Дэкапитатор Опубликовано 3 декабря, 2014 Опубликовано 3 декабря, 2014 Добрый вечер! Нужна помощь в удалении вируса BaiduSd3.0 Все испробовал не пооучается. CollectionLog-2014.12.03-21.35.zip
thyrex Опубликовано 3 декабря, 2014 Опубликовано 3 декабря, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Мик1\AppData\Roaming\VG01_2\s_inst.exe',''); QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll',''); DelBHO('{84C9B457-C48F-46CC-90C0-5A310C64108A}'); DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}'); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\Мик1\AppData\Local\Kometa\kometaup.exe',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command'); DeleteFile('C:\Users\Мик1\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\Мик1\AppData\Local\Kometa\kometaup.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32'); DeleteFile('C:\Users\Мик1\AppData\Roaming\VG01_2\s_inst.exe','32'); DeleteFile('C:\Windows\Tasks\VG01_2.job','64'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('c:\users\мик1\appdata\local\baidu\baidu\1.3.1.157\Baidu.exe'); BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys'); BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys'); BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys'); BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe'); BC_DeleteSvc('BaiduHips'); BC_DeleteSvc('BDKVRTP'); BC_DeleteSvc('BDSGRTP'); BC_DeleteSvc('bd0001'); BC_DeleteSvc('bd0002'); BC_DeleteSvc('bd0003'); BC_DeleteSvc('BDDefense'); BC_DeleteSvc('BDMWrench'); BC_DeleteSvc('BDSafeBrowser'); BC_DeleteSvc('bd0004'); BC_DeleteSvc('BDFileDefend'); BC_DeleteSvc('BDMWrench_x64'); BC_DeleteSvc('BdSandBox'); BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDShellExt64.dll'); BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdTray.exe'); BC_DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe'); BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Сделайте лог ComboFix
Дэкапитатор Опубликовано 12 января, 2015 Автор Опубликовано 12 января, 2015 Добрый вечер. Прождал месяц , Касперский так и не прислал файлы.Re [VirLabSRF][Malicious file analysis][M1][LNRU][L0] [KLAN-2356148941]Re [VirLabSRF][Malicious file analysis][M1][LNRU][L1] [KLAN-2356181330] ComboFix.txt CollectionLog-2015.01.12-21.13.zip
thyrex Опубликовано 13 января, 2015 Опубликовано 13 января, 2015 Пофиксите в HiJack R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text= O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text= Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С KillAll:: File:: c:\windows\system32\drivers\bd0003.sys c:\windows\system32\drivers\BDDefense.sys c:\windows\system32\drivers\bd0002.sys c:\windows\system32\drivers\bd0001.sys c:\windows\SysWow64\drivers\BDArKit.sys C:\firefox.bat C:\launcher.bat C:\lаunсhеr.bаt.exe c:\windows\system32\drivers\BDMWrench.sys c:\windows\system32\bd64_x64.dll c:\windows\system32\bd64_x86.dll c:\windows\system32\drivers\BDSafeBrowser.sys c:\windows\system32\drivers\bd0001_1.sys C:\firеfох.bаt.exe Driver:: bd0004 BDFileDefend BDMWrench_x64 BDSafeBrowser BdSandBox BaiduHips BDKVRTP BDSGRTP bd0003 BDMWrench BDDefense Folder:: c:\program files (x86)\Common Files\Baidu c:\program files (x86)\BaiduSd3.0 Registry:: FileLook:: DirLook:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Дэкапитатор Опубликовано 14 января, 2015 Автор Опубликовано 14 января, 2015 После того как перенес файл на пиктограму Комбо фикс запустился как в первый раз и сделал проверку с перезагрузкой, все верно? log.txt
Дэкапитатор Опубликовано 15 января, 2015 Автор Опубликовано 15 января, 2015 На сколько мне видно проблема устранилась. Спасибо большое! Но в локальных дисках появились папки : $RECYCLE. BIN , Boot , IDE , msdownld.tmp , Папки удалились кроме Boot в этой папки остались подпапки с руссификацией ru-RU fr-FR memtest и тд. Как удалить эту папку? А все решил проблему через програму Унлокер. Спасибо еще раз.
Roman_Five Опубликовано 16 января, 2015 Опубликовано 16 января, 2015 Папки удалились кроме Boot в этой папки остались подпапки с руссификацией ru-RU fr-FR memtest и тд. Как удалить эту папку? А все решил проблему через програму Унлокер. Спасибо еще раз. перезагружались после того, как удалили? это системная папка.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти