Peandr Опубликовано 19 января, 2015 Опубликовано 19 января, 2015 Добрый вечер. Поймали вирус. Очень жду Вашей помощи. CollectionLog-2015.01.19-22.27.zip
Roman_Five Опубликовано 19 января, 2015 Опубликовано 19 января, 2015 Удалите программы: ??-->C:\Users\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\uninst.exe ????3.0-->C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\uninst.exe ????1.8-->C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\uninst.exe Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe'); QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll',''); QuarantineFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll',''); QuarantineFile('c:\program files (x86)\advplugin\backgroundsingleton.exe',''); DeleteFile('C:\Program Files (x86)\advPlugin\BackgroundSingleton.exe','32'); DeleteFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','32'); DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32'); DelBHO('7CE987D5-11B3-44FC-9C3D-03069360D462'); DelBHO('1FE48F08-A2AC-44AC-A21C-0556D91C50DA'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baxijzlahm'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Сделайте новые логи по правилам (только пункт 3). Приложите лог AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 Скачайте ComboFix здесь или здесь и сохраните в корень диска С. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1
Peandr Опубликовано 20 января, 2015 Автор Опубликовано 20 января, 2015 Прикрепил ComboFix.txt AdwCleanerR0.txt
mike 1 Опубликовано 21 января, 2015 Опубликовано 21 января, 2015 Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. KillAll:: File:: c:\windows\system32\drivers\BDMWrench_x64.sys c:\windows\SysWow64\drivers\bd0001.sys Driver:: bd0004 BDAntiExp BDEnhanceBoost BDSafeBrowser BDMWrench_x64 Update Service for advPlugin Folder:: c:\users\Admin\AppData\Roaming\advPlugin c:\users\Admin\AppData\Local\Kometa c:\users\Admin\AppData\Local\NetBoxLogs c:\users\Admin\AppData\Local\Вoйти в Интeрнет 2inf.net c:\program files (x86)\advPlugin c:\users\Admin\AppData\Roaming\eTranslator c:\users\Admin\AppData\Local\Поиcк в Интeрнете Registry:: FileLook:: DirLook:: Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan". По окончанию сканирования снимите галочки со следующих строк: ***** [ Файлы / Папки ] ***** Папка Найдено : C:\Users\Admin\AppData\Local\Mail.Ru Папка Найдено : C:\Users\Admin\AppData\Local\MailRu Нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!. Подробнее читайте в этом руководстве.
Peandr Опубликовано 21 января, 2015 Автор Опубликовано 21 января, 2015 Есть. ComboFix.txt AdwCleanerS0.txt
mike 1 Опубликовано 21 января, 2015 Опубликовано 21 января, 2015 Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. KillAll:: File:: Driver:: Folder:: c:\users\Admin\AppData\Local\Вoйти в Интeрнет 2inf.net Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "baiduAnTray"=- "BaiduClient"=- FileLook:: DirLook:: Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти