mokkeo Опубликовано 7 декабря, 2014 Опубликовано 7 декабря, 2014 Ребята, привет! Самой убрать это все не удалось, во-первых Байда, вроде как, через uninstall вычистилось, но очень сомневаюсь в этом. При открытии любого браузера - какая-то ерунда. При попытке удалить - Ultral SO - компьютер перегружается. Странное поведение. Логи в аттаче. CollectionLog-2014.12.07-23.51.zip
thyrex Опубликовано 7 декабря, 2014 Опубликовано 7 декабря, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\EKATER~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.emorhc.bat',''); QuarantineFile('C:\ProgramData\Schedule\timetasks.exe',''); TerminateProcessByName('c:\program files\zaxar\zaxarloader.exe'); QuarantineFile('c:\program files\zaxar\zaxarloader.exe',''); DeleteFile('c:\program files\zaxar\zaxarloader.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu'); DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule'); DeleteFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\EKATER~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','32'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe'); BC_DeleteFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe'); BC_DeleteFile('c:\program files\baidu\bindex.exe'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\ad.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDKitUtils.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDLogicUtils.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMDownload.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMNet.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMReport.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\DriverManager.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\ArKit.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\AssistReportPlugin.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\FileUpdatePlugin.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\FixSePlugin.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\HostPlugin.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\BaiduRepair.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\HIPS.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\SafeBrowserDll.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\bdcomproxy.dll'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\dl.dll'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe'); BC_DeleteSvc('BDSGRTP'); BC_DeleteSvc('bd0001'); BC_DeleteSvc('bd0004'); BC_DeleteSvc('BDArKit'); BC_DeleteSvc('BDSafeBrowser'); BC_DeleteSvc('BDDefense'); BC_DeleteSvc('BDMWrench'); BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пересоздайте ярлыки C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\DivХ Сonverter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Rеgistеr.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Сheck for Uрdаtes.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr (2).lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr.lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Интернет браузер Рhоeniх.lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zаxar Games Browser.lnk C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет браузер Phoenix\Интернет браузер Рhoeniх.lnk Сделайте новые логи Сделайте лог ComboFix
mokkeo Опубликовано 8 декабря, 2014 Автор Опубликовано 8 декабря, 2014 Доброе утро! Скрипт выполнила - логи отправила, но ответа пока нет, либо его не будет, т.к. у меня стоит trial КИС. ComboFix - не запускается. Переименовывала, и все-равно тоже самое окно. Пишет, что программа не поддерживается
Roman_Five Опубликовано 8 декабря, 2014 Опубликовано 8 декабря, 2014 пробуйте её запустить в безопасном режиме.
mokkeo Опубликовано 8 декабря, 2014 Автор Опубликовано 8 декабря, 2014 Аналогично - не запускается... Аналогично - не запускается... Зато пришел ответ с сайта Касперского .\bcqr00001.ini ok.\bcqr00002.ini ok.\bcqr00003.dat detected Trojan.BAT.StartPage.mc .\bcqr00003.ini ok.\bcqr00004.dat detected Trojan.BAT.StartPage.mc .\bcqr00004.ini ok.\bcqr00005.dat detected Trojan.BAT.StartPage.md .\bcqr00005.ini ok.\bcqr00006.dat detected Trojan.BAT.StartPage.md .\bcqr00006.ini ok.\bcqr00007.ini ok.\bcqr00008.ini ok.\bcqr00009.dat ok.\bcqr00009.ini ok.\bcqr00010.dat ok.\bcqr00010.ini ok С уважением, антивирусная лаборатория Аналогично - не запускается Зато пришел ответ с сайта Касперского: KLAN-2330057423 .\bcqr00001.ini ok.\bcqr00002.ini ok.\bcqr00003.dat detected Trojan.BAT.StartPage.mc .\bcqr00003.ini ok.\bcqr00004.dat detected Trojan.BAT.StartPage.mc .\bcqr00004.ini ok.\bcqr00005.dat detected Trojan.BAT.StartPage.md .\bcqr00005.ini ok.\bcqr00006.dat detected Trojan.BAT.StartPage.md .\bcqr00006.ini ok.\bcqr00007.ini ok.\bcqr00008.ini ok.\bcqr00009.dat ok.\bcqr00009.ini ok.\bcqr00010.dat ok.\bcqr00010.ini ok С уважением, антивирусная лаборатория
Roman_Five Опубликовано 8 декабря, 2014 Опубликовано 8 декабря, 2014 приложите новые логи автологгера
mokkeo Опубликовано 8 декабря, 2014 Автор Опубликовано 8 декабря, 2014 готово CollectionLog-2014.12.08-15.20.zip
Roman_Five Опубликовано 8 декабря, 2014 Опубликовано 8 декабря, 2014 Выполните в AVZ восьмой стандартный скрипт (главное окно AVZ - Файл - Стандартные скрипты - 8. VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК - Выполнить отмеченные скрипты). Загрузите архив virusinfo_auto_{name_PC}.zip из папки AVZ4/LOG через следующую форму, не забыв отметить пункт "Отправить отчет о сканировании на E-mail" и указать реальный адрес своей электронной почты. Ссылки на результаты проверки онлайн-сервисом VirusDetector и обсуждение результатов проверки из полученного письма с темой "VirusDetector - обработка карантина завершена" после загрузки карантина приложите здесь. Подробнее с правилами сервиса VirusDetector можно ознакомиться здесь.
mokkeo Опубликовано 8 декабря, 2014 Автор Опубликовано 8 декабря, 2014 http://virusinfo.info/virusdetector/report.php?md5=57366DC516F5A53D038446F155BFF424 http://virusinfo.info/showthread.php?t=172443
Roman_Five Опубликовано 8 декабря, 2014 Опубликовано 8 декабря, 2014 чисто. что-то ещё беспокоит?\ 1 1
mokkeo Опубликовано 8 декабря, 2014 Автор Опубликовано 8 декабря, 2014 Все отлично!Спасибо большое Вам!
mike 1 Опубликовано 10 декабря, 2014 Опубликовано 10 декабря, 2014 Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти