Китайский вирус

2 апреля, 2015

Китайский вирус. зеленый щит в трее и переименованные файлы на флешке.

CollectionLog-2015.04.02-17.34.zip

3 апреля, 2015

деинсталлируйте

????3.0 []-->H:\Program Files\Baidu\BaiduSd\3.0.0.4605\uninst.exe

запустите скандиск для диска D

Сообщение: Всплывающее окно приложения: Базовая конфигурация - СБИС 2.4.285: sbis.exe - Файл поврежден : Файл или каталог D:\СБиС++ Уполномоченная бухгалтерия\ВременныеФайлы поврежден и не может быть прочитан. Запустите служебную программу CHKDSK.

h:\documents and settings\Ткачева\Рабочий стол\ammyy_admin.exe

сами ставили?

\\

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('h:\windows\samsung\panelmgr\ssmmgr.exe');
 TerminateProcessByName('h:\program files\common files\baidu\bddownload\108\bddownloader.exe');
 TerminateProcessByName('h:\program files\baidu\baidusd\3.0.0.4605\baidusdsvc.exe');
 TerminateProcessByName('h:\program files\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe');
 SetServiceStart('bd0001', 4);
 SetServiceStart('bd0002', 4);
 SetServiceStart('bd0003', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('BDDefense', 4);
 SetServiceStart('BDFileDefend', 4);
 SetServiceStart('BDMWrench', 4);
 SetServiceStart('BdSandBox', 4);
 SetServiceStart('BDKVRTP', 4);
 SetServiceStart('BaiduHips', 4);
 StopService('bd0001');
 StopService('bd0002');
 StopService('bd0003');
 StopService('BDArKit');
 StopService('BDDefense');
 StopService('BDFileDefend');
 StopService('BDMWrench');
 StopService('BdSandBox');
 StopService('BDKVRTP');
 StopService('BaiduHips');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('H:\WINDOWS\system32\DRIVERS\rtIFDH.sys','');
 QuarantineFile('h:\windows\samsung\panelmgr\ssmmgr.exe','');
 DeleteFileMask('h:\program files\common files\baidu\','*', true, '');
 DeleteDirectory('h:\program files\common files\baidu\ ',' ');
 DeleteFileMask('H:\Program Files\Baidu\','*', true, '');
 DeleteDirectory('H:\Program Files\Baidu\',' ');
 DeleteFile('H:\WINDOWS\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('H:\WINDOWS\system32\drivers\BDDefense.sys','32');
 DeleteFile('H:\WINDOWS\system32\DRIVERS\BDFileDefend.sys','32');
 DeleteFile('H:\WINDOWS\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFile('H:\WINDOWS\system32\DRIVERS\BdSandBox.sys','32');
 DeleteFile('H:\WINDOWS\system32\DRIVERS\bd0003.sys','32');
 DeleteFile('H:\WINDOWS\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('H:\WINDOWS\system32\DRIVERS\bd0001.sys','32');
 DelBHO('15DEE173-1BE9-4424-81E0-58A87076E9B1');
 DelCLSID('00890530-6A9F-4be2-B1BB-73F01E2BB986');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
 DeleteService('bd0001');
 DeleteService('bd0002');
 DeleteService('bd0003');
 DeleteService('BDArKit');
 DeleteService('BDDefense');
 DeleteService('BDFileDefend');
 DeleteService('BDMWrench');
 DeleteService('BdSandBox');
 DeleteService('BDKVRTP');
 DeleteService('BaiduHips');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('h:\program files\common files\baidu\bddownload\108\bddownloader.exe');
 BC_DeleteFile('H:\WINDOWS\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('H:\WINDOWS\system32\drivers\BDDefense.sys');
 BC_DeleteFile('H:\WINDOWS\system32\DRIVERS\BDFileDefend.sys');
 BC_DeleteFile('H:\WINDOWS\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteFile('H:\WINDOWS\system32\DRIVERS\BdSandBox.sys');
 BC_DeleteFile('H:\WINDOWS\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('H:\WINDOWS\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('H:\WINDOWS\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('H:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe');
 BC_DeleteFile('H:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe');
 BC_DeleteFile('H:\Program Files\Baidu\BaiduSd\3.0.0.4605\BDShellExt.dll');
 BC_DeleteFile('H:\Program Files\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe');
 BC_DeleteFile('H:\Program Files\Baidu\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDKVRTP');
 BC_DeleteSvc('BdSandBox');
 BC_DeleteSvc('BDMWrench');
 BC_DeleteSvc('BDFileDefend');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0001');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

Сделайте новые логи по правилам (только пункт 3).

+ логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Китайский вирус

Рекомендуемые сообщения

maavrus141

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum