Перейти к содержанию

Что за "Baida"


Рекомендуемые сообщения

Доброе утро! Подцепил вирус какой то лютый с дуру, baidu. Удалил всё что можно, просканировал комп антивирусом, использовал avz как тут советовали и Combofix. Проблема в том что у меня изменился интерфэйс в виндоусе 7 и выглядит нижняя панель как на виндоус 98. Так же вместо "выключить компьютер" в пуске - завершение работы у меня "гибернация" (сохранение сеанса на диске и выключение компа, при включении востанавливает сеанс). И ещё когда пытаюсь открыть свой Dr.Web как администратор мне пишет что нет доступа. Я на грани сноса винды ...

Ссылка на сообщение
Поделиться на другие сайты

Вот


И ещё у меня пропал звук, звуковое устройство не распознаётся.


У меня уже не открываются интернет страницы, зашёл сюда с другого компа. Собираюсь форматировать диск с виндой. Скажите пожалуйста может ли вирус остаться на втором диске с играми, фильмами, музыкой? Если да то после формата диска С можно ли принести винч к другу ( у него касперский) и проверить второй диск, безопасно ли это для винча друга?

CollectionLog-2014.11.22-09.10.zip

Ссылка на сообщение
Поделиться на другие сайты
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Чужие скрипты написанные для других пользователей выполняли?
 

 

 

И ещё у меня пропал звук, звуковое устройство не распознаётся.
 
Зачем самостоятельно запускали Combofix?  :(
 
Деинсталлируйте:

Spybot - Search & Destroy-->"C:\Program Files (x86)\Spybot - Search & Destroy 2\unins000.exe"
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Evgeniy\AppData\Local\vk.bat','');
 QuarantineFile('C:\Users\Evgeniy\AppData\Local\ok.bat','');
 QuarantineFile('C:\Users\Evgeniy\AppData\Local\amigo.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\Users\Evgeniy\AppData\Local\amigo.bat','32');
 DeleteFile('C:\Users\Evgeniy\AppData\Local\ok.bat','32');
 DeleteFile('C:\Users\Evgeniy\AppData\Local\vk.bat','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe','32');
 DeleteFile('C:\Program Files (x86)\BaiduEx\uninit.exe','32');
 DeleteFile('C:\launcher.bat','32');
 DeleteFile('C:\Program Files (x86)\DivXConverterLauncher.bat','32');
 DeleteFile('C:\Program Files (x86)\DivXControlPanelLauncher.bat','32');
 DeleteFile('C:\Battle.net Launcher.bat','32');
 DeleteFile('C:\Windows\system32\drivers\bd0001_1.sys','32');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect Tray','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x86','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x64','command');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect Tray');   
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect');   
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x86');   
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x64');             
 DeleteService('BDKVRTP');
 DeleteFileMask('C:\Users\Evgeniy\AppData\Roaming\Baidu', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Baidu', '*', true, ' ');
 DeleteDirectory('C:\Users\Evgeniy\AppData\Roaming\Baidu');     
 DeleteDirectory('C:\ProgramData\Baidu');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=5a31636e91a66450310af84df6e62f55&text={searchTerms}
 
 
Сделайте новые логи Автологгером. 
 
 

  • Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в отдельную папку
  • Запустите FixerBro

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В главном окне программы нажмите на кнопку "Проверить"
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  • По окончанию сканирования нажмите на кнопку "Отчет".
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
 

 

Ссылка на сообщение
Поделиться на другие сайты

Это всё так сложно учитывая что на заражённом компе не работает интернет. (на этом компе кстати тоже к удивлению обнаружил байду но хозяин не париться =) ) Скажите пожалуйста поможет ли форматирование диска с и переустановка виндоуса, так было бы намного проще.


да чужой скрипт выполнял, дурак :(

Ссылка на сообщение
Поделиться на другие сайты

 

 

да чужой скрипт выполнял, дурак

Какой скрипт выполняли? 

 

 

 

Это всё так сложно учитывая что на заражённом компе не работает интернет.

 Что непонятно спрашивайте. 

Ссылка на сообщение
Поделиться на другие сайты

Вы так и не ответили про форматирование.

Поможет. Вот только зачем нужно было вообще тему создавать раз собираетесь форматирование делать непонятно.

Ссылка на сообщение
Поделиться на другие сайты

Меня больше волновал второй диск с информацией который я не собираюсь форматировать, и безопасность компа друга если принести к нему винч и проверить этот второй диск антивирусом

Ссылка на сообщение
Поделиться на другие сайты

@Lyuten, если вы пришли не за лечением и не будете выполнять рекомендации консультантов, то тема будет закрыта.

Ссылка на сообщение
Поделиться на другие сайты

Я попробую если не найду виндоус в ближайшее время, не закрывайте пока плз.


KLAN-2270013816

amigo.bat,
chrome.bat,
ok.bat,
vk.bat

 


Нашёл чужой скрипт который выполнял:

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\plugins\extends\videofast\1.2\bdavideofast.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\bdaleakfixer.exe');
TerminateProcessByName('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe');
TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.542\baiduprotect.exe');
TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduansvc.exe');
SetServiceStart('ttnfd', 4);
SetServiceStart('BDSafeBrowser', 4);
SetServiceStart('BDMNetMon', 4);
SetServiceStart('BDArKit', 4);
SetServiceStart('bd0004', 4);
SetServiceStart('6e47c8104fa871c.exe', 4);
SetServiceStart('6d2c39711d07267.exe', 4);
SetServiceStart('BDSGRTP', 4);
StopService('ttnfd');
StopService('BDSafeBrowser');
StopService('BDMNetMon');
StopService('BDArKit');
StopService('bd0004');
StopService('6e47c8104fa871c.exe');
StopService('6d2c39711d07267.exe');
StopService('BDSGRTP');
QuarantineFile('C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
QuarantineFile('C:\Program Files (x86)\Baidu\*','');
QuarantineFile('C:\Windows\system32\DRIVERS\CisUtMonitor.sys','');
QuarantineFile('C:\Windows\system32\drivers\ttnfd.sys','');
QuarantineFile('PrivacyPythonSnapshot.exe','');
QuarantineFile('ControlRubyWindows.exe','');
QuarantineFile('6e47c8104fa871c.exe','');
QuarantineFile('6d2c39711d07267.exe','');
QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\BDArKit.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys','');
QuarantineFile('C:\Program Files (x86)\Common Files\Baidu\*','');
DeleteFileMask('c:\program files (x86)\baidu\','* ',true ,' ');
DeleteDirectory('c:\program files (x86)\baidu\',' ');
DeleteFileMask('c:\program files (x86)\common files\baidu\','* ',true ,' ');
DeleteDirectory('c:\program files (x86)\common files\baidu\',' ');
DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
DeleteFile('6d2c39711d07267.exe','32');
DeleteFile('6e47c8104fa871c.exe','32');
DeleteFile('C:\Windows\system32\drivers\ttnfd.sys','32');
DeleteFile('C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
DeleteFile('C:\iexplore.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduSdTray');
DeleteService('ttnfd');
DeleteService('BDSafeBrowser');
DeleteService('BDMNetMon');
DeleteService('BDArKit');
DeleteService('bd0004');
DeleteService('6e47c8104fa871c.exe');
DeleteService('6d2c39711d07267.exe');
DeleteService('BDSGRTP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

FixerBro_20141122.txt

Ссылка на сообщение
Поделиться на другие сайты
  1. Запустите повторно FixerBro by glax24.

    Обратите внимание
    , что утилиты необходимо запускать через правую кн. мыши
    от имени администратора
    , на
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    Да


Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив всех строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).

По окончанию удаления нажмите на кнопку "Отчет"

Сохраните лог утилиты

Прикрепите сохраненный отчет в вашей теме.


 

 

+ Новые логи Автологгера жду.

Ссылка на сообщение
Поделиться на другие сайты

Логи автологгера с прошлой проверки. Или надо было сейчас опять запускать автологгер? Не совсем понял.


В логах фиксербро последние 2 не удалились

FixerBro_20141122 (2).txt

CollectionLog-2014.11.22-18.40.zip

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...