байда

[Iride]

здравствуйте. словили байду, удалить самостоятельно не получается. касперский, cure it не помогают. удалить записи байды в реестре не удается, процессы через диспетчер также не убиваются. пыталась пофиксить через HiJackThis, тоже появляются снова. прошу помощи.

CollectionLog-2014.11.28-02.05.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe','');
 QuarantineFile('C:\Program Files\Mega Browse\updateMegaBrowse.exe','');
 DeleteFile('C:\Program Files\Mega Browse\updateMegaBrowse.exe','32');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\iехplоrе.bаt.exe','32');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 DeleteService('Update Mega Browse');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(9);
ExecuteRepair(16);    
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ee1179bf03f82670302a4de76bd7e076&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ee1179bf03f82670302a4de76bd7e076&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ee1179bf03f82670302a4de76bd7e076&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ee1179bf03f82670302a4de76bd7e076&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

 

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

[Iride]

mike 1, спасибо большое   выполнила рекомендации по лечению, осталось отправить карантин на исследование. вот логи комбофикса и clearlnk:

в C:\Program Files остались папки Baidu и BaiduEx, удалила их вручную (раньше не удалялись).

похоже, байду пожрал файлы резидентного KAV: не работают файловый антивирус и анти-хакер (на попытки включить их пишет "неопределенная ошибка"). при этом базы спокойно обновляются. можно что-то сделать или проще переустановить его заново?

ComboFix.txt

ClearLNK-28.11.2014_19-31.log

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

c:\documents and settings\Кристина\an.bat

c:\documents and settings\Кристина\sd.bat

c:\windows\system32\DRIVERS\bd0004.sys

c:\windows\system32\DRIVERS\BDAntiExp.sys

c:\windows\system32\DRIVERS\BDSafeBrowser.sys

 

Driver::

bd0004

BDAntiExp

BDSafeBrowser

 

Folder::

c:\documents and settings\Кристина\Application Data\Baidu

c:\windows\system32\config\systemprofile\Application Data\Baidu

c:\documents and settings\LocalService\Application Data\Baidu

c:\program files\Common Files\Baidu

c:\documents and settings\All Users\Application Data\Baidu

c:\program files\Baidu

C:\Program Files\BaiduEx

 

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program Files\\Common Files\\Baidu\\BDDownload\\108\\bddownloader.exe"=-

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe"=-



FileLook::

 

DirLook::

c:\docume~1\01F8~1

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[Iride]

сделано. а что с каспером?

 

похоже, байду пожрал файлы резидентного KAV: не работают файловый антивирус и анти-хакер (на попытки включить их пишет "неопределенная ошибка"). при этом базы спокойно обновляются. можно что-то сделать или проще переустановить его заново?

 

ComboFix.txt

[mike 1]

 

 

сделано. а что с каспером?

Попробуйте переустановить антивирус.

 

Сделайте новые логи Автологгером.

[Iride]

Попробуйте переустановить антивирус.

 

хорошо, спасибо.

CollectionLog-2014.11.28-23.06.zip

[Roman_Five]

удалите остатки Avira

http://support.kaspersky.ru/consumer/tools-utilities#avira

 

приложите лог GSI

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=55906

[Iride]

ссылка на утилиту удаления авиры выдает ошибку 404. на официальном сайте авиры нашла только утилиту для чистки реестра от ее записей, воспользовалась ей. KAV тоже пришлось временно удалить (установочного диска пока нет под рукой).

 

отчет getsysteminfo: http://www.getsysteminfo.com/read.php?file=f78c8ef1395714a19e52f1dce8de8770

 

еще обнаружилась проблема: если в хроме в адресной строке набрать что-то, браузер пытается перейти на yamdex.net (антивирус блокирует переход).

в реестре нашла несколько ключей, указывающих этот ямдекс как поисковик по умолчанию, удалила, но не помогло. все равно хром пытается искать через yamdex.net и вручную не удается выставить другой поисковик как дефолтный.

еще на файле hosts защита от записи, HiJackThis негодует.

GetSystemInfo_DESKTOP_Кристина_2014_11_29_19_30_37.zip

[Roman_Five]

антивирус какой сейчас установлен?
DrWeb?
он и останется?

[Iride]

Сейчас Web, позже каспер поставлю, когда смогу диск забрать.

[Roman_Five]

удалите Sophos Anti-Rootkit

C:\Program Files\Sophos\Sophos Anti-Rootkit\helper.exe remove

Скачайте Junkware Removal Tool и сохраните на рабочем столе.

Выгрузите всё защитное ПО и браузеры, чтобы избежать конфликтов.

Щелкните правой кнопкой мыши и выберите "Запуск от имени администратора".

Программа запустится и начнётся сканирование Вашей системы.

Дождитесь завершения сканирования.

По окончании лог сканирования (JRT.txt) сохранится на рабочий стол и автоматически откроется.

Прикрепите полученный лог к следующему сообщению.

 

Приложите логи MBAM и AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

[Iride]

с MBAM вышла накладка - после завершения комп перезагрузился, лог сохранился автоматически в формате .xml (как переделать - не знаю)

JRT.txt

AdwCleanerR0.txt

[Roman_Five]

 

 

лог сохранился автоматически в формате .xml

давайте такой.

+

удалите найденное в AdwCleaner (можете оставить Mail.ru, Mailru и MRA)

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160

[Iride]

удалила.

 

 

давайте такой.

 

вот:

mbam-log-2014-11-30 (20-59-10).xml