Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Появилась байда и куча другой грязи.

mokkeo

Автор mokkeo
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mokkeo Новичок

mokkeo

Опубликовано
Опубликовано

Ребята, привет!

 

Самой убрать это все не удалось, во-первых Байда, вроде как, через uninstall вычистилось, но очень сомневаюсь в этом. 

При открытии любого браузера - какая-то ерунда.

При попытке удалить - Ultral SO - компьютер перегружается.

 

Странное поведение. Логи в аттаче.

CollectionLog-2014.12.07-23.51.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\EKATER~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 TerminateProcessByName('c:\program files\zaxar\zaxarloader.exe');
 QuarantineFile('c:\program files\zaxar\zaxarloader.exe','');
DeleteFile('c:\program files\zaxar\zaxarloader.exe','32');

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 DeleteFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\EKATER~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');


 BC_ImportAll;
ExecuteSysClean;

BC_DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe');
 BC_DeleteFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe');
 BC_DeleteFile('c:\program files\baidu\bindex.exe');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\ad.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMDownload.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\ArKit.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\AssistReportPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\FileUpdatePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\FixSePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\HostPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\BaiduRepair.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\HIPS.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\SafeBrowserDll.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\bdcomproxy.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\dl.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDMWrench');

BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пересоздайте ярлыки
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\DivХ Сonverter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Rеgistеr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Сheck for Uрdаtes.lnk
 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr (2).lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Интернет браузер Рhоeniх.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk
 
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zаxar Games Browser.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет браузер Phoenix\Интернет браузер Рhoeniх.lnk

 

 

Сделайте новые логи
 
Сделайте лог ComboFix
Ссылка на комментарий
Поделиться на другие сайты
mokkeo Новичок

mokkeo

Опубликовано
  • Автор
Опубликовано

Доброе утро!

 

Скрипт выполнила - логи отправила, но ответа пока нет, либо его не будет, т.к. у меня стоит trial КИС.

ComboFix - не запускается. Переименовывала, и все-равно тоже самое окно. Пишет, что программа не поддерживается

Ссылка на комментарий
Поделиться на другие сайты
mokkeo Новичок

mokkeo

Опубликовано
  • Автор
Опубликовано

Аналогично - не запускается...


Аналогично - не запускается...

Зато пришел ответ с сайта Касперского

 

.\bcqr00001.ini ok
.\bcqr00002.ini ok
.\bcqr00003.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00003.ini ok
.\bcqr00004.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00004.ini ok
.\bcqr00005.dat detected Trojan.BAT.StartPage.md 
.\bcqr00005.ini ok
.\bcqr00006.dat detected Trojan.BAT.StartPage.md 
.\bcqr00006.ini ok
.\bcqr00007.ini ok
.\bcqr00008.ini ok
.\bcqr00009.dat ok
.\bcqr00009.ini ok
.\bcqr00010.dat ok
.\bcqr00010.ini ok 
С уважением, антивирусная лаборатория


Аналогично - не запускается

 

Зато пришел ответ с сайта Касперского:

 

 

 

KLAN-2330057423

 

.\bcqr00001.ini ok
.\bcqr00002.ini ok
.\bcqr00003.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00003.ini ok
.\bcqr00004.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00004.ini ok
.\bcqr00005.dat detected Trojan.BAT.StartPage.md 
.\bcqr00005.ini ok
.\bcqr00006.dat detected Trojan.BAT.StartPage.md 
.\bcqr00006.ini ok
.\bcqr00007.ini ok
.\bcqr00008.ini ok
.\bcqr00009.dat ok
.\bcqr00009.ini ok
.\bcqr00010.dat ok
.\bcqr00010.ini ok 
С уважением, антивирусная лаборатория

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните в AVZ восьмой стандартный скрипт (главное окно AVZ - Файл - Стандартные скрипты - 8. VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК - Выполнить отмеченные скрипты).

Загрузите архив virusinfo_auto_{name_PC}.zip из папки AVZ4/LOG через следующую форму, не забыв отметить пункт "Отправить отчет о сканировании на E-mail" и указать реальный адрес своей электронной почты.

Ссылки на результаты проверки онлайн-сервисом VirusDetector и обсуждение результатов проверки из полученного письма с темой "VirusDetector - обработка карантина завершена" после загрузки карантина приложите здесь.

Подробнее с правилами сервиса VirusDetector можно ознакомиться здесь.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kurdzo
      [РЕШЕНО] Появился вирус Tool.BtcMine.2780 и Backdoor.SiggenNet
      Автор kurdzo
      Искал через Dr.Web (CureIt), удалял, но при следующем запуске системы снова идет нагрузка на ЦП и находятся эти вирусы. Dr.Web сейчас перестал запускаться. 
      CollectionLog-2025.07.14-13.08.zip
    • specxpilot
      proton ransomware Не появилась ли возможность рашифровать?
      Автор specxpilot
    • Sergant1983
      Появился процесс "Телефон Microsoft Windows" нагружающий процессор и оператику.
      Автор Sergant1983
      Добрый день.Стал замечать падение производительности ПК в играх. В программе Advanced SystemCare в мониторе производительности увидел процесс Телефон Microsoft Windows сильно грузящий оперативку и процессор.В диспетчере задач этого процесса нет,и при открытии диспетчера задач,заметил,что этот процесс может исчезнуть,но потом все равно выскакивает.При закрытии этото процесса вылетает Синий экран!
      CollectionLog-2025.06.16-00.50.zip
    • Polina52
      [РЕШЕНО] Появился майнер
      Автор Polina52
      Начал греться ноутбук, грузится цп. На многие сайты не смогла зайти и некоторые программы поставить. Благодарю за ответ.
      Логи прилагаю
      Addition.txt FRST.txt
    • svnfei
      После лечения от вируса появились проблемы с ярлыками на панели задач
      Автор svnfei
      Вечером пришлось лечиться от вируса, все было сделано правильно и после перезагрузки возникли проблемы с отображением ярлыков на панели задач. Это касалось только телеграмма и параметры. И если телеграм удалось починить, то с параметрами до сих пор такие вот проблемы. 
      Главное в панели задач параметры - черный квадрат, но если смотреть через пуск, то там стандартная иконка шестеренки.
       
×
×
  • Создать...