Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помогите с Baidu

AndyMan007

Автор AndyMan007
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

AndyMan007 Новичок

AndyMan007

Опубликовано
  • Автор
Опубликовано

Правила прочитайте и прикрепите нужные логи.

 

 

Заразился Baidu, немогу удалить, DrWeb Cureit не помог, установленный микрософт эссенсиал никак не реагирует)

CollectionLog-2015.01.22-16.25.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

исправьте эти я ярлыки в fixerbro

"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk"  -> ["C:\firefox.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~2\MOZILL~1\" "C:\PROGRA~2\MOZILL~1\firefox.exe" "hxxp://etsearch.ru"¶  (MD5:E8C44AC8088B916D9409DC7956EAD284)
>>> [modified][RO][MASK] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk"  -> ["C:\launcher.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~2\Opera\" "C:\PROGRA~2\Opera\launcher.exe" "hxxp://etsearch.ru"¶  (MD5:147C7CDC8A9EEAD87B8927F78E941927)
>>> [modified][RO][MASK] "C:\Users\Public\Desktop\Моzillа Firеfох.lnk"           -> ["C:\firefox.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~2\MOZILL~1\" "C:\PROGRA~2\MOZILL~1\firefox.exe" "hxxp://etsearch.ru"¶  (MD5:E8C44AC8088B916D9409DC7956EAD284)
>>> [modified][RO][MASK] "C:\Users\Public\Desktop\Оpеrа.lnk"           -> ["C:\launcher.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~2\Opera\" "C:\PROGRA~2\Opera\launcher.exe" "hxxp://etsearch.ru"¶  (MD5:147C7CDC8A9EEAD87B8927F78E941927)
>>> [modified][RO][MASK] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk"     -> ["C:\iexplore.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~2\INTERN~1\" "C:\PROGRA~2\INTERN~1\iexplore.exe" "hxxp://etsearch.ru"¶  (MD5:7C9023333EA995074A17AEBB75F476DE)
>>> [modified][RO][MASK] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk"  -> ["C:\firefox.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~2\MOZILL~1\" "C:\PROGRA~2\MOZILL~1\firefox.exe" "hxxp://etsearch.ru"¶  (MD5:E8C44AC8088B916D9409DC7956EAD284)
>>> [modified][RO][MASK] "C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk"     -> ["C:\iexplore.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~2\INTERN~1\" "C:\PROGRA~2\INTERN~1\iexplore.exe" "hxxp://etsearch.ru"¶  (MD5:7C9023333EA995074A17AEBB75F476DE)
>>> [modified][RO][MASK] "C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk"   -> ["C:\iexplore.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"C:\PROGRA~2\INTERN~1\" "C:\PROGRA~2\INTERN~1\iexplore.exe" "hxxp://etsearch.ru"¶  (MD5:7C9023333EA995074A17AEBB75F476DE)


>>> [modified][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Таnks.lnk"    -> ["D:\WOTLauncher.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"D:\Games\WORLD_~1\" "D:\Games\WORLD_~1\WOTLAU~1.EXE" "hxxp://etsearch.ru"¶  (MD5:100380B8EFE53A9D66192CC982C7465C)
>>> [modified][RO] "C:\Users\Public\Desktop\Wоrld оf Таnks.lnk"        -> ["D:\WOTLauncher.bat"  -> "hxxp://etsearch.ru" ] -> start "" /I /B /D"D:\Games\WORLD_~1\" "D:\Games\WORLD_~1\WOTLAU~1.EXE" "hxxp://etsearch.ru"¶  (MD5:100380B8EFE53A9D66192CC982C7465C)




- "C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\AEFA~1\79A2~1.LNK" ("C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????\??????.lnk")          -> ["C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\uninst.exe"]
- "C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup\Uninstall.lnk"  -> ["C:\Program Files (x86)\MyPC Backup\uninst.exe"]


- "C:\Users\Андрей\Downloads\xvm-5.3.6.1\res_mods\xvm\configs\configs.url"  ->                      hxxp://vvv.koreanrandom.com/forum/forum/50-/
- "C:\Users\Андрей\Downloads\xvm-5.3.6.1(1)\res_mods\xvm\configs\configs.url"  ->                   hxxp://vvv.koreanrandom.com/forum/forum/50-/
- "C:\Users\Андрей\Downloads\xvm-5.5.0\res_mods\xvm\configs\configs.url"  ->                        hxxp://vvv.koreanrandom.com/forum/forum/50-/

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647500


пофиксите в Hijackhis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=042b14b1ca44963e9e13c2074373136e&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=042b14b1ca44963e9e13c2074373136e&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=042b14b1ca44963e9e13c2074373136e&text=
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll

http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt в корень диска С. 
KillAll::
 
File::

c:\windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
c:\windows\SysWow64\drivers\BDArKit.sys
c:\windows\SysWow64\drivers\BDArKit(1).sys
c:\windows\system32\drivers\BDMWrench_x64.sys
c:\windows\system32\drivers\BDDefense.sys
C:\iexplore.bat
C:\iехplоrе.bаt.exe
C:\launcher.bat
C:\firеfох.bаt.exe
C:\lаunсhеr.bаt.exe
C:\firefox.bat
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0002.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}w64.sys
c:\windows\system32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys
c:\windows\system32\DRIVERS\BDMWrench_x64.sys
c:\program files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe
c:\windows\system32\DRIVERS\BDArKit.sys
c:\windows\system32\drivers\BDDefense.sys
c:\program files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
c:\program files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe

 
Driver::

{825c5be7-672f-4c14-9929-48a3a5e1a660}w64
{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64
bd0001
bd0002
bd0003
BDMWrench_x64
BaiduHips
BDArKit
BDDefense
BDKVRTP Service
BDMRTP Service
 

NetSvc::
 
Folder::

c:\programdata\Baidu
c:\program files (x86)\Common Files\Baidu
c:\program files (x86)\Baidu
c:\users\Андрей\AppData\Roaming\Baidu
 

Registry::
 
FileLook::
 
DirLook::
 
RegLock::
 
После сохранения переместите в проводнике CFScript.txt на пиктограмму ComboFix.exe.
blogentry-9410-1358286219.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KNS
      Помогите с шифровальщиком
      Автор KNS
      Добрый день. Поймал шифровальщика, система и 99% данных восстановлены из бэкапа.
      Не хватает нескольких файлов.

      Помогите с расшифровкой.

      Прикрепляю пример зашифрованного файла и записку о выкупе.

      Заранее благодарю!
      123.zip
    • NikiGromel
      Помогите с шифровальщиком, может кто сталкивался
      Автор NikiGromel
      Сообщение от взломщика:
      YOUR FILES HAVE BEEN ENCRYPTED <<<
      Your Data Is Encrypted. Use Our Tool To Recover Them. No Alternatives Exist.
      Your Decryption ID: 365B91AF
      Contact:
      - Email: opnkey@gmail.com
      - Telegram: @pcrisk
      Warning:  
      - Tampering With Files Or Using Third-Party Tools WILL Cause Permanent Damage.  
      - Don't Waste Time. The Price Will Rise If You Delay!
      Free Decryption:
      - Send 3 Small Files (Max 1MB) For Free Decryption.
       
      Прикрепляю два зашифрованных файла
      Desktop.rar
    • Danila05
      Помогите удалить майнер
      Автор Danila05
      Запускаю Avbr и каждый раз после проверки, вылетает красная строка где написан путь к файлу и пишет что трубуется перегрузка. Сколько раз не перезагружался пк, проблема остается. 

    • Alex161
      Помогите с трояном
      Автор Alex161
      Что ж, скачал игру, поймал постоянную работу вентилятора и нагрузку, удалял, лечил, что только не делал все бестолку, после перезагрузки снова появляется...мучаюсь вторые сутки, умоляю, помогите
      avz_log.txt
    • Николай НИК
      Помогите восстановить нормальную работу PDC/
      Автор Николай НИК
      Приветствую!
      После шифрования файлов в домене, контроллер домена работает не адекватно.
      некоторые оснастки не открываются.
      управление сервером не работает.
      повершел не работает.
      Addition.txt FRST.txt
×
×
  • Создать...