Проблема с вирусом Baidu

[ТатьянаК]

Добрый день. Скачала программу для отправки смс и ммс, а закачалась вот такая программа baiduSd. Согласно советам на вашем форуме я деинсталировала программу, но остались dll-ки, которые просто так не удаляются. Я читала, что эхта программа снава потом подгружается из интернета. Подскажите как мне полностью от нее избавиться.

Запустила программку HiJackThis. Вот лог.

Еще у немя появилась вот такая программа Rising Antivirus. Производитель beijing-rising-information-technology-co. Эта программа подтянулась вместе с baiduSd? Можно ли ее тоже как-то удалить?

Этот же файл, но с указанием дты и времени создания.

hijackthis.log

hijackthis 2014.12.30-11.05.log

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила оказания помощи. 

[ТатьянаК]

Правильно? Я плохо во всм этом соображаю. Надеюсь, что правильно все сделала

CollectionLog-2014.12.30-13.30.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

1. Деинсталлируйте:

 

Media Saver-->C:\Program Files (x86)\Media Saver\uninstall.exe

Rising Antivirus-->"C:\Program Files (x86)\Rising\RSD\Setup.exe" /UNINSTALL /PRODUCT=RAV

Rising Software Deployment System-->"C:\Program Files (x86)\Rising\RSD\Setup.exe" /UNINSTALL /PRODUCT=RSD

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

2. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 TerminateProcessByName('c:\programdata\online\updater.exe');

 TerminateProcessByName('c:\program files (x86)\media saver\basement\mslsservice.exe');

 TerminateProcessByName('c:\program files (x86)\media saver\basement\mslserver.exe');

 TerminateProcessByName('c:\program files (x86)\media saver\basement\extensionupdaterservice.exe');

 TerminateProcessByName('c:\users\пользователь\appdata\roaming\et\21\bd.exe');

 TerminateProcessByName('c:\program files (x86)\media saver\backgroundsingleton.exe');

 SetServiceStart('UpWork', 4);

 SetServiceStart('Update Service for Media Saver', 4);

 SetServiceStart('MSLSService', 4);

 StopService('UpWork');

 StopService('Update Service for Media Saver');

 StopService('MSLSService');

 QuarantineFile('C:\iexplore.bat','');

 QuarantineFile('C:\Program Files (x86)\punto.bat','');

 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');

 QuarantineFile('c:\programdata\online\updater.exe','');

 QuarantineFile('c:\program files (x86)\media saver\basement\mslsservice.exe','');

 QuarantineFile('c:\program files (x86)\media saver\basement\mslserver.exe','');

 QuarantineFile('c:\program files (x86)\media saver\basement\extensionupdaterservice.exe','');

 QuarantineFile('c:\users\пользователь\appdata\roaming\et\21\bd.exe','');

 QuarantineFile('c:\program files (x86)\media saver\backgroundsingleton.exe','');

 DeleteFile('c:\program files (x86)\media saver\backgroundsingleton.exe','32');

 DeleteFile('c:\program files (x86)\media saver\basement\mslserver.exe','32');

 DeleteFile('C:\Program Files (x86)\Media Saver\Basement\MSLSService.exe','32');

 DeleteFile('C:\ProgramData\Online\updater.exe','32');

 DeleteFile('C:\Program Files (x86)\Media Saver\Basement\ExtensionUpdaterService.exe','32');

 DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\hgrtip.dll','32');

 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');

 DeleteFile('C:\Program Files (x86)\punto.bat','32');

 DeleteFile('C:\Users\пользователь\AppData\Roaming\et\21\bd.exe','32');

 DeleteFile('C:\iexplore.bat','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\liux\Parameters','ServiceDll');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide');

 DeleteService('UpWork');

 DeleteService('Update Service for Media Saver');

 DeleteService('MSLSService');   

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(2);

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

3.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4. Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=809144d655fa6d25844518b6a8647303&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=809144d655fa6d25844518b6a8647303&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=809144d655fa6d25844518b6a8647303&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=809144d655fa6d25844518b6a8647303&text=

R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)

O2 - BHO: Media Saver - {1D355335-BE86-4418-AC98-2436CC3D6D74} - C:\Program Files (x86)\Media Saver\Toolbar32.dll

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

O4 - HKLM\..\Run: [RSDTRAY] "C:\Program Files (x86)\Rising\RSD\popwndexe.exe"

O4 - HKLM\..\Run: [runrzc] "C:\Program Files (x86)\Rising\RZC\rzctray.exe" -system

O4 - HKCU\..\Run: [apphide] C:\Users\пользователь\AppData\Roaming\et\21\bd.exe

 

 

5.

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  

• Распакуйте архив с утилитой в отдельную папку.
  

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
  

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  

• Прикрепите этот отчет к своему следующему сообщению.
  

 

 

 

6. Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  

• Нажмите кнопку Scan.
  

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.