Блохина Татьяна Опубликовано 10 декабря, 2014 Опубликовано 10 декабря, 2014 Здравствуйте! После поиска и скачивания одной книжки у меня установился китайский антивирус. Методом тыка удалось его удалить (китайские иероглифы), а в папке Program Files не получается удалить папку Baidu. Лог прилагаю. Спасибо за помощь! CollectionLog-2014.12.10-15.11.zip
mike 1 Опубликовано 10 декабря, 2014 Опубликовано 10 декабря, 2014 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\users\hadg\appdata\local\microsoft\windows\toolbar.exe'); QuarantineFile('c:\users\hadg\appdata\local\microsoft\windows\toolbar.exe',''); DeleteFile('c:\users\hadg\appdata\local\microsoft\windows\toolbar.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SystemScript','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Блохина Татьяна Опубликовано 19 декабря, 2014 Автор Опубликовано 19 декабря, 2014 файл карантина отправляла как здесь указано, сообщили, что файл поврежден... какие файлы вам здесь нужно прикрепить ? высылаю некоторые файлы... Сообщение от модератора Mark D. Pearlstone Не выкладывайте quarantine.zip. Файл удалён. Addition.txt FRST.txt
mike 1 Опубликовано 19 декабря, 2014 Опубликовано 19 декабря, 2014 Важно! Скрипт выполняйте в безопасном режиме. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита: (????????????????) C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe (????????????????) C:\Program Files (x86)\baidu\BaiduDTips\1.0.123.0\PDSysfixer.exe BHO: MySafeProxy -> {51420F88-4D4A-4042-9509-8D4E1307910E} -> C:\Program Files (x86)\XTRM Group\MySafeProxy\Bin\MySafeProxy64.dll No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-1241477306-2617395264-3940763018-1126 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF HKU\.DEFAULT\...\Firefox\Extensions: [{87CB8F20-BDCF-776A-7E10-EBEAD9F2013D}] - C:\Program Files (x86)\ver8SpeeditUp\180.xpi R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-11-17] (Baidu) R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [169288 2014-12-10] (Baidu) R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [151368 2014-12-19] (Baidu Technology) R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [122184 2014-12-17] (Baidu) S1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [122184 2014-12-17] (Baidu) R2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-11-17] (Baidu) S1 bd0002; system32\DRIVERS\bd0002.sys [X] 2014-12-15 08:54 - 2014-12-17 08:47 - 00122184 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench_x64.sys 2014-12-10 14:12 - 2014-12-19 09:09 - 00151368 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.sys 2014-12-10 14:12 - 2014-11-17 06:15 - 00181072 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys 2014-12-10 14:07 - 2014-12-17 08:47 - 00122184 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench.sys 2014-12-10 14:07 - 2014-11-17 06:15 - 00041800 _____ (Baidu) C:\Windows\system32\bd64_x64.dll 2014-12-10 14:07 - 2014-11-17 06:15 - 00039056 _____ (Baidu) C:\Windows\system32\bd64_x86.dll 2014-12-10 12:27 - 2014-11-17 06:15 - 00048968 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys 2014-12-10 12:22 - 2014-12-10 12:22 - 00169288 _____ (Baidu) C:\Windows\system32\Drivers\bd0004.sys 2014-12-10 12:06 - 2014-12-10 12:06 - 00000000 ____D () C:\Users\hadg\AppData\Roaming\Baidu 2014-12-10 12:05 - 2014-12-19 09:12 - 00000000 ____D () C:\Users\Все пользователи\Baidu 2014-12-10 12:05 - 2014-12-19 09:12 - 00000000 ____D () C:\ProgramData\Baidu 2014-12-10 12:03 - 2014-12-19 08:52 - 00000000 ____D () C:\Program Files (x86)\baidu Task: {E1CA7BEE-ACE1-4997-99F4-D3B5B4849919} - \SystemScript No Task File <==== ATTENTION C:\Program Files (x86)\Common Files\Baidu EmptyTemp: Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Сделайте новые логи Farbar Recovery Scan Tool из обычного режима.
Блохина Татьяна Опубликовано 19 декабря, 2014 Автор Опубликовано 19 декабря, 2014 папка удалилась ! лог после работы скрипта Fixlog.txt FRST.txt
mike 1 Опубликовано 19 декабря, 2014 Опубликовано 19 декабря, 2014 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита: S2 BDSGRTP; "C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe" -r [X] R1 bd0001; system32\DRIVERS\bd0001.sys [X] S1 bd0002; system32\DRIVERS\bd0002.sys [X] R1 bd0004; system32\DRIVERS\bd0004.sys [X] R2 BDArKit; system32\DRIVERS\BDArKit.sys [X] R1 BDMWrench; system32\DRIVERS\BDMWrench.sys [X] S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X] R2 BDSafeBrowser; system32\DRIVERS\BDSafeBrowser.sys [X] 2014-12-19 11:19 - 2014-12-19 11:19 - 00000000 ____D () C:\Users\Все пользователи\Baidu 2014-12-19 11:19 - 2014-12-19 11:19 - 00000000 ____D () C:\Users\hadg\AppData\Roaming\Baidu 2014-12-19 11:19 - 2014-12-19 11:19 - 00000000 ____D () C:\ProgramData\Baidu EmptyTemp: Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Сделайте новые логи Farbar Recovery Scan Tool.
Блохина Татьяна Опубликовано 23 декабря, 2014 Автор Опубликовано 23 декабря, 2014 все сделала... высылаю логи... Addition.txt Fixlog.txt FRST.txt Shortcut.txt
Блохина Татьяна Опубликовано 24 декабря, 2014 Автор Опубликовано 24 декабря, 2014 Что с проблемой? Все нормально !! СПАСИБО !!!
mike 1 Опубликовано 24 декабря, 2014 Опубликовано 24 декабря, 2014 Скачайте DelFix и сохраните утилиту на Рабочем столе Запустите DelFixОбратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup Нажмите на кнопку Run После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt Прикрепите этот отчет в вашей теме. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Блохина Татьяна Опубликовано 24 декабря, 2014 Автор Опубликовано 24 декабря, 2014 прилагаю логи... DelFix.txt SecurityCheck.txt
mike 1 Опубликовано 24 декабря, 2014 Опубликовано 24 декабря, 2014 Обновите: Service Pack не установлен Внимание! Скачать обновления ^Возможно потребуется повторная активация Windows^ Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления Adobe Flash Player 10 ActiveX v.10.3.181.26 Внимание! Скачать обновления Adobe Reader 9.2 - Russian v.9.2.0 Внимание! Скачать обновления Советы и рекомендации после лечения компьютера
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти