Baidu №1

[Evelina]

Здравствуйте! Перепробовала все известные мне способы. До конца не удаляется. AutoLogger во вложении. Заранее благодарю за помощь.

CollectionLog-2014.11.22-17.35.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! Деинсталлируйте что сможете:

 

Ask Toolbar-->MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
MyPlayCity.Бар 5.0 для Internet Explorer-->MsiExec.exe /X{5CA79B15-AA87-4C9C-95EB-5F1263DE132B}
Search App by Ask-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C1101}
Search Protect-->"C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe" /S
Shopping App by Ask-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C1200}
??-->C:\Users\111\AppData\Local\Baidu\Baidu\1.3.1.157\uninst.exe

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe');
 TerminateProcessByName('C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe');
 TerminateProcessByName('C:\PROGRA~2\SearchProtect\SearchProtect\bin\cltmng.exe');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\111\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe','');
 QuarantineFile('C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\cltmng.exe','');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\cltmng.exe','32');
 DeleteFile('C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt64.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BDShellExt64.dll','32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\Users\111\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\system32\drivers\BDMWrench.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Windows\system32\drivers\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\bd64_x86.dll','32');
 DeleteFile('C:\Windows\system32\bd64_x64.dll','32');
 DeleteFile('C:\Windows\SYSWOW64\drivers\BDArKit.sys','32');
 DeleteFile('C:\Windows\SYSWOW64\an.bat','32');
 DeleteFile('C:\Windows\SYSWOW64\sd.bat','32');
 DeleteFile('C:\Windows\system32\drivers\BDDefense.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\drivers\bd0003.sys','32');
 DeleteFile('C:\Windows\system32\drivers\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\drivers\bd0001.sys','32');
 DeleteFile('C:\ProgramData\help.bat','32');
 DeleteFile('C:\Program Files (x86)\launcher.bat','32');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');  
 DeleteFileMask('C:\PROGRA~2\SearchProtect', '*', true, ' ');
 DeleteFileMask('C:\Users\111\AppData\Roaming\Baidu', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Baidu', '*', true, ' ');
 DeleteDirectory('C:\PROGRA~2\SearchProtect');     
 DeleteDirectory('C:\Users\111\AppData\Roaming\Baidu');     
 DeleteDirectory('C:\ProgramData\Baidu');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=db5f1df4790a7645df21dee5e31270bc&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=db5f1df4790a7645df21dee5e31270bc&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovi.com/?gd=&ctid=CT3329707&octid=EB_ORIGINAL_CTID&ISID=MEBE9CC35-9360-4CDF-807B-B0B305D8ACD1&SearchSource=55&CUI=&UM=6&UP=SP5E62A9AF-DA88-4FEC-AA75-E5414B118397&SSPV=
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Evelina]

Прикрепляю текст письма и отчеты.

FixerBro.docx

AdwCleaner.docx

KLAN-2270231969.docx

[mike 1]

Прикрепляйте пожалуйста отчеты в том виде, в котором они у вас получается. Расширение у файлов с отчетами менять не нужно! 

[Evelina]

Что, выходит никто его не может удалить?

[thyrex]

Вам написали - логи прикрепить в том виде, в котором они получаются, а не копируйте в документы Word

[Evelina]

Прикрепила.

AdwCleanerR0.txt

FixerBro_20141122.txt

[thyrex]

В AdwCleaner снимите метки со всего, что касается Mail.Ru и ICQ, а остальное удалите

 

Пересоздайте ярлыки

C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk

C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk

C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk

C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

 

 

[Evelina]

Здравствуйте! 

Ярлыки пересоздала, кроме этих, их просто нет:

 

C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk

C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk

AdwCleanerR0.txt

[mike 1]

Вы ничего не удаляли в AdwCleaner. Инструкция по работе с программой здесь http://virusinfo.info/showthread.php?t=146192

 

 

• Запустите повторно FixerBro by glax24.

  Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

 

C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://colsearch.ru"  - (Объект запуска не найден)]
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\iexplore.bat "http://colsearch.ru"  - (Объект запуска не найден)]
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://colsearch.ru"  - (Объект запуска не найден)]

 

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).

• По окончанию удаления нажмите на кнопку "Отчет"

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

[Evelina]

Было только 2 строчки. Отчет не загружается ошибка 403

[Roman_Five]

попробуйте снова.
не получится, загрузите 2 отчёта на файлообменник и приложите ссылки.

[Evelina]

Теперь получилось.

FixerBro_20141127.txt

AdwCleanerR4.txt

[mike 1]

 

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s3].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

• Запустите повторно FixerBro by glax24.

  Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив всех строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).

• По окончанию удаления нажмите на кнопку "Отчет"

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

[Evelina]

Прикрепляю.

AdwCleanerS3.txt

FixerBro_20141127 (2).txt