Перейти к содержанию

BaiduSd3.0 пришел


Антэй

Рекомендуемые сообщения

Прилетела программа, которая не поддается удалению. Комп. периодически перезагружается.

файл протоколов (логов) прикладываю

CollectionLog-2014.12.03-17.09.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\DigitalSites\UpdateProc\bkup.dat','');

 DeleteFile('C:\Users\User\AppData\Roaming\DigitalSites\UpdateProc\bkup.dat','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','DigitalSites');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Users\User\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');


 BC_ImportAll;
ExecuteSysClean;

BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe');
 BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.619\baiduprotect.exe');
 BC_DeleteFile('c:\program files (x86)\baidusd3.0\baidusd\3.0.0.4605\baidusdsvc.exe');
 BC_DeleteFile('c:\program files (x86)\baidusd3.0\baidusd\3.0.0.4605\baidusdtray.exe');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe');
 BC_DeleteFile('c:\program files (x86)\common files\baidu\bddownload\108\bddownloader.exe');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavArchive.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavCommon.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavEngine.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavFrame.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavOle.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavScanH.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavScanM.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavScanV.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavUnpack.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDMPerfMon.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDUDiskGuard.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\bduf.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMAVE.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMCommon.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMDbSqlite.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMNet.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMReport.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BdSandCtl.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\DriverManager.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\FileMon.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\HIPSClient.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\PrivacyProtect.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\Plugins\bdkvtrayplugins\BDDownLoadProtectPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\Plugins\bdkvtrayplugins\BDKVRmvDevPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\Plugins\bdkvtrayplugins\BDKVTrayTipsPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\skin_engine.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\DllInject.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebMonHook.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\websafe.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebSafePlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsBusiness.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsCore.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduPrevUIn.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDConfig.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMBase.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMNet.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMReport.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMStringUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMTinyXml.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\DriverManager.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BDMDownload.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BDMNet.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BDMReport.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\DriverManager.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\ArKit.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\AssistReportPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\FileUpdatePlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\FixSePlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\HostPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\plugins\BaiduRepair.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\plugins\HIPS.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\SafeBrowserDll.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bdcomproxy.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\dl.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDKVRTP');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDMWrench');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('BDFileDefend');
 BC_DeleteSvc('BDMWrench_x64');
 BC_DeleteSvc('BdSandBox');

BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 


Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)


 

Сделайте новые логи

 

Сделайте лог ComboFix
Ссылка на комментарий
Поделиться на другие сайты

если вы имеете ввиду, что для новых логов я должен запустить комбофикс, то его не дает запустить эта китайская программа - отказано в доступе)

Ссылка на комментарий
Поделиться на другие сайты

Отключил инет, вроде получилось, прикладываю.

 

И еще в блокнот (файл log.txt) загрузилась инфа. Это то же, что и я вам отправил? что с ней делать?:)

ComboFix.txt

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С



KillAll::
 
File::
c:\windows\system32\drivers\BDMWrench_x64.sys
c:\windows\SysWow64\drivers\bd0001.sys
c:\windows\SysWow64\drivers\bd0002.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\BDDefense.sys
c:\windows\system32\drivers\bd0002.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\bd64_x64.dll
C:\launcher.bat

Driver::
 
Folder::
c:\program files (x86)\BaiduAn3.0
c:\users\User\AppData\Local\EmieBrowserModeList
c:\users\User\AppData\Roaming\DigitalSites
c:\program files (x86)\BaiduSd3.0

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"baidusdTray"=-
 
FileLook::
 
DirLook::
c:\program files (x86)\Tweaks


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
KillAll::
 
Filex64::
c:\windows\SysWow64\drivers\bd0001.sys
c:\windows\SysWow64\drivers\bd0002.sys
c:\windows\SysWow64\drivers\bd0003.sys

File::
c:\windows\system32\drivers\BDMWrench_x64.sys
c:\windows\SysWow64\drivers\bd0001.sys
c:\windows\SysWow64\drivers\bd0002.sys
c:\windows\SysWow64\drivers\bd0003.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\bd64_x64.dll
C:\launcher.bat
 
Driver::
bd0003
bd0004
BDArKit
 
Folder::
c:\program files (x86)\Tweaks
c:\program files (x86)\Common Files\Baidu
 
Registry::
 
FileLook::
 
DirLook::
 
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
5315621m.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
 
 

Скачайте Farbar Recovery Scan Tool  FRST_canned.png?dl=1 и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
FRST.png?dl=1
 

 

Ссылка на комментарий
Поделиться на другие сайты

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3426756716-1552905479-3544433525-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2c89fc43f02596e57843da393f29f69b&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3426756716-1552905479-3544433525-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2c89fc43f02596e57843da393f29f69b&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3426756716-1552905479-3544433525-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2c89fc43f02596e57843da393f29f69b&text=
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll No File
S1 BDFileDefend; system32\DRIVERS\BDFileDefend.sys [X]
S1 BdSandBox; system32\DRIVERS\BdSandBox.sys [X]
2014-12-04 23:06 - 2014-12-04 23:06 - 00000000 __SHD () C:\Users\User\AppData\Local\EmieBrowserModeList
2014-12-03 10:34 - 2014-12-03 10:34 - 00067400 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys
2014-12-03 10:34 - 2014-12-03 10:34 - 00001203 _____ () C:\Users\Public\Desktop\????.lnk
2014-12-03 10:34 - 2014-12-03 10:34 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????
2014-12-04 23:00 - 2014-10-02 19:19 - 00000000 ____D () C:\Users\Все пользователи\Baidu
2014-12-04 23:00 - 2014-10-02 19:19 - 00000000 ____D () C:\ProgramData\Baidu
Task: {60A5512C-3BA9-4120-9C4A-E67E693F6309} - \chrome5 No Task File <==== ATTENTION
Task: {91BEFE77-BB78-4BA7-8CFD-93A34CEC6980} - \chrome5_logon No Task File <==== ATTENTION
EmptyTemp:
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...