Перейти к содержанию
Правила раздела

Удаление baidu.

Дэкапитатор

От Дэкапитатор
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Мик1\AppData\Roaming\VG01_2\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','');
 DelBHO('{84C9B457-C48F-46CC-90C0-5A310C64108A}');
 DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Мик1\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
DeleteFile('C:\Users\Мик1\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\Мик1\AppData\Local\Kometa\kometaup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 DeleteFile('C:\iexplore.bat','32'); 
DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
 DeleteFile('C:\Users\Мик1\AppData\Roaming\VG01_2\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\VG01_2.job','64');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('c:\users\мик1\appdata\local\baidu\baidu\1.3.1.157\Baidu.exe');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDKVRTP');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDMWrench');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDFileDefend');
 BC_DeleteSvc('BDMWrench_x64');
 BC_DeleteSvc('BdSandBox');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDShellExt64.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdTray.exe');
 BC_DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи
 
Сделайте лог ComboFix
Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
Дэкапитатор Новичок

Дэкапитатор

Опубликовано
  • Автор
Опубликовано

Добрый вечер. Прождал месяц , Касперский так и не прислал файлы.

Re [VirLabSRF][Malicious file analysis][M1][LNRU][L0] [KLAN-2356148941]

Re [VirLabSRF][Malicious file analysis][M1][LNRU][L1] [KLAN-2356181330]

 

 

ComboFix.txt

CollectionLog-2015.01.12-21.13.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Пофиксите в HiJack




R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text=

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text=


 

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С 

KillAll::

 

File::



c:\windows\system32\drivers\bd0003.sys

c:\windows\system32\drivers\BDDefense.sys

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\bd0001.sys

c:\windows\SysWow64\drivers\BDArKit.sys

C:\firefox.bat

C:\launcher.bat

C:\lаunсhеr.bаt.exe

c:\windows\system32\drivers\BDMWrench.sys

c:\windows\system32\bd64_x64.dll

c:\windows\system32\bd64_x86.dll

c:\windows\system32\drivers\BDSafeBrowser.sys

c:\windows\system32\drivers\bd0001_1.sys

C:\firеfох.bаt.exe



 

Driver::



bd0004

BDFileDefend

BDMWrench_x64

BDSafeBrowser

BdSandBox



BaiduHips

BDKVRTP

BDSGRTP





bd0003

BDMWrench

BDDefense

 





Folder::

c:\program files (x86)\Common Files\Baidu

c:\program files (x86)\BaiduSd3.0

 

Registry::

 

FileLook::

 

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Дэкапитатор Новичок

Дэкапитатор

Опубликовано
  • Автор
Опубликовано

После того как перенес файл на пиктограму Комбо фикс запустился как в первый раз и сделал проверку с перезагрузкой, все верно?

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Дэкапитатор Новичок

Дэкапитатор

Опубликовано
  • Автор
Опубликовано

На сколько мне видно проблема устранилась. Спасибо большое!

 

Но в локальных дисках появились папки : $RECYCLE. BIN , Boot , IDE , msdownld.tmp , 

 

Папки удалились кроме Boot в этой папки остались подпапки с руссификацией ru-RU fr-FR  memtest и тд. Как удалить эту папку?


А все решил проблему через програму Унлокер. Спасибо еще раз.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


Папки удалились кроме Boot в этой папки остались подпапки с руссификацией ru-RU fr-FR  memtest и тд. Как удалить эту папку? А все решил проблему через програму Унлокер. Спасибо еще раз.

перезагружались после того, как удалили?

 

это системная папка.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • mao7
      [РЕШЕНО] Помощь в удалении вируса SEPEH.GEN
      От mao7
      Здравствуйте, поймал вирус SEPEH.GEN, пробовал удалить его с помощью KVRT, но при запуске лечения просто перезагружается компьютер но детект остается (даже при очистке логов детектов).
      Также пробовал KRD, но там детектов вообще не было.
      CollectionLog-2025.02.16-19.47.zip
    • nDaDe
      Прошу помощи с удалением майнера
      От nDaDe
      Добрый день.
       
      При запуске возникает нагрузка на процессор 100%, при запуске taskmgr она пропадает, закрываешь и все заново.
      В системе установлен Касперский, но он не может найти вирус полностью.
      Утилитами проверял в безопасном режиме, они находили WmiPrvSF.exe, он удалялся и через непродолжительное время все повторялось.
      Логи собирал 19-01-25, уехал в командировку не успел создать тему. Компьютер с того времени еще не включался.
      Был бы признателен в помощи.
      CollectionLog-2025.01.19-20.37.zip FRST.txt
    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • Danila05
      Прошу помощи с удалением вируса или майнера
      От Danila05
      Начал замечать что видео с любой площадки начали троить( просто на пол экрана появляются какие то битые пиксили) так же скорость загрузки видео начала падать( спустя несколько часов после запуска пк) Так же упал фпс в играх и часто начали сбои в работе программ (вылеты, зависания) Начал замечать странные приложение в диспетчере, но они почти сразу проподают.
      CollectionLog-2025.02.12-12.10.zip
    • Илья Н.
      Удаленная установка агента KSC
      От Илья Н.
      Добрый день!
      Имеется сервер KSC 12, с отвалившимися ПК, у которых агент администрирования не выходит на связь с сервером.
      При попытке удаленно (через PsExec) переустановить агент администрирования, с помощью команды:
       
      msiexec /i "\\address\NetAgent_12.0.0.7734\exec\Kaspersky Network Agent.msi" /qn DONT_USE_ANSWER_FILE=1 SERVERADDRESS=address.local EULA=1 SERVERPORT=14000 /l*vx c:\windows\temp\nag_ins.log Появляется ошибка установки - 1624, с сообщением в файле лога:
      MSI (s) (CC:A4) [15:57:20:095]: No System Restore sequence number for this installation. Ошибка применения преобразований. Проверьте правильности путей указанных преобразований. \\address\MST\18dd0322-f64f-4084-952a-18051b4573b1_3_NetAgent_12.0.0.7734.mst Действительно, в данной папке нет MST файла. Вопрос - как его сгенерировать? Насколько я понимаю, он должен быть автоматически сгенерирован, при формировании инсталляционного пакета. 
      Я копировал файлы из папки \NetAgent_12.0.0.7734\exec\, через ORCA генерировал MST файл и копировал на ПК - всё равно появлялась аналогичная ошибка. Как ее исправить?
        
×
×
  • Создать...