Перейти к содержанию
Правила раздела

Появилась байда и куча другой грязи.

mokkeo

От mokkeo
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

mokkeo Новичок

mokkeo

Опубликовано
Опубликовано

Ребята, привет!

 

Самой убрать это все не удалось, во-первых Байда, вроде как, через uninstall вычистилось, но очень сомневаюсь в этом. 

При открытии любого браузера - какая-то ерунда.

При попытке удалить - Ultral SO - компьютер перегружается.

 

Странное поведение. Логи в аттаче.

CollectionLog-2014.12.07-23.51.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\EKATER~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 TerminateProcessByName('c:\program files\zaxar\zaxarloader.exe');
 QuarantineFile('c:\program files\zaxar\zaxarloader.exe','');
DeleteFile('c:\program files\zaxar\zaxarloader.exe','32');

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 DeleteFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\EKATER~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');


 BC_ImportAll;
ExecuteSysClean;

BC_DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe');
 BC_DeleteFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe');
 BC_DeleteFile('c:\program files\baidu\bindex.exe');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\ad.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMDownload.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\ArKit.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\AssistReportPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\FileUpdatePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\FixSePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\HostPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\BaiduRepair.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\HIPS.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\SafeBrowserDll.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\bdcomproxy.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\dl.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDMWrench');

BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пересоздайте ярлыки
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\DivХ Сonverter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Rеgistеr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Сheck for Uрdаtes.lnk
 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr (2).lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Интернет браузер Рhоeniх.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk
 
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zаxar Games Browser.lnk
C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет браузер Phoenix\Интернет браузер Рhoeniх.lnk

 

 

Сделайте новые логи
 
Сделайте лог ComboFix
Ссылка на комментарий
Поделиться на другие сайты
mokkeo Новичок

mokkeo

Опубликовано
  • Автор
Опубликовано

Доброе утро!

 

Скрипт выполнила - логи отправила, но ответа пока нет, либо его не будет, т.к. у меня стоит trial КИС.

ComboFix - не запускается. Переименовывала, и все-равно тоже самое окно. Пишет, что программа не поддерживается

Ссылка на комментарий
Поделиться на другие сайты
mokkeo Новичок

mokkeo

Опубликовано
  • Автор
Опубликовано

Аналогично - не запускается...


Аналогично - не запускается...

Зато пришел ответ с сайта Касперского

 

.\bcqr00001.ini ok
.\bcqr00002.ini ok
.\bcqr00003.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00003.ini ok
.\bcqr00004.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00004.ini ok
.\bcqr00005.dat detected Trojan.BAT.StartPage.md 
.\bcqr00005.ini ok
.\bcqr00006.dat detected Trojan.BAT.StartPage.md 
.\bcqr00006.ini ok
.\bcqr00007.ini ok
.\bcqr00008.ini ok
.\bcqr00009.dat ok
.\bcqr00009.ini ok
.\bcqr00010.dat ok
.\bcqr00010.ini ok 
С уважением, антивирусная лаборатория


Аналогично - не запускается

 

Зато пришел ответ с сайта Касперского:

 

 

 

KLAN-2330057423

 

.\bcqr00001.ini ok
.\bcqr00002.ini ok
.\bcqr00003.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00003.ini ok
.\bcqr00004.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00004.ini ok
.\bcqr00005.dat detected Trojan.BAT.StartPage.md 
.\bcqr00005.ini ok
.\bcqr00006.dat detected Trojan.BAT.StartPage.md 
.\bcqr00006.ini ok
.\bcqr00007.ini ok
.\bcqr00008.ini ok
.\bcqr00009.dat ok
.\bcqr00009.ini ok
.\bcqr00010.dat ok
.\bcqr00010.ini ok 
С уважением, антивирусная лаборатория

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Выполните в AVZ восьмой стандартный скрипт (главное окно AVZ - Файл - Стандартные скрипты - 8. VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК - Выполнить отмеченные скрипты).

Загрузите архив virusinfo_auto_{name_PC}.zip из папки AVZ4/LOG через следующую форму, не забыв отметить пункт "Отправить отчет о сканировании на E-mail" и указать реальный адрес своей электронной почты.

Ссылки на результаты проверки онлайн-сервисом VirusDetector и обсуждение результатов проверки из полученного письма с темой "VirusDetector - обработка карантина завершена" после загрузки карантина приложите здесь.

Подробнее с правилами сервиса VirusDetector можно ознакомиться здесь.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • sputnikk
      Появились многочисленные запросы в друзья на Facebook.
      От sputnikk
      Отец когда-то регистрировался там для игры в шарики, но этого давно нету, поэтому перестал пользоваться.
      Вдруг стали приходить уведомления с запросом на дружбу. Сейчас посмотреть невозможно кто оставляет запросы на дружбу - нет пароля и доступ возможен только через антиблокировку.
       
      Запросы могут оставлять боты или сделал 1 человек много раз? Письма пересылаются мне из ящика отца.

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Технологии и техника"
    • donzolll
      [РЕШЕНО] HEUR: Trojan. Multi.GenBadur.genw. uTorrent.pro. Появилась после загрузки игры
      От donzolll
      Антивирус вылечить не можетCollectionLog-2024.10.28-09.15.zip
    • sputnikk
      Когда появятся домашние решения х64?
      От sputnikk
      Интересно, когда начнут переводить продукты на х64?
      Среди домашних покупателей лицензий наверно осталось ничтожно мало владельцев систем х86. Вынужденные использовать х86 на домашних компах вероятно предпочитают бесплатные антивирусы из-за отсутствия лишних денег.
    • Frert
      Появилась папка на рабочем столе, без названия и не удаляется.
      От Frert
      Здравствуйте. Мне нужна помощь с тем,что после удаления офиса и скачивании пиратского с сайта из-за очень сильной необходимости  у меня появился вирус trojan win32 и hacktool win32 и на рабочем столе появилась папка без названия, которая не удаляется. Я приложил все логи после проверки. Прошу помочь мне с решение этой проблемы. Спасибо за понимание.
      CollectionLog-2024.09.06-14.40.zip
    • Vladislavvv
      Использовал утилиту KMSAuto, появился вирус, прошу, помогите
      От Vladislavvv
      После использования KMSAuto появился какой-то самовосстанавливающийся после удаления антивирусом троян dcxegsjhaybk\snxixaqsteid.exe
      Смотрел другие темы, нашёл примерное решение, но не понимаю что делать дальше.
      Запустил Farbar Recovery Scan Tool, просканировал комп, файлы FRST.txt и Addition.txt прилагаются.
      Помогите пожалуйста составить fixlist.txt
      Addition.txt FRST.txt
×
×
  • Создать...