Baidu и BaiduEx

[Riply]

Здравствуйте.

Помогите удалить эти программы.

CollectionLog-2014.12.06-15.57.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\Администратор\appdata\roaming\vopackage\vosrv.exe');
 SetServiceStart('servervo', 4);
 StopService('servervo');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Yandex\browser.bat','');
 QuarantineFile('c:\users\Администратор\appdata\roaming\vopackage\vosrv.exe','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\VOPackage\VOsrv.exe','32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\Searchya','64');
 DeleteFile('C:\Windows\system32\Tasks\FF Watcher {12851B19-4101-49F6-9BB5-5AECB65C6430}','64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('servervo');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);    
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text=
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

Исправьте ярлыки:

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Creative\Sound Blaster X-Fi MB\Сrеаtivе Соnsоlе Lаunсhеr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Таnks.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Wоrld оf Таnks.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеrа.lnk
C:\Users\Администратор\Desktop\Оpеrа.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks - Common Test\Wоrld оf Таnks - Соmmоn Теst.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr (2).lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr (3).lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr (64-bit).lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[Riply]

всё сделал.

ClearLNK-06.12.2014_21-52.rar

FRST.txt

Addition.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:

SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=syd91&cd=2XzuyEtN2Y1L1QzutDtDtByDtBtByByE0C0D0DzyzyyEtCyCtN0D0Tzu0CyCyCzytN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu0D0S1L2Z1P1B0T1P1B2Z&cr=1520118147&ir=
SearchScopes: HKLM -> {20852F4D-6AD3-AFFA-E9A7-57D3208267FE} URL = http://start.qone8.com/web/?type=ds&ts=1383103911&from=cor&uid=SAMSUNGXHD103SJ_S246J9GZB02597&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=syd91&cd=2XzuyEtN2Y1L1QzutDtDtByDtBtByByE0C0D0DzyzyyEtCyCtN0D0Tzu0CyCyCzytN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu0D0S1L2Z1P1B0T1P1B2Z&cr=1520118147&ir=
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=syd91&cd=2XzuyEtN2Y1L1QzutDtDtByDtBtByByE0C0D0DzyzyyEtCyCtN0D0Tzu0CyCyCzytN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu0D0S1L2Z1P1B0T1P1B2Z&cr=1520118147&ir=
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.searchya.com/?q={searchTerms}&f=4&a=syd91&cd=2XzuyEtN2Y1L1QzutDtDtByDtBtByByE0C0D0DzyzyyEtCyCtN0D0Tzu0CyCyCzytN1L2XzutBtFtBtFyCtFtCtDzyyBtN1L1Czu0D0S1L2Z1P1B0T1P1B2Z&cr=1520118147&ir=
SearchScopes: HKLM-x32 -> {4E987AD9-A64D-DC9C-9930-37DE23C08793} URL = http://start.qone8.com/web/?type=ds&ts=1383103911&from=cor&uid=SAMSUNGXHD103SJ_S246J9GZB02597&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eda468eb848755f94daac9ee4cb1af59&text=
SearchScopes: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> {20852F4D-6AD3-AFFA-E9A7-57D3208267FE} URL = http://start.qone8.com/web/?type=ds&ts=1383103911&from=cor&uid=SAMSUNGXHD103SJ_S246J9GZB02597&q={searchTerms}
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1185348339-1552538087-22422384-500 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF HKLM\...\Firefox\Extensions: [{21EAF666-26B3-4a3c-ABD0-CA2F5A326744}] - C:\Program Files\V-bates\Firefox
FF HKLM-x32\...\Firefox\Extensions: [{21EAF666-26B3-4a3c-ABD0-CA2F5A326744}] - C:\Program Files\V-bates\Firefox
CHR Extension: (Переводчик для Chrome 2) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2014-11-25]
S2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-11-17] (Baidu)
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
S1 bd0003; system32\DRIVERS\bd0003.sys [X]
S1 bd0004; system32\DRIVERS\bd0004.sys [X]
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
S1 qknfd; system32\drivers\qknfd.sys [X]
S1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64; system32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys [X]
S1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [X]
2014-12-05 21:36 - 2014-12-05 21:34 - 00144712 _____ (Baidu Technology) C:\Windows\SysWOW64\Drivers\BDArKit.sys
2014-12-05 07:32 - 2014-11-17 13:15 - 00181072 _____ (Baidu) C:\Windows\system32\Drivers\bd0001_1.sys
2014-12-03 00:36 - 2014-12-03 07:14 - 00000000 ____D () C:\Program Files (x86)\Baidu
2014-11-25 23:47 - 2014-11-25 23:47 - 00000376 _____ () C:\Windows\Tasks\APSnotifierPP3.job
2014-11-25 23:47 - 2014-11-25 23:47 - 00000376 _____ () C:\Windows\Tasks\APSnotifierPP2.job
2014-11-25 23:45 - 2014-10-17 21:16 - 00023752 _____ (360????) C:\Windows\SysWOW64\Drivers\efimon.sys
2014-11-25 19:26 - 2014-12-06 09:48 - 00000520 _____ () C:\Windows\SysWOW64\an.bat
2014-11-25 19:25 - 2014-12-06 09:47 - 00000520 _____ () C:\Windows\SysWOW64\sd.bat
2014-11-25 14:15 - 2014-11-25 14:15 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
2014-11-25 14:14 - 2014-11-25 14:14 - 00000000 __SHD () C:\Users\Администратор\AppData\Roaming\AnyProtectEx
2014-11-25 13:13 - 2014-11-25 13:13 - 00000000 ____D () C:\Users\Администратор\AppData\Local\Baidu
2014-11-25 13:13 - 2014-11-17 13:15 - 00048968 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys
2014-11-25 13:09 - 2014-12-02 21:17 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Baidu
2014-11-25 13:08 - 2014-12-06 09:53 - 00000000 ____D () C:\Users\Все пользователи\Baidu
2014-11-25 13:07 - 2014-11-25 13:07 - 00000095 ____H () C:\WOTLauncher.bat
2014-11-25 13:07 - 2014-11-25 13:07 - 00000092 ____H () C:\opera.bat
2014-11-25 13:07 - 2014-11-25 13:07 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
2014-11-25 13:07 - 2014-09-30 19:20 - 09041264 ____H (Wargaming.net) C:\WОТLаunсhеr.bаt.exe
2014-11-25 13:07 - 2013-08-26 19:31 - 00879456 ____H (Opera Software) C:\оpеrа.bаt.exe
2014-11-25 13:07 - 2012-07-27 06:16 - 00748664 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2014-11-25 13:06 - 2014-12-06 21:15 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\VOPackage
2014-11-25 13:06 - 2014-12-06 10:50 - 00000000 ____D () C:\Program Files (x86)\BaiduEx
2014-11-25 13:05 - 2014-11-25 22:47 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\eTranslator
2014-12-06 21:36 - 2014-04-27 13:36 - 00000298 _____ () C:\Windows\Tasks\FF Watcher {12851B19-4101-49F6-9BB5-5AECB65C6430}.job
2014-12-06 21:36 - 2013-10-30 13:36 - 00000310 _____ () C:\Windows\Tasks\Searchya.job
2014-11-29 00:39 - 2014-04-27 13:33 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\InstallW
2014-11-29 00:39 - 2014-01-21 07:07 - 00000000 ____D () C:\Users\Администратор\AppData\Local\genienext
2014-11-29 00:39 - 2014-01-21 07:07 - 00000000 ____D () C:\Program Files (x86)\Mobogenie
Task: {1B55C333-9BB5-4A66-90CC-F7957B702102} - \FF Watcher {12851B19-4101-49F6-9BB5-5AECB65C6430} No Task File <==== ATTENTION
Task: {1ED0AA28-994C-4508-97CE-6902D40F14A5} - \Searchya No Task File <==== ATTENTION
Task: {D4E2BA50-4C71-49BB-88B5-47B714D333D9} - \APSnotifierPP2 No Task File <==== ATTENTION
Task: {E543B4DA-8159-4824-98FF-5AA63309B40A} - \APSnotifierPP3 No Task File <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => ? <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => ? <==== ATTENTION
Task: C:\Windows\Tasks\FF Watcher {12851B19-4101-49F6-9BB5-5AECB65C6430}.job => C:\Program Files\V-bates\PrefHelper.exe <==== ATTENTION
Task: C:\Windows\Tasks\Searchya.job => C:\Users\836D~1\AppData\Roaming\Searchya\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
EmptyTemp:
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Riply]

В блокноте не сохраняются иероглифы (30 строчка). продолжить?

иероглифы были заменены на ?????

AdwCleanerR0.txt

[mike 1]

 

 

В блокноте не сохраняются иероглифы (30 строчка). продолжить?

Да. Лог AdwCleaner нужен после выполнения скрипта. 

[Riply]

сделал.

Fixlog.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Riply]

а как удалить?

AdwCleanerS0.txt

[mike 1]

Уже удалили. Сделайте новые логи Автологгером.

[Riply]

автологи

CollectionLog-2014.12.07-13.58.zip

[Roman_Five]

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

>> Нарушение ассоциации REG файлов

>> Таймаут завершения процессов находится за пределами допустимых значений

>> Таймаут завершения служб находится за пределами допустимых значений

>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений

>> Разрешен автозапуск со сменных носителей

>> Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду c:\ComboFix.exe /Uninstall, нажмите кнопку "ОК"

 

 

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt

Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

 

на этом всё.

 

 

[Riply]

Большое спасибо! Система летает как новенькая.

 

только ComboFix не удалил, не найден файл.

[mike 1]

• Скачайте DelFix и сохраните утилиту на Рабочем столе
  

• Запустите DelFix
  

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  
  
  

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
  

• Нажмите на кнопку Run
  

• После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
  

• Прикрепите этот отчет в вашей теме.
  

 

[Riply]

/

DelFix.txt