проверить этот второй диск антивирусом

[Mark D. Pearlstone]

@Lyuten, если вы пришли не за лечением и не будете выполнять рекомендации консультантов, то тема будет закрыта.

[Lyuten]

Я попробую если не найду виндоус в ближайшее время, не закрывайте пока плз.

KLAN-2270013816

amigo.bat,
chrome.bat,
ok.bat,
vk.bat

 

Нашёл чужой скрипт который выполнял:

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\plugins\extends\videofast\1.2\bdavideofast.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\bdaleakfixer.exe');
TerminateProcessByName('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe');
TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.542\baiduprotect.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduansvc.exe');
SetServiceStart('ttnfd', 4);
SetServiceStart('BDSafeBrowser', 4);
SetServiceStart('BDMNetMon', 4);
SetServiceStart('BDArKit', 4);
SetServiceStart('bd0004', 4);
SetServiceStart('6e47c8104fa871c.exe', 4);
SetServiceStart('6d2c39711d07267.exe', 4);
SetServiceStart('BDSGRTP', 4);
StopService('ttnfd');
StopService('BDSafeBrowser');
StopService('BDMNetMon');
StopService('BDArKit');
StopService('bd0004');
StopService('6e47c8104fa871c.exe');
StopService('6d2c39711d07267.exe');
StopService('BDSGRTP');
QuarantineFile('C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
QuarantineFile('C:\Program Files (x86)\Baidu\*','');
QuarantineFile('C:\Windows\system32\DRIVERS\CisUtMonitor.sys','');
QuarantineFile('C:\Windows\system32\drivers\ttnfd.sys','');
QuarantineFile('PrivacyPythonSnapshot.exe','');
QuarantineFile('ControlRubyWindows.exe','');
QuarantineFile('6e47c8104fa871c.exe','');
QuarantineFile('6d2c39711d07267.exe','');
QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\BDArKit.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys','');
QuarantineFile('C:\Program Files (x86)\Common Files\Baidu\*','');
DeleteFileMask('c:\program files (x86)\baidu\','* ',true ,' ');
DeleteDirectory('c:\program files (x86)\baidu\',' ');
DeleteFileMask('c:\program files (x86)\common files\baidu\','* ',true ,' ');
DeleteDirectory('c:\program files (x86)\common files\baidu\',' ');
DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
DeleteFile('6d2c39711d07267.exe','32');
DeleteFile('6e47c8104fa871c.exe','32');
DeleteFile('C:\Windows\system32\drivers\ttnfd.sys','32');
DeleteFile('C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
DeleteFile('C:\iexplore.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduSdTray');
DeleteService('ttnfd');
DeleteService('BDSafeBrowser');
DeleteService('BDMNetMon');
DeleteService('BDArKit');
DeleteService('bd0004');
DeleteService('6e47c8104fa871c.exe');
DeleteService('6d2c39711d07267.exe');
DeleteService('BDSGRTP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

FixerBro_20141122.txt

[mike 1]

1. Запустите повторно FixerBro by glax24.
   Обратите внимание
   , что утилиты необходимо запускать через правую кн. мыши
   от имени администратора
   , на
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   Да

Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив всех строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).

По окончанию удаления нажмите на кнопку "Отчет"

Сохраните лог утилиты

Прикрепите сохраненный отчет в вашей теме.

 

 

+ Новые логи Автологгера жду.

[Lyuten]

Логи автологгера с прошлой проверки. Или надо было сейчас опять запускать автологгер? Не совсем понял.

В логах фиксербро последние 2 не удалились

FixerBro_20141122 (2).txt

CollectionLog-2014.11.22-18.40.zip

[mike 1]

Прикрепите C:\ComboFix.txt. 

[Lyuten]

вот

Скажите я тяжёлый пациент?

ComboFix.txt