Перейти к содержанию

Baidu №1


Evelina

Рекомендуемые сообщения

Здравствуйте! Перепробовала все известные мне способы. До конца не удаляется. AutoLogger во вложении. Заранее благодарю за помощь.

CollectionLog-2014.11.22-17.35.zip

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Деинсталлируйте что сможете:
 

Ask Toolbar-->MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
MyPlayCity.Бар 5.0 для Internet Explorer-->MsiExec.exe /X{5CA79B15-AA87-4C9C-95EB-5F1263DE132B}
Search App by Ask-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C1101}
Search Protect-->"C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe" /S
Shopping App by Ask-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C1200}
??-->C:\Users\111\AppData\Local\Baidu\Baidu\1.3.1.157\uninst.exe
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe');
 TerminateProcessByName('C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe');
 TerminateProcessByName('C:\PROGRA~2\SearchProtect\SearchProtect\bin\cltmng.exe');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\111\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe','');
 QuarantineFile('C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe','');
 QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\cltmng.exe','');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\cltmng.exe','32');
 DeleteFile('C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\UI\bin\cltmngui.exe','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll','32');
 DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt64.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BDShellExt64.dll','32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\Users\111\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\system32\drivers\BDMWrench.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\Windows\system32\drivers\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\bd64_x86.dll','32');
 DeleteFile('C:\Windows\system32\bd64_x64.dll','32');
 DeleteFile('C:\Windows\SYSWOW64\drivers\BDArKit.sys','32');
 DeleteFile('C:\Windows\SYSWOW64\an.bat','32');
 DeleteFile('C:\Windows\SYSWOW64\sd.bat','32');
 DeleteFile('C:\Windows\system32\drivers\BDDefense.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\drivers\bd0003.sys','32');
 DeleteFile('C:\Windows\system32\drivers\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\drivers\bd0001.sys','32');
 DeleteFile('C:\ProgramData\help.bat','32');
 DeleteFile('C:\Program Files (x86)\launcher.bat','32');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');  
 DeleteFileMask('C:\PROGRA~2\SearchProtect', '*', true, ' ');
 DeleteFileMask('C:\Users\111\AppData\Roaming\Baidu', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Baidu', '*', true, ' ');
 DeleteDirectory('C:\PROGRA~2\SearchProtect');     
 DeleteDirectory('C:\Users\111\AppData\Roaming\Baidu');     
 DeleteDirectory('C:\ProgramData\Baidu');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=db5f1df4790a7645df21dee5e31270bc&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=db5f1df4790a7645df21dee5e31270bc&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovi.com/?gd=&ctid=CT3329707&octid=EB_ORIGINAL_CTID&ISID=MEBE9CC35-9360-4CDF-807B-B0B305D8ACD1&SearchSource=55&CUI=&UM=6&UP=SP5E62A9AF-DA88-4FEC-AA75-E5414B118397&SSPV=
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll
 
 

  • Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в отдельную папку
  • Запустите FixerBro

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В главном окне программы нажмите на кнопку "Проверить"
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  • По окончанию сканирования нажмите на кнопку "Отчет".
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Прикрепляйте пожалуйста отчеты в том виде, в котором они у вас получается. Расширение у файлов с отчетами менять не нужно! 

Ссылка на комментарий
Поделиться на другие сайты

В AdwCleaner снимите метки со всего, что касается Mail.Ru и ICQ, а остальное удалите

 

Пересоздайте ярлыки

C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\111\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

 

 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте! 

Ярлыки пересоздала, кроме этих, их просто нет:

 

C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk

AdwCleanerR0.txt

Ссылка на комментарий
Поделиться на другие сайты

Вы ничего не удаляли в AdwCleaner. Инструкция по работе с программой здесь http://virusinfo.info/showthread.php?t=146192

 

 

  • Запустите повторно FixerBro by glax24.

    Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
 
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://colsearch.ru"  - (Объект запуска не найден)]
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\iexplore.bat "http://colsearch.ru"  - (Объект запуска не найден)]
C:\Users\111\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://colsearch.ru"  - (Объект запуска не найден)]
 
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
  • По окончанию удаления нажмите на кнопку "Отчет"
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
 
Ссылка на комментарий
Поделиться на другие сайты

 

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s3].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 
 

  • Запустите повторно FixerBro by glax24.

    Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив всех строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
  • По окончанию удаления нажмите на кнопку "Отчет"
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...