Вирус на китайском языке

[Ольга.К.]

Скачала программу, запустила exe файл, окно установки выглядело странным, и я закрыла его. потом посыпались какие-то окошки с непонятными китайскими иероглифами. пыталась удалить через удаление программ и компонентов, через диспетчер задач остановить работу данной программы - не получилось. Все требования с вашего форума выполнила. Жду дальнейших указаний!

CollectionLog-2014.12.30-12.12.zip

[mike 1]

Здравствуйте!

 

1. Деинсталлируйте:

ConvertAd-->"C:\Users\jk\AppData\Local\ConvertAd\uninstall.exe"
McAfee Security Scan Plus-->"C:\Program Files\McAfee Security Scan\uninstall.exe"

2. Деинсталлируйте по этой  http://safezone.cc/threads/kak-udalit-baidu-antivirus.24639/  инструкции:

????3.0-->C:\Program Files\Baidu\BaiduAn\3.0.0.3971\uninst.exe
????2.1-->C:\Program Files\Baidu\BaiduSd\2.1.0.3086\uninst.exe

3.  

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
   
• Распакуйте архив с утилитой в отдельную папку.
   
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
   
  
   
   
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
   
• Прикрепите этот отчет к своему следующему сообщению.
   

 

 

 

4. Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text=
O20 - AppInit_DLLs:

 

 

5. Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[Ольга.К.]

Все сделала, единственное что :

????2.1-->C:\Program Files\Baidu\BaiduSd\2.1.0.3086\uninst.exe

не смогла деинсталлировать. Не находит.

ClearLNK-30.12.2014_16-04.log

Addition.txt

FRST.txt

[mike 1]

Важно! Скрипт выполняйте в безопасном режиме.

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

(????????????????) C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe
(????????????????) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
() C:\Users\jk\AppData\Roaming\ASPackage\ASSrv.exe
() C:\Users\jk\AppData\Local\ConvertAd\CASrv.exe
(????????????????) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
HKLM\...\Run: [baidusdTray] => C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe [2157064 2014-09-28] (????????????????)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1696995437-2034505030-500386392-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text={searchTerms}
HKU\S-1-5-21-1696995437-2034505030-500386392-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text={searchTerms}
URLSearchHook: HKU\S-1-5-21-1696995437-2034505030-500386392-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} -  No File
SearchScopes: HKU\S-1-5-21-1696995437-2034505030-500386392-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1696995437-2034505030-500386392-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1696995437-2034505030-500386392-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e74ddf2fd9ff5d46c95d85a729fdff5b&text=
BHO: WebMonBHO -> {15DEE173-1BE9-4424-81E0-58A87076E9B1} -> C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll (????????????????)
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File
R2 BaiduHips; C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe [64008 2014-09-18] (????????????????)
R2 BDKVRTP; C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe [821768 2014-09-25] (????????????????)
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [70984 2014-09-17] (Baidu)
R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [196424 2014-09-17] (Baidu)
R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [56136 2014-09-10] (Baidu)
R2 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [123720 2014-09-23] (Baidu)
R1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
2014-12-29 23:07 - 2014-12-30 15:40 - 00000000 ____D () C:\Users\jk\AppData\Local\ConvertAd
2014-12-29 23:05 - 2014-12-29 23:05 - 00000099 ____H () C:\iexplore.bat
2014-12-29 23:05 - 2014-12-29 23:05 - 00000099 ____H () C:\HD-StartLauncher.bat
2014-12-29 23:05 - 2014-12-29 23:05 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol
2014-12-29 23:05 - 2014-12-29 23:05 - 00000008 __RSH () C:\ProgramData\ntuser.pol
2014-12-29 23:05 - 2014-11-27 05:10 - 00815280 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2014-12-29 23:05 - 2014-09-16 12:16 - 00655064 ____H (BlueStack Systems, Inc.) C:\НD-StаrtLаunсhеr.bаt.exe
2014-12-29 23:03 - 2014-12-29 23:04 - 00000000 ____D () C:\Users\jk\AppData\Roaming\ASPackage
2014-12-29 23:03 - 2014-12-29 23:03 - 00000000 ____D () C:\Users\jk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
2014-12-29 23:03 - 2014-12-29 23:03 - 00000000 ____D () C:\Users\jk\AppData\Roaming\Baidu
2014-12-29 23:03 - 2014-09-23 13:14 - 00123720 _____ (Baidu) C:\Windows\system32\Drivers\BDDefense.sys
2014-12-29 23:02 - 2014-12-30 00:18 - 00000000 ____D () C:\Users\Все пользователи\Baidu
2014-12-29 23:02 - 2014-12-30 00:18 - 00000000 ____D () C:\ProgramData\Baidu
2014-12-29 23:02 - 2014-12-29 23:02 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????
2014-12-29 23:02 - 2014-12-29 23:02 - 00000000 ____D () C:\Program Files\Common Files\Baidu
2014-12-29 23:02 - 2014-09-17 06:37 - 00196424 _____ (Baidu) C:\Windows\system32\Drivers\bd0002.sys
2014-12-29 23:02 - 2014-09-17 06:37 - 00070984 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys
2014-12-29 23:02 - 2014-09-10 07:30 - 00056136 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys
2014-12-29 23:01 - 2014-12-29 23:03 - 00000000 ____D () C:\Program Files\Baidu
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1696995437-2034505030-500386392-1000_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path
EmptyTemp:
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

Сделайте новые логи Farbar из обычного режима. 

[Ольга.К.]

Сделано

Fixlog.txt

[mike 1]

 

Boot Mode: Normal

Я просил в безопасном режиме скрипт выполнять! Переделывайте. 

[Ольга.К.]

Сделано [2]

Fixlog.txt

[mike 1]

Новые логи Farbar Recovery Scan Tool сделайте. 

[Ольга.К.]

Addition.txt

FRST.txt

Shortcut.txt

[mike 1]

Удалите вручную эту папку:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????

Что с проблемой?

[Ольга.К.]

Все отлично. Спасибо Вам огромное, сама я бы в жизни ничего не сделала! 

 

С новым годом! Пусть наступивший год будет лучше предыдущего; желаю еще больше новых побед и успехов в Вашей деятельности!  

[mike 1]

Спасибо за поздравления. Вас тоже хочу с наступившим Новым годом и чтобы Вы и ваш компьютер по реже болели. 

 

 

• Скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

Прикрепите этот отчет в вашей теме.

 

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

 

[Ольга.К.]

и снова здравствуйте! все сделано)) 

DelFix.txt

SecurityCheck.txt

[mike 1]

Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Запрос на повышение прав для администраторов отключен

Запрос на повышение прав для обычных пользователей отключен

 

Обновите:

 

Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.8.800.94 Внимание! Скачать обновления - Скачать обновления

^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

 

Советы и рекомендации после лечения компьютера

 

[Ольга.К.]

установила, обновила!)) а скажите пожалуйста, мой компьютер вылечен или нужно еще что-то делать?