И снова BAIDU

[serj477]

Не помню как и произошло, но потом сразу всё стало очень грустно.

Прошу помощи.

Если возможно объясните всё на простом Русском и медленно, я простой пользователь.

логи привязаны

LOG.rar

hijackthis.log

LOG.rar

hijackthis.log

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url](пункт 3 выполните)

[serj477]

вот

CollectionLog-2014.11.24-12.53.zip

[thyrex]

Weatherbar-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}

WebBars-->C:\Program Files\WebBars\uninstall.exe

Word Proser 1.10.0.2-->C:\Program Files\WordProser_1.10.0.2\Uninstall.exe

 

удалите через Установку программ

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 
SetServiceStart('MobogenieService', 4);
SetServiceStart('wpnfd_1_10_0_2', 4);
SetServiceStart('Update Service for WebBars', 4);
SetServiceStart('wpsvc_1.10.0.2', 4);
TerminateProcessByName('c:\program files\wordproser_1.10.0.2\service\wpsvc.exe');
TerminateProcessByName('c:\program files\mobogenie3\mobogenieservice.exe');
TerminateProcessByName('c:\program files\webbars\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files\webbars\basement\extensionupdaterservice.exe','');
QuarantineFile('c:\program files\wordproser_1.10.0.2\service\wpsvc.exe','');
QuarantineFile('C:\Documents and Settings\Olga\applic~1\digita~1\update~1\update~1.exe','');
QuarantineFile('C:\Program Files\LastPass\LPBar.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\wpnfd_1_10_0_2.sys','');
QuarantineFile('C:\Program Files\WordProser_1.10.0.2\IE\WordProserClientIE.dll','');
DeleteFile('c:\program files\webbars\basement\extensionupdaterservice.exe','32');
DeleteFile('c:\program files\mobogenie3\mobogenieservice.exe','32');
DeleteFile('c:\program files\wordproser_1.10.0.2\service\wpsvc.exe','32');
DeleteFile('C:\Program Files\WordProser_1.10.0.2\IE\WordProserClientIE.dll','32');
DeleteFile('C:\WINDOWS\system32\drivers\wpnfd_1_10_0_2.sys','32');
DeleteFile('C:\Documents and Settings\Olga\applic~1\digita~1\update~1\update~1.exe','32');
DelBHO('{3EBB5099-9732-48AE-B032-58B702D86EEC}');
DeleteService('wpnfd_1_10_0_2');
DeleteService('MobogenieService');
DeleteService('Update Service for WebBars');
DeleteService('wpsvc_1.10.0.2');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x64','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','BaiduAnTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduansvc.exe');
BC_DeleteFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduantray.exe');
BC_DeleteFile('c:\program files\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe');
BC_DeleteFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\ad.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\bduf.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMCommon.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMDbSqlite.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMDownload.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMFrameWork.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMNet.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMReport.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMSkin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMUpdate.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\DriverManager.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\EnhanceBoost.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMNetMonMgrDll.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMProcessRunningTime.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccDataMgr.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccEngine.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccStrategyMgr.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\SysAccMgrDll.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\libcurl.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\LIBEAY32.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\BDMPatcherPlugins\BDMConnect.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\bdmsusplugins\BDMNetMonSusPlugin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\bdmsusplugins\BDMSOAccSusPlugin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMAccount.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMSOAccTrayPlugin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMSOCleanerTrayPlugin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\BDMTrayPlugins\BDMSusPlugin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMTrayTipsPlugin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\RTPPlugins\BDMSOAccServicePlugin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\RTPPlugins\HipsClient.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\ad.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsBusiness.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsCore.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduPrevUIn.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\bd0001.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDConfig.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMBase.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMFrameWork.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMReport.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMStringUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMTinyXml.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\DriverManager.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\TrustAndIso.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\bdcomproxy.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\dl.dll');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\BDArKit.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\BDDefense.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe');
BC_DeleteFile('C:\Program Files\BaiduEx\uninit.exe');
BC_DeleteFile('C:\Documents and Settings\Olga\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe');
BC_DeleteSvc('BaiduHips');
BC_DeleteSvc('BDMRTP');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0002');
BC_DeleteSvc('BDDefense');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('BDMNetMon');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "По просьбе хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь.

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=85d60363b650d6fe1810b49b94264b1c&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=85d60363b650d6fe1810b49b94264b1c&text={searchTerms}R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.searchcompletion.com/?si=10197&home=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=85d60363b650d6fe1810b49b94264b1c&text=R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=85d60363b650d6fe1810b49b94264b1c&text=
O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll
O2 - BHO: Podsolnushki.com - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - C:\Documents and Settings\Olga\Local Settings\Application Data\MadLen.uCoz.coM\prxtbMad2.dll
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O2 - BHO: DealPly - {EF7BD87A-8024-11E2-F316-F3E56188709B} - C:\Program Files\DealPly\DealPlyIE.dll
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=85d60363b650d6fe1810b49b94264b1c&text=

Исправьте ярлыки, убрав лишнее после имени файла в поле Объект

C:\Documents and Settings\All Users\Главное меню\Программы\Firefox Preloader\Firefox Preloader.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Firefox Preloader.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс.Диск\Яндекс.Диск.lnk

C:\Documents and Settings\Olga\Рабочий стол\Ярлыки\Mozilla Firefox.lnk

C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Internet Explorer.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Firefox Preloader\Change Log.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Firefox Preloader\License.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Firefox Preloader\Manual.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Firefox Preloader\ReadMe.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Logitech\Logitech Webcam Software.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Punto Switcher\Punto Switcher.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Punto Switcher\Дневник.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Punto Switcher\Настройка раскладок.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\Яндекс\Punto Switcher\Справка.lnk

C:\Documents and Settings\Olga\Application Data\Microsoft\Internet Explorer\Quick Launch\Logitech Webcam Software .lnk

 

Сделайте новые логи

 

 

Сделайте лог ComboFix

[serj477]

Профиксить

O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll

не представилось возможным - его не было  в списке, как и

O2 - BHO: DealPly - {EF7BD87A-8024-11E2-F316-F3E56188709B} - C:\Program Files\DealPly\DealPlyIE.dll

Всё остальное сделал. Ответ на "Запрос на исследование..." ещё не получил.

Новые логи привязаны.

Лог ComboFix следующим сообщением

вот

CollectionLog-2014.11.24-20.47.zip

log.7z

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

KillAll::

 

File::

c:\windows\system32\drivers\BDEnhanceBoost.sys

c:\documents and settings\Olga\an.bat

c:\documents and settings\Olga\sd.bat

 

Driver::

BDEnhanceBoost

BDArKit

 

Folder::

c:\windows\system32\config\systemprofile\Application Data\Baidu

c:\documents and settings\Olga\Application Data\Baidu

c:\documents and settings\LocalService\Application Data\Baidu

c:\program files\Common Files\Baidu

c:\documents and settings\All Users\Application Data\Baidu

c:\program files\Baidu

c:\documents and settings\Olga\Local Settings\Application Data\Amigo

c:\documents and settings\Olga\mobogenieP2sp

 

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BaiduClient

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mobilegeni daemon

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pcket_x64

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"BDMRTP"=-

"BDKVRTP"=-

"BaiduHips"=-



FileLook::

 

DirLook::

c:\documents and settings\Olga\Application Data\IDMSQ

c:\documents and settings\Olga\Application Data\WebTest

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[serj477]

Ответ пока не пришёл, лог привязан

.... по аналогии с соседними темами сразу привязываю ещё один свежий лог автолоджера

 

ComboFix.txt

CollectionLog-2014.11.25-15.11.zip

[Roman_Five]

проверьте этот файл на virustotal.com

c:\documents and settings\Olga\Application Data\IDMSQ\idmsqext.dll

ссылку на результат проверки приложите.

+

приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

[serj477]

https://www.virustotal.com/ru/file/974ce5d939f08827188d5d6cc8c373cb1444faf06e4fd333b76598a5aee2ab1d/analysis/1416941234/

 

 

[Roman_Five]

 

 

+ приложите лог AdwCleaner http://forum.kaspers...611?do=findComment&comment=635158

[serj477]

Только отчёт, ничего не очищать?

AdwCleanerR0.txt

[Roman_Five]

очищайте. можете оставить записи от Mail.ru

новый лог приложите

[serj477]

Оставил mail.ru, остальное всё почистил - был один подозрительный без "точки" mailru -его тоже кильнул.

Отчёта почему то получилось два.

AdwCleanerR1.txt

AdwCleanerS0.txt

[Roman_Five]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду c:\ComboFix.exe /Uninstall, нажмите кнопку "ОК"

 

 

Скачайте OTCleanIt, запустите, нажмите Clean up

на этом всё.

[serj477]

Благодарю. Всё чётко и по делу!

поиском видно остатки - убить?