kudr 0 Опубликовано 15 декабря, 2014 Share Опубликовано 15 декабря, 2014 Здравствуйте! Компьютер не мой, а брата. он попросил очистить его от вирусов, скачал Spyhunter он удалил бОльшую часть рекламы и всякой другой фигни. Из видимого остались автоматическое обновление ДНС (без моего ведома, замечает это спайхантер) и baidu (но вроде ничего не делает) Прикладываю логи, заранее спасибо! CollectionLog-2014.12.15-17.40.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 декабря, 2014 Share Опубликовано 15 декабря, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('BDEnhanceBoost', 4); SetServiceStart('bd0002', 4); SetServiceStart('BDSafeBrowser', 4); SetServiceStart('BDMWrench', 4); SetServiceStart('BDArKit', 4); SetServiceStart('bd0004', 4); SetServiceStart('bd0003', 4); SetServiceStart('bd0001', 4); SetServiceStart('BDSGRTP', 4); StopService('BDEnhanceBoost'); StopService('bd0002'); StopService('BDSafeBrowser'); StopService('BDMWrench'); StopService('BDArKit'); StopService('bd0004'); StopService('bd0003'); StopService('bd0001'); QuarantineFile('C:\DOCUME~1\Video\LOCALS~1\Temp\F494690D.sys',''); QuarantineFile('c:\documents and settings\video\local settings\temp\EFCF1229.sys',''); QuarantineFile('C:\Program Files\Google\chrome.bat',''); QuarantineFile('C:\IEXPLORE.bat',''); QuarantineFile('C:\Documents and Settings\Video\Application Data\ZZima\zzima_loader\nloader.exe',''); DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0003.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\BDSafeBrowser.sys','32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys','32'); DeleteFile('C:\WINDOWS\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Documents and Settings\Video\Application Data\ZZima\zzima_loader\nloader.exe','32'); DeleteFile('C:\Documents and Settings\Video\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe','32'); DeleteFile('C:\IEXPLORE.bat','32'); DeleteFile('C:\Program Files\Google\chrome.bat','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qloader','command'); DeleteService('BDEnhanceBoost'); DeleteService('bd0002'); DeleteService('BDSafeBrowser'); DeleteService('BDMWrench'); DeleteService('BDArKit'); DeleteService('bd0004'); DeleteService('bd0003'); DeleteService('bd0001'); DeleteService('BDSGRTP'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text= O2 - BHO: ie2.BHO - {40aef60b-a6f8-4389-9003-a683dd75b850} - mscoree.dll (file missing) Сделайте новые логи по правилам. исправьте ярлыки в FixerBro http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647500 Цитата Ссылка на сообщение Поделиться на другие сайты
kudr 0 Опубликовано 15 декабря, 2014 Автор Share Опубликовано 15 декабря, 2014 Все сделал. Скрипт выполнил, карантин отправил - жду ответа от Касперского. Пофиксил все что Вы написал в HijackThis. Запустил FixerBro он нашел 1 ярлык и не смог его исправить, лог прилагаю. Появилась проблема домашней страницы и активации windows. http://reletex.net/вот домашняя страница... CollectionLog-2014.12.15-19.07.zip FixerBro_20141215 (2).txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 15 декабря, 2014 Share Опубликовано 15 декабря, 2014 пофиксите в Hijackthis: O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=48126475ac4516d7981351e7d08f8353&text= в AVZ - файл - Мастер поиска и устранения проблем - системные проблемы - поиск - исправьте >> Модифицированы префиксы протоколов очистите ярлыки с помощью ClearLNK http://safezone.cc/resources/clearlnk-udalenie-parametrov-zapuska-u-jarlykov.102/ Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1 Цитата Ссылка на сообщение Поделиться на другие сайты
kudr 0 Опубликовано 16 декабря, 2014 Автор Share Опубликовано 16 декабря, 2014 все сделал, домашняя страница по прежнему тот сайт злоумышлинников стоит.. все сделал, домашняя страница по прежнему тот сайт злоумышлинников стоит.. log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 декабря, 2014 Share Опубликовано 16 декабря, 2014 Переместите файл c:\documents and settings\Video\Рабочий стол\ComboFix.exe в корень диска С Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С KillAll:: File:: c:\windows\system32\DRIVERS\BDMWrench.sys C:\IЕХPLОRЕ.bаt.exe c:\windows\system32\DRIVERS\bd0001.sys c:\windows\system32\DRIVERS\bd0002.sys c:\windows\system32\DRIVERS\bd0003.sys c:\windows\system32\DRIVERS\bd0004.sys C:\cdtE.tmp Driver:: BD0001 BD0002 BLOCKANDSURF bd0001 bd0002 BDMWrench bd0003 bd0004 NetSvc:: Folder:: c:\documents and settings\All Users\Application Data\Baidu c:\program files\ver8BlockAndSurf c:\documents and settings\Video\Application Data\ZZima c:\documents and settings\Video\Application Data\Baidu c:\documents and settings\LocalService\Application Data\Baidu Registry:: FileLook:: DirLook:: RegLock:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
kudr 0 Опубликовано 16 декабря, 2014 Автор Share Опубликовано 16 декабря, 2014 Все сделал. Домашняя страница по прежнему меняется. СпайХантер еще говорит о том, что кто-то меняет файл хост... log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 декабря, 2014 Share Опубликовано 16 декабря, 2014 приложите 2 лога http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256 Цитата Ссылка на сообщение Поделиться на другие сайты
kudr 0 Опубликовано 17 декабря, 2014 Автор Share Опубликовано 17 декабря, 2014 Вот. AdwCleanerR0.txt maleware.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 декабря, 2014 Share Опубликовано 17 декабря, 2014 отправьте в карантин в MBAM всё, кроме: Trojan.Downloader, C:\Program Files\Adobe\Adobe Premiere Pro CS4\adobe.premiere.pro.cs4.4.0.0.0-nope.exe, , [db42d78c3f3db482aca5aac4ec14ca36], новый лог приложите. удалите всё найденное в AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 Цитата Ссылка на сообщение Поделиться на другие сайты
kudr 0 Опубликовано 17 декабря, 2014 Автор Share Опубликовано 17 декабря, 2014 сделано mbam.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 декабря, 2014 Share Опубликовано 17 декабря, 2014 что-то ещё беспокоит? Цитата Ссылка на сообщение Поделиться на другие сайты
kudr 0 Опубликовано 17 декабря, 2014 Автор Share Опубликовано 17 декабря, 2014 Спайхантер говорит при перезагрузке видноуса, что кто то меняет днс. и домашняя страница всегда ставится этот вредоносный сайт Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 декабря, 2014 Share Опубликовано 18 декабря, 2014 приложите логи автологгера. Цитата Ссылка на сообщение Поделиться на другие сайты
kudr 0 Опубликовано 18 декабря, 2014 Автор Share Опубликовано 18 декабря, 2014 Вот CollectionLog-2014.12.18-14.26.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.