Появилась байда и куча другой грязи.

[mokkeo]

Ребята, привет!

 

Самой убрать это все не удалось, во-первых Байда, вроде как, через uninstall вычистилось, но очень сомневаюсь в этом. 

При открытии любого браузера - какая-то ерунда.

При попытке удалить - Ultral SO - компьютер перегружается.

 

Странное поведение. Логи в аттаче.

CollectionLog-2014.12.07-23.51.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\EKATER~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
 TerminateProcessByName('c:\program files\zaxar\zaxarloader.exe');
 QuarantineFile('c:\program files\zaxar\zaxarloader.exe','');
DeleteFile('c:\program files\zaxar\zaxarloader.exe','32');

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
 DeleteFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\EKATER~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');


 BC_ImportAll;
ExecuteSysClean;

BC_DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.645\baiduprotect.exe');
 BC_DeleteFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe');
 BC_DeleteFile('c:\program files\baidu\bindex.exe');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\ad.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMDownload.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\ArKit.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\AssistReportPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\FileUpdatePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\FixSePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\dynplugins\HostPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\BaiduRepair.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\plugins\HIPS.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\SafeBrowserDll.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\bdcomproxy.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\dl.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDMWrench');

BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пересоздайте ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\DivХ Сonverter.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Rеgistеr.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Сheck for Uрdаtes.lnk

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооgle Chrоme.lnk

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr (2).lnk

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr.lnk

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Интернет браузер Рhоeniх.lnk

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk

 

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zаxar Games Browser.lnk

C:\Users\Ekaterina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет браузер Phoenix\Интернет браузер Рhoeniх.lnk

 

 

Сделайте новые логи

 

Сделайте лог ComboFix

[mokkeo]

Доброе утро!

 

Скрипт выполнила - логи отправила, но ответа пока нет, либо его не будет, т.к. у меня стоит trial КИС.

ComboFix - не запускается. Переименовывала, и все-равно тоже самое окно. Пишет, что программа не поддерживается

[Roman_Five]

пробуйте её запустить в безопасном режиме.

[mokkeo]

Аналогично - не запускается...

Аналогично - не запускается...

Зато пришел ответ с сайта Касперского

 

.\bcqr00001.ini ok
.\bcqr00002.ini ok
.\bcqr00003.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00003.ini ok
.\bcqr00004.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00004.ini ok
.\bcqr00005.dat detected Trojan.BAT.StartPage.md 
.\bcqr00005.ini ok
.\bcqr00006.dat detected Trojan.BAT.StartPage.md 
.\bcqr00006.ini ok
.\bcqr00007.ini ok
.\bcqr00008.ini ok
.\bcqr00009.dat ok
.\bcqr00009.ini ok
.\bcqr00010.dat ok
.\bcqr00010.ini ok 
С уважением, антивирусная лаборатория

Аналогично - не запускается

 

Зато пришел ответ с сайта Касперского:

 

 

 

KLAN-2330057423

 

.\bcqr00001.ini ok
.\bcqr00002.ini ok
.\bcqr00003.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00003.ini ok
.\bcqr00004.dat detected Trojan.BAT.StartPage.mc 
.\bcqr00004.ini ok
.\bcqr00005.dat detected Trojan.BAT.StartPage.md 
.\bcqr00005.ini ok
.\bcqr00006.dat detected Trojan.BAT.StartPage.md 
.\bcqr00006.ini ok
.\bcqr00007.ini ok
.\bcqr00008.ini ok
.\bcqr00009.dat ok
.\bcqr00009.ini ok
.\bcqr00010.dat ok
.\bcqr00010.ini ok 
С уважением, антивирусная лаборатория

[Roman_Five]

приложите новые логи автологгера

[mokkeo]

готово

CollectionLog-2014.12.08-15.20.zip

[Roman_Five]

Выполните в AVZ восьмой стандартный скрипт (главное окно AVZ - Файл - Стандартные скрипты - 8. VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК - Выполнить отмеченные скрипты).

Загрузите архив virusinfo_auto_{name_PC}.zip из папки AVZ4/LOG через следующую форму, не забыв отметить пункт "Отправить отчет о сканировании на E-mail" и указать реальный адрес своей электронной почты.

Ссылки на результаты проверки онлайн-сервисом VirusDetector и обсуждение результатов проверки из полученного письма с темой "VirusDetector - обработка карантина завершена" после загрузки карантина приложите здесь.

Подробнее с правилами сервиса VirusDetector можно ознакомиться здесь.

[mokkeo]

http://virusinfo.info/virusdetector/report.php?md5=57366DC516F5A53D038446F155BFF424

http://virusinfo.info/showthread.php?t=172443

[Roman_Five]

чисто.

 

что-то ещё беспокоит?\

[mokkeo]

Все отлично!Спасибо большое Вам!

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt