Перейти к содержанию
Правила раздела

Baidu... Проблемы с реестром

Saligorac

Автор Saligorac
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Saligorac

Saligorac

Опубликовано
Опубликовано

Здравствуйте. Скачал ехе-шный файл. Установились программы на китайском. Удалить не могу. После перезагрузки появляются снова. Воспользоваться советами на форуме не смог т.к. не нахожу указанных записей в реестре. Проверил антивирусом, Очистил диски. Прилагаю лог... Заранее спасибо за помощь.

CollectionLog-2014.12.18-04.52.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скачайте ComboFix здесь или здесь и сохраните в корень диска С

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С 




KillAll::

c:\program files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe

c:\program files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe

c:\program files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe

c:\program files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe

 

File::

c:\windows\system32\bd64_x64.dll

c:\windows\system32\bd64_x86.dll

c:\windows\system32\drivers\BDMWrench_x64.sys

c:\windows\SysWow64\drivers\BDArKit.sys

c:\windows\system32\drivers\BDMWrench.sys

c:\windows\system32\drivers\bd0003.sys

c:\windows\system32\drivers\BDArKit.sys

c:\windows\system32\drivers\bd0004.sys

c:\windows\system32\drivers\BDDefense.sys

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\bd0001.sys

c:\windows\SysWow64\an.bat

c:\windows\SysWow64\sd.bat

c:\windows\system32\drivers\BDSafeBrowser.sys

c:\program files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe

c:\program files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe

c:\program files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe

c:\program files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe

 

Driver::

 

Folder::

c:\users\user\AppData\Roaming\Baidu

c:\programdata\Baidu

c:\program files (x86)\Common Files\Baidu

c:\program files (x86)\Baidu

c:\users\user\AppData\Local\Amigo

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"BaiduEx"=-

"baidusdTray"=-

 

FileLook::

 

DirLook::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. 




KillAll::

 

File::

c:\windows\system32\drivers\bd0001_1.sys

c:\windows\system32\drivers\bd0001.sys_1289254

 

Driver::

BDEnhanceBoost

BDMNetMon

 

Folder::

c:\program files (x86)\BaiduAn3.0

c:\program files (x86)\BaiduEx

 

Registry::

 

FileLook::

 

DirLook::

 

Reboot::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

5315621m.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • reliance
      [РЕШЕНО] Не открывается Диспетчер устройств и Редактор реестра
      Автор reliance
      Диспетчер устройств никакую ошибку не выдает, просто не открывается. При открытии Редактора реестра (regedit) появляется ошибка 0xc0000017CollectionLog-2025.06.22-16.40.zip
    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Vestlot
      [РЕШЕНО] Ошибка 0xc0000017 при запуске реестра, после скачивания фикса на дискорд
      Автор Vestlot
      Скачал фикс на дискорд, думаю, что там и поймал вирус, помогите пожалуйста!
    • Юрий Григорьев
      Некоторые проблемы
      Автор Юрий Григорьев
      Добрый день!
      У меня возникла такая проблема:
      В kaspersky security center 10 не активна кнопка для запуска/остановки kaspersky endpoint security на клиентских тачках. Для некоторых административных групп она активна, а для остальных - нет. Я не могу разобраться в чем косяк и как исправить.
       
      Проблема2. Поставили на клиента новую версию kes и агента, в административной группе на сервере компьютер есть, но в kes не указано, что он работает под политикой. В чем может быть причина и как исправить?

    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
×
×
  • Создать...