heur trojan.win32.generic

[Peandr]

Добрый вечер. Поймали вирус. Очень жду Вашей помощи.

CollectionLog-2015.01.19-22.27.zip

[Roman_Five]

Удалите программы:

??-->C:\Users\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\uninst.exe

????3.0-->C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\uninst.exe

????1.8-->C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\uninst.exe

 

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe');
 QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
 QuarantineFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','');
 QuarantineFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','');
 DeleteFile('C:\Program Files (x86)\advPlugin\BackgroundSingleton.exe','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','32');
 DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
 DelBHO('7CE987D5-11B3-44FC-9C3D-03069360D462');
 DelBHO('1FE48F08-A2AC-44AC-A21C-0556D91C50DA');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baxijzlahm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

 

Сделайте новые логи по правилам (только пункт 3).

 

 

 

Приложите лог AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

 

Скачайте ComboFix здесь или здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1

[Peandr]

Прикрепил

ComboFix.txt

AdwCleanerR0.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::
 
File::
c:\windows\system32\drivers\BDMWrench_x64.sys
c:\windows\SysWow64\drivers\bd0001.sys
 
Driver::
bd0004
BDAntiExp
BDEnhanceBoost
BDSafeBrowser
BDMWrench_x64
Update Service for advPlugin
 
Folder::
c:\users\Admin\AppData\Roaming\advPlugin
c:\users\Admin\AppData\Local\Kometa
c:\users\Admin\AppData\Local\NetBoxLogs
c:\users\Admin\AppData\Local\Вoйти в Интeрнет 2inf.net
c:\program files (x86)\advPlugin
c:\users\Admin\AppData\Roaming\eTranslator
c:\users\Admin\AppData\Local\Поиcк в Интeрнете
 
Registry::
 
FileLook::
 
DirLook::
 
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

 

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

• По окончанию сканирования снимите галочки со следующих строк:

***** [ Файлы / Папки ] *****

Папка Найдено : C:\Users\Admin\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Admin\AppData\Local\MailRu

• Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

[Peandr]

Есть.

ComboFix.txt

AdwCleanerS0.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

 

Driver::

 

Folder::

c:\users\Admin\AppData\Local\Вoйти в Интeрнет 2inf.net

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"baiduAnTray"=-

"BaiduClient"=-



FileLook::

 

DirLook::

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.