Коллега по работе подцепил байду :)

[Sandynist]

Добрый день! У меня коллега подцепил себе байду. Ему нужна помощь.

 

 

AutoLogger.rar

[thyrex]

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');

 DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');

 QuarantineFile('C:\Documents and Settings\Дамир\Local Settings\Application Data\Kometa\Panel\KometaLaunchPanel.exe','');

 SetServiceStart('Update Service for Gigabase', 4);

 DeleteService('Update Service for Gigabase');

 SetServiceStart('Update Service for advPlugin', 4);

 DeleteService('Update Service for advPlugin');

 QuarantineFile('C:\Program Files\Gigabase\Basement\Extension32.dll','');

 QuarantineFile('C:\Program Files\advPlugin\Toolbar32.dll','');

 QuarantineFile('C:\Program Files\advPlugin\Interfaces32.dll','');

 TerminateProcessByName('c:\documents and settings\Дамир\local settings\application data\kometa\application\kometa.exe');

 QuarantineFile('c:\documents and settings\Дамир\local settings\application data\kometa\application\kometa.exe','');

 QuarantineFile('c:\program files\gigabase\guard\guardbackgroundservice.exe','');

 QuarantineFile('c:\program files\gigabase\basement\extensionupdaterservice.exe','');

 TerminateProcessByName('c:\program files\advplugin\backgroundsingleton.exe');

 QuarantineFile('c:\program files\advplugin\backgroundsingleton.exe','');

 DeleteFile('c:\program files\advplugin\backgroundsingleton.exe','32');



 DeleteFile('c:\documents and settings\Дамир\local settings\application data\kometa\application\kometa.exe','32');

 DeleteFile('C:\Program Files\advPlugin\Interfaces32.dll','32');

 DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32');



RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x86');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_ED30EE5845B6B310E1F9AD7FA824794F');

 DeleteFile('C:\Documents and Settings\Дамир\Local Settings\Application Data\Kometa\Panel\KometaLaunchPanel.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaLaunchPanel');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');

 DeleteFile('C:\Documents and Settings\Дамир\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.url','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduSdTray');







 BC_ImportAll;

ExecuteSysClean;



 BC_DeleteFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduansvc.exe');

 BC_DeleteFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduantray.exe');

 BC_DeleteFile('c:\program files\common files\baidu\baiduhips\1.0.0.667\baiduhips.exe');

 BC_DeleteFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdsvc.exe');

 BC_DeleteFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdtray.exe');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\ad.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDLogicUtils.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDKitUtils.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVCached.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVEng.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\bduf.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMCommon.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMDbSqlite.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMFrameWork.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMNet.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMReport.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMSkin.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMUpdate.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\DriverManager.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\EnhanceBoost.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMNetMonMgrDll.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMProcessRunningTime.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccDataMgr.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccEngine.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccStrategyMgr.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\SysAccMgrDll.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\libcurl.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\LIBEAY32.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\BDMPatcherPlugins\BDMConnect.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\bdmsusplugins\BDMNetMonSusPlugin.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\bdmsusplugins\BDMSOAccSusPlugin.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMAccount.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMSOAccTrayPlugin.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMSOCleanerTrayPlugin.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\BDMTrayPlugins\BDMSusPlugin.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMTrayTipsPlugin.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\RTPPlugins\BDMSOAccServicePlugin.dll');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\RTPPlugins\HipsClient.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\ad.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\BDConfig.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\BDKVDeskBand.dll');

 BC_DeleteFile('C:\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BDKVDOWNLOADPROTECT.DLL');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\BDLogicUtils.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDKitUtils.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVCached.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVEng.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMPerfMon.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDUDiskGuard.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\bdmantivirus\bduf.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\bdmantivirus\TrustAndIso.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\BDMAVE.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\BDMDbSqlite.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\BDMFrameWork.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\BDMNet.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\BDMSkin.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\DriverManager.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\plugins\bdkvrtpplugins\FileMon.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\plugins\bdkvrtpplugins\HIPSClient.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\plugins\bdkvrtpplugins\PrivacyProtect.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\Plugins\bdkvtrayplugins\BDDownLoadProtectPlugin.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\Plugins\bdkvtrayplugins\BDKVRmvDevPlugin.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\Plugins\bdkvtrayplugins\BDKVTrayTipsPlugin.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\websafe\DllInject.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\websafe\websafe.dll');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\websafe\WebSafePlugin.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\bd0001.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDConfig.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDLogicUtils.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDMAVCached.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDMAVEng.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDMBase.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDMFrameWork.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDMNet.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDMReport.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDMStringUtils.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\BDMTinyXml.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\DriverManager.dll');

 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.0.0.667\TrustAndIso.dll');

 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys');

 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys');

 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0003.sys');

 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys');

 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys');

 BC_DeleteSvc('BaiduHips');

 BC_DeleteSvc('BDKVRTP');

 BC_DeleteSvc('BDMRTP');

 BC_DeleteSvc('bd0001');

 BC_DeleteSvc('bd0002');

 BC_DeleteSvc('bd0003');

 BC_DeleteSvc('BDArKit');

 BC_DeleteSvc('BDMWrench');



BC_DeleteFile('C:\Program Files\BaiduEx\uninit.exe');

 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe');

 BC_DeleteFile('C:\Program Files\baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe');





BC_Activate;

RebootWindows(false);

end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог ComboFix

[Sandynist]

В меню «Установка и удаление программ» Всё равно осталась Байду после работы скрипта, провёл штатную процедуру удаления. Нужно ли ещё раз повторить комбинированные логи?

[Roman_Five]

 

 

Сделайте новые логи  

Сделайте лог ComboFix

[Sandynist]

Пересканировал мультисканерами. К сожалению, не получился лог ComboFix, причины установить не смог.

AutoLogger.rar

[thyrex]

Содержимое папки c:\program files\gigabase известно?

 

Пересоздайте ярлыки

C:\Documents and Settings\Дамир\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk

C:\Documents and Settings\Дамир\Главное меню\Программы\Yandex\Yandex.lnk

C:\Documents and Settings\Дамир\Рабочий стол\Игры на все вкусы\Всё остальное\OPERA\Mozilla Firefox.lnk

C:\Documents and Settings\Дамир\Рабочий стол\Игры на все вкусы\Сот.Сети\Google Chrome.lnk

C:\Documents and Settings\Дамир\Рабочий стол\Игры на все вкусы\Сот.Сети\Opera 24.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\DivX Plus\Check for Updates.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\DivX Plus\Codec Settings.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\DivX Plus\DivX Plus Converter.lnk

C:\Documents and Settings\All Users\Главное меню\Программы\DivX Plus\Register.lnk

C:\Documents and Settings\All Users\Рабочий стол\DivX Plus Converter.lnk

 

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c5f75fd68b7a729dc16b7a12285d4574&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c5f75fd68b7a729dc16b7a12285d4574&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=profitraf5
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c5f75fd68b7a729dc16b7a12285d4574&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c5f75fd68b7a729dc16b7a12285d4574&text=

Удалите 

C:\Documents and Settings\Дамир\Application Data\advPlugin

C:\WINDOWS\system32\drivers\BDArKit(1).sys

C:\Documents and Settings\Дамир\Application Data\Baidu

C:\Program Files\Common Files\Baidu

C:\Documents and Settings\All Users\Application Data\Baidu

C:\Program Files\Baidu

C:\Program Files\BaiduEx

C:\Program Files\advPlugin

 

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

 DelBHO('{21A07E17-5809-484C-80D8-938064663D47}');
 DeleteService('BDEnhanceBoost');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDEnhanceBoost.sys','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','amigo');
 DeleteFile('C:\Documents and Settings\Дамир\Local Settings\Application Data\Amigo\Application\amigo.exe','32');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Сделайте новые логи

 

Сделайте лог МВАМ