Salabol Опубликовано 3 апреля, 2015 Share Опубликовано 3 апреля, 2015 Дети посидели за компом в течение нескольких дней, установили кучу программ, после чего появилось сообщение о блокировке на всем рабочем столе, и огромное количество файлов README 1,2,3,4,5... Музыка, изображения и многое другое имеет расширение .XTBL. Прошу помочь, архив с логами прикрепляю CollectionLog-2015.04.03-21.34.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 3 апреля, 2015 Share Опубликовано 3 апреля, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. деинсталлируйте в безопасном режиме: > Chrome Search [2015/03/26 12:21:32]-->cmd.exe /c move/y %WinDir%\system32\GroupPolicy\Machine\Registry.pol %WinDir%\system32\GroupPolicy\Machine\Registry.pol.old & move/y %WinDir%\system32\GroupPolicy\Machine\Registry.pol.bak %WinDir%\system32\GroupPolicy\Machine\Registry.pol & gpupdate.exe /force & reg.exe DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2AEF02C3-5159-4C81-A688-8D954F0DEE56}_NewSearch /f & start "" "http://yamdex.net/?uninstall=1&imsid=b241aacdaebaac32265776a3375d03ef" ????4.0 [2015/03/26 12:27:26]-->C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\uninst.exe ????3.0 [2015/03/26 12:23:22]-->C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\uninst.exe \\ Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\vnsad702.tmp'); TerminateProcessByName('c:\users\user\appdata\local\46364331-1427372495-3435-4634-4432ffffffff\snsbc747.tmp'); TerminateProcessByName('c:\program files (x86)\obnovi soft\obnovisoft.exe'); TerminateProcessByName('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\nszdc26.tmp'); TerminateProcessByName('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\jnsa381f.tmp'); SetServiceStart('KDHacker', 4); SetServiceStart('kisnetm', 4); SetServiceStart('kedynyje', 4); SetServiceStart('gybixonu', 4); StopService('KDHacker'); StopService('kisnetm'); StopService('kedynyje'); StopService('gybixonu'); QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Windows\toolbar.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Host installer\2829416161_monster.exe',''); QuarantineFile('C:\Program Files (x86)\Torrent Search\J2QfL7BU_T.exe',''); QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antiviruskxetray.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\User\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Kometa\kometaup.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe',''); QuarantineFile('C:\Users\User\AppData\Local\Google\chrome.bat',''); QuarantineFile('C:\Users\User\AppData\Local\Amigo\Application\amigo.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files (x86)\Application Assistance\apphelper.exe',''); QuarantineFile('C:\Windows\system32\drivers\kisknl.sys',''); QuarantineFile('C:\Windows\system32\drivers\ksapi64.sys',''); QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64.sys',''); QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antivirus\security\kxescan\kdhacker64.sys',''); QuarantineFile('C:\Users\User\AppData\Local\Temp\nsb906.tmp\IpConfig.dll',''); QuarantineFile('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\vnsad702.tmp',''); QuarantineFile('c:\users\user\appdata\local\46364331-1427372495-3435-4634-4432ffffffff\snsbc747.tmp',''); QuarantineFile('c:\program files (x86)\obnovi soft\obnovisoft.exe',''); QuarantineFile('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\nszdc26.tmp',''); QuarantineFile('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\jnsa381f.tmp',''); DeleteFile('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\jnsa381f.tmp','32'); DeleteFile('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\vnsad702.tmp','32'); DeleteFile('C:\Users\User\AppData\Local\Temp\nsb906.tmp\IpConfig.dll','32'); DeleteFile('C:\Users\User\AppData\Local\46364331-1427372495-3435-4634-4432FFFFFFFF\snsbC747.tmp','32'); DeleteFile('C:\Users\User\AppData\Roaming\46364331-1427354434-3435-4634-4432FFFFFFFF\nszDC26.tmp','32'); DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\security\kxescan\kdhacker64.sys','32'); DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64.sys','32'); DeleteFile('C:\Windows\system32\drivers\ksapi64.sys','32'); DeleteFile('C:\Windows\system32\drivers\kisknl.sys','32'); DeleteFile('C:\Program Files (x86)\Application Assistance\apphelper.exe','32'); DeleteFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Google\chrome.bat','32'); DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Kometa\kometaup.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Microsoft\Windows\Vkmusicdownloader.exe','32'); DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('c:\program files (x86)\kingsoft\kingsoft antiviruskxetray.exe','32'); DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','64'); DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','64'); DeleteFile('C:\Program Files (x86)\Torrent Search\J2QfL7BU_T.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); DeleteFile('C:\Users\User\AppData\Local\Host installer\2829416161_monster.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SystemScript','64'); DeleteFile('C:\Users\User\AppData\Local\Microsoft\Windows\toolbar.exe','32'); DelBHO('15DEE173-1BE9-4424-81E0-58A87076E9B1'); DelCLSID('11292110-6F8D-4D56-863C-44902A1E7880'); DelCLSID('00890530-6A9F-4be2-B1BB-73F01E2BB986'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphelper','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_6632489EDE512831E64C7AB45B89EBC1','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vkmusicdownloader','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kxesc','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sgsmoibcwz'); DeleteService('KDHacker'); DeleteService('kisnetm'); DeleteService('kedynyje'); DeleteService('gybixonu'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\jnsa381f.tmp'); BC_DeleteFile('c:\users\user\appdata\roaming\46364331-1427354434-3435-4634-4432ffffffff\vnsad702.tmp'); BC_DeleteFile('C:\Users\User\AppData\Local\Temp\nsb906.tmp\IpConfig.dll'); BC_DeleteFile('C:\Users\User\AppData\Local\46364331-1427372495-3435-4634-4432FFFFFFFF\snsbC747.tmp'); BC_DeleteFile('C:\Users\User\AppData\Roaming\46364331-1427354434-3435-4634-4432FFFFFFFF\nszDC26.tmp'); BC_DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\security\kxescan\kdhacker64.sys'); BC_DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64.sys'); BC_DeleteFile('C:\Windows\system32\drivers\ksapi64.sys'); BC_DeleteFile('C:\Windows\system32\drivers\kisknl.sys'); BC_DeleteFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe'); BC_DeleteSvc('gybixonu'); BC_DeleteSvc('kedynyje'); BC_DeleteSvc('kisnetm'); BC_DeleteSvc('KDHacker'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b241aacdaebaac32265776a3375d03ef&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b241aacdaebaac32265776a3375d03ef&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://api.youqian.baidu.com/v1/nav?soft=12&uid=161529&guid=763488b04889a2accc6dc801064e9662&vd=1939177393 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://api.youqian.baidu.com/v1/nav?soft=12&uid=161529&guid=763488b04889a2accc6dc801064e9662&vd=1939177393 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b241aacdaebaac32265776a3375d03ef&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b241aacdaebaac32265776a3375d03ef&text= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8088/ppsva.pac R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll O2 - BHO: (no name) - {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} - (no file) O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe" -stmd=3 O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\BaiduAnTray.exe" -stmd=3 O4 - HKLM\..\Run: [kxesc] "c:\program files (x86)\kingsoft\kingsoft antiviruskxetray.exe" -autorun O4 - HKCU\..\Run: [sgsmoibcwz] cmd /c start http://foretuned.com/ O4 - HKCU\..\Run: [Обнови Софт] "C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe" -startup O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b241aacdaebaac32265776a3375d03ef&text= Сделайте новые логи по правилам (только пункт 3). +логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Salabol Опубликовано 5 апреля, 2015 Автор Share Опубликовано 5 апреля, 2015 (изменено) Все сделал по инструкции, только не понял, новые логи автологгером надо делать или нет? Если надо, сделаю, остальные прикрепляю Текст из письма, куда отправлял карантин: Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. kisknl.sys,ksapi64.sysПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700http://www.kaspersky.ru http://www.viruslist.ru"Hello,This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. kisknl.sys,ksapi64.sysA set of unknown files has been received. They will be sent to the Virus Lab.Best Regards, Kaspersky Lab"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"--------------------------------------------------------------------------------Sent: 4/5/2015 3:57:13 PMTo: newvirus@kaspersky.comSubject: [VirLabSRF][undetected malware sample][M:1][LN:ru][L:0]<meta http-equiv="Content-Type" content="text/html; charset=us-ascii"><p>LANG: ru</p><p>email: </p><p>uploaded files: Quarantine.zip</p> Сообщение от модератора Почта скрыта Addition.txt ClearLNK-05.04.2015_20-10.log FRST.txt Изменено 17 апреля, 2015 пользователем mike 1 Почта скрыта Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 6 апреля, 2015 Share Опубликовано 6 апреля, 2015 удалите через панель управления - программы и компоненты: AnySend (HKLM-x32\...\ASPackage) (Version: 1.0.0.0 - CMI Limited) <==== ATTENTION! Time tasks (HKU\S-1-5-21-3423879507-949840707-1223205954-1000\...\TimeTasks) (Version: 0 - Time tasks) Torrent Search (HKLM-x32\...\Torrent Search) (Version: 1.0.0.40 - Macte! Labs) <==== ATTENTION! Zaxar Games Browser (HKLM-x32\...\ZaxarGameBrowser) (Version: 4 - Zaxar Ltd) Обнови Софт (HKLM-x32\...\Обнови Софт) (Version: - www.obnovi-soft.ru) Панель «Запуск Кометы» (HKU\S-1-5-21-3423879507-949840707-1223205954-1000\...\KometaLaunchPanel) (Version: 1.0.0.497 - Kometa) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Task: {27F80B49-54FB-44EE-8E6F-978DBD015479} - \SystemScript No Task File <==== ATTENTION Task: {4B56E212-13CD-45FE-A32B-A5C8E05F2053} - \Update Service for Torrent Search2 No Task File <==== ATTENTION Task: {8F26DC99-F06B-45AF-93D6-E450B82DD892} - \Vkmusicdownloader No Task File <==== ATTENTION Task: {A335C9BE-EA3A-4E38-9FDA-91C617EB8A2F} - \Update Service for Torrent Search No Task File <==== ATTENTION Task: {F64CE63A-FA68-475E-82B8-52104A8A7C47} - \Soft installer No Task File <==== ATTENTION 2015-03-26 12:36 - 2014-11-13 19:22 - 00086856 _____ () C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.622\dynplugins\FixSePlugin.dll 2015-03-26 12:36 - 2014-12-18 18:00 - 00377672 _____ () C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.622\dynplugins\HostPlugin.dll 2015-03-26 12:36 - 2014-10-22 13:49 - 00349000 _____ () C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.622\dynplugins\FileUpdatePlugin.dll (????????????????) C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.622\BaiduProtect.exe (Baidu) C:\Program Files (x86)\Common Files\Baidu\BDDownload\109\bddownloader.exe HKLM\...\Run: [baidusdTray] => "C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe" -stmd=3 HKLM\...\Run: [baiduAnTray] => "C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\baiduAnTray.exe" -stmd=3 GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-3423879507-949840707-1223205954-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\S-1-5-21-3423879507-949840707-1223205954-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://api.youqian.baidu.com/v1/nav?soft=12&uid=161529&guid=763488b04889a2accc6dc801064e9662&vd=1939177393 SearchScopes: HKU\S-1-5-21-3423879507-949840707-1223205954-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b241aacdaebaac32265776a3375d03ef&text={searchTerms} SearchScopes: HKU\S-1-5-21-3423879507-949840707-1223205954-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b241aacdaebaac32265776a3375d03ef&text= SearchScopes: HKU\S-1-5-21-3423879507-949840707-1223205954-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms} FF Plugin: @iqiyi.com/npclient -> D:\IQIYI Video\LStyle\npclient.dll No File FF Plugin: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @iqiyi.com/npclient -> D:\IQIYI Video\LStyle\npclient.dll No File FF Plugin-x32: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @kingsfot.com/npkws -> C:\Program Files (x86)\kingsoft\kingsoft antivirus\npkws.dll No File FF Plugin HKU\S-1-5-21-3423879507-949840707-1223205954-1000: @iqiyi.com/npWebPlayer -> D:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Extension: Torrent Search - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{05EB6920-D8AD-4350-BEF1-4F7107F70431} [2015-03-26] FF Extension: No Name - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [Not Found] FF Extension: No Name - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found] CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-03-25] CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-26] CHR Extension: (No Name) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-03-26] CHR HKLM-x32\...\Chrome\Extension: [fidibeiehaokohhbnkdjmkcapgnndfkc] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jkagakiplhpgacmegfblcddbckenmiio] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kjlpdpfmpoggibmjgmbaoidffidifakh] - https://clients2.google.com/service/update2/crx OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\iphpmnjjkbneokidkdkcdfhlhlimhnfj [2015-03-26] OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk [2015-02-19] R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.622\BaiduProtect.exe [1935976 2015-03-26] (????????????????) S2 zehepefy; C:\Users\User\AppData\Roaming\46364331-1427354434-3435-4634-4432FFFFFFFF\jnsa381F.tmp [X] R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [202704 2015-03-26] (Baidu) R1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [202704 2015-03-26] (Baidu) S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [198600 2015-03-26] (Baidu) R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [169288 2015-03-26] (Baidu) R2 BDArKit; C:\Windows\System32\Drivers\BDArKit.SYS [152392 2015-03-26] (Baidu Technology) R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [56648 2015-03-26] (Baidu) S1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [62280 2015-02-10] (Baidu) R2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2015-03-26] (Baidu) R0 KAVBootC; C:\Windows\System32\Drivers\KAVBootC64.sys [31848 2015-02-13] (Kingsoft Corporation) S3 EverestDriver; \?\M:\Everest\kerneld.amd64 [X] C:\Windows\System32\DRIVERS\bd0001.sys 7CCBCD5004944E1FD2E2AA8552ED0F38 C:\Windows\SysWOW64\DRIVERS\bd0001.sys 7CCBCD5004944E1FD2E2AA8552ED0F38 C:\Windows\SysWOW64\DRIVERS\bd0002.sys FB293B5CAF1F027CCB777419AD3C35D0 C:\Windows\System32\DRIVERS\bd0004.sys 65EC0634B16B2A9C0686F45490F5A00F C:\Windows\System32\Drivers\BDArKit.SYS AC5C57F6C95C5B2EE4FE78C7C93372A5 C:\Windows\System32\DRIVERS\BDMWrench.sys A5B8889940B7CDD723E5DB8E370BA99C C:\Windows\System32\DRIVERS\BDMWrench_x64.sys E7AF2FAC2E2C9212EF9B763648FC8B1C C:\Windows\System32\DRIVERS\BDSafeBrowser.sys 3D8B42ECAF1F07A676FAABBB7B2024C1 2015-04-05 20:37 - 2014-03-11 15:47 - 00388608 _____ (Trend Micro Inc.) C:\Users\User\Desktop\game.exe 2015-04-05 20:37 - 2014-03-11 15:47 - 00388608 _____ (Trend Micro Inc.) C:\Users\User\Desktop\1.com 2015-04-05 20:21 - 2015-03-26 12:42 - 00202704 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys 2015-04-05 20:21 - 2015-03-26 12:36 - 00152392 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.sys 2015-04-05 20:21 - 2015-03-26 12:26 - 00056648 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench.sys 2015-04-05 20:21 - 2015-03-26 12:26 - 00041800 _____ (Baidu) C:\Windows\system32\bd64_x64.dll 2015-04-05 20:21 - 2015-03-26 12:26 - 00039056 _____ (Baidu) C:\Windows\system32\bd64_x86.dll 2015-03-29 00:26 - 2015-04-05 20:20 - 00000000 ____D () C:\Program Files (x86)\Obnovi Soft 2015-03-29 00:26 - 2015-03-29 00:30 - 00000000 ____D () C:\Users\User\AppData\Roaming\Obnovi Soft 2015-03-29 00:26 - 2015-03-29 00:26 - 00001066 _____ () C:\Users\User\Desktop\Обнови Софт.lnk 2015-03-29 00:26 - 2015-03-29 00:26 - 00000000 ____D () C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт 2015-03-29 00:26 - 2015-03-29 00:26 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт 2015-03-26 15:04 - 2015-04-03 20:19 - 00000000 ___HD () C:\Users\User\AppData\Roaming\CAED4188 2015-03-26 14:48 - 2015-03-26 14:48 - 00198600 _____ (Baidu) C:\Windows\SysWOW64\Drivers\bd0002.sys 2015-03-26 13:40 - 2015-03-26 13:40 - 00001046 _____ () C:\Users\User\Desktop\Continue AnyProtect Installation.lnk 2015-03-26 12:52 - 2015-03-26 12:52 - 00001046 _____ () C:\Users\User\Desktop\Continue AnySend Installation.lnk 2015-03-26 12:42 - 2015-04-03 20:51 - 00000000 __SHD () C:\Users\Все пользователи\Windows 2015-03-26 12:42 - 2015-04-03 20:51 - 00000000 __SHD () C:\ProgramData\Windows 2015-03-26 12:42 - 2015-03-26 12:42 - 00442896 _____ () C:\Users\User\AppData\Roaming\data13.dat 2015-03-26 12:42 - 2015-03-26 12:42 - 00202704 _____ (Baidu) C:\Windows\SysWOW64\Drivers\bd0001.sys 2015-03-26 12:26 - 2015-03-26 12:26 - 00169288 _____ (Baidu) C:\Windows\system32\Drivers\bd0004.sys 2015-03-26 12:26 - 2015-03-26 12:26 - 00048968 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys 2015-03-26 12:23 - 2015-02-10 23:38 - 00062280 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench_x64.sys 2015-03-26 12:22 - 2015-04-05 20:22 - 00000000 ____D () C:\Users\Все пользователи\Baidu 2015-03-26 12:22 - 2015-04-05 20:22 - 00000000 ____D () C:\ProgramData\Baidu 2015-03-26 12:22 - 2015-03-26 12:26 - 00000000 ____D () C:\Users\User\AppData\Roaming\Baidu 2015-03-26 12:22 - 2015-03-26 12:25 - 00000000 ____D () C:\Program Files (x86)\Baidu 2015-03-26 12:22 - 2015-03-26 12:22 - 00000040 _____ () C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-03-26 12:22 - 2015-03-26 12:22 - 00000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-03-26 12:22 - 2014-12-05 14:35 - 00202576 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys_ 2015-03-26 12:21 - 2009-07-14 06:17 - 00673048 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe 2015-03-26 12:20 - 2015-04-05 20:10 - 00000000 ____D () C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser 2015-03-26 12:20 - 2015-04-03 20:55 - 00000000 ____D () C:\Program Files (x86)\Torrent Search 2015-03-26 12:20 - 2015-04-03 20:51 - 00000000 ____D () C:\Users\User\AppData\Roaming\ASPackage 2015-03-26 12:20 - 2015-03-29 00:20 - 00000000 ____D () C:\Program Files (x86)\Zaxar 2015-03-26 12:18 - 2015-03-26 12:18 - 00000000 ____D () C:\Users\User\AppData\Roaming\OpenCandy 2015-04-03 20:19 - 2015-02-19 21:39 - 00000000 ____D () C:\Users\User\AppData\Local\Kometa 2015-03-26 12:22 - 2015-03-26 12:22 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-03-26 12:42 - 2015-03-26 12:42 - 0442896 _____ () C:\Users\User\AppData\Roaming\data13.dat C:\Users\User\AppData\Local\Temp\BDABrowserProtectUnInstall.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Сделайте новые логи по правилам (только пункт 2). где? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Salabol Опубликовано 15 апреля, 2015 Автор Share Опубликовано 15 апреля, 2015 Простите, долго не отвечал, был в командировке. Все сделано по инструкции, нужные файлы прикреплены. Жду ответа. CollectionLog-2015.04.15-08.17.zip Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 16 апреля, 2015 Share Опубликовано 16 апреля, 2015 приложите лог AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Salabol Опубликовано 17 апреля, 2015 Автор Share Опубликовано 17 апреля, 2015 Провел сканирование, программа предложила удалить найденное, я согласился! Оба отчета прилагаю AdwCleanerR0.txt AdwCleanerS0.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 17 апреля, 2015 Share Опубликовано 17 апреля, 2015 новые логи приложите для контроля: автологгера и adwcleaner Ссылка на комментарий Поделиться на другие сайты More sharing options...
Salabol Опубликовано 17 апреля, 2015 Автор Share Опубликовано 17 апреля, 2015 Прикрепляю AdwCleanerR1.txt AdwCleanerS1.txt CollectionLog-2015.04.17-18.23.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 17 апреля, 2015 Share Опубликовано 17 апреля, 2015 Скачайте ComboFix здесь или здесь и сохраните в корень диска С. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Salabol Опубликовано 26 апреля, 2015 Автор Share Опубликовано 26 апреля, 2015 Прикрепляю ComboFix.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 26 апреля, 2015 Share Опубликовано 26 апреля, 2015 Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. KillAll:: File:: c:\windows\SysWow64\DCL.dll c:\windows\system32\drivers\BDMWrench.sys c:\windows\system32\drivers\BDArKit.sys c:\windows\system32\bd64_x64.dll c:\windows\system32\bd64_x86.dll c:\windows\system32\drivers\bd0001.sys c:\windows\system32\drivers\BDSafeBrowser.sys c:\windows\system32\drivers\bd0004.sys c:\windows\system32\drivers\ksapi64.sys c:\windows\system32\drivers\ksapi.sys c:\windows\system32\drivers\kisnetmxp.sys c:\windows\system32\drivers\kisnetm64.sys c:\windows\system32\drivers\kisnetm.sys c:\windows\system32\drivers\kisknl.sys c:\windows\system32\drivers\kdhacker64.sys c:\windows\system32\drivers\kdhacker.sys c:\windows\system32\drivers\kavbootc.sys c:\windows\system32\drivers\bootsafe64.sys c:\windows\system32\drivers\bootsafe.sys c:\windows\system32\drivers\kavbootc64.sys c:\windows\system32\drivers\bc.sys c:\windows\system32\drivers\kisknl64.sys c:\windows\system32\drivers\ksskrpr.sys c:\windows\system32\drivers\kusbquery64.sys c:\windows\system32\drivers\kusbquery.sys Driver:: BDMWrench_x64 BDSafeBrowser DCL bd0004 BDMWrench BDArKit BDSGRTP Folder:: c:\programdata\Baidu c:\program files (x86)\IGS c:\users\User\AppData\Local\46364331-1429085051-3435-4634-4432FFFFFFFF c:\users\User\AppData\Roaming\x11 c:\program files (x86)\Common Files\Baidu Registry:: DDS:: uStart Page = hxxp://api.youqian.baidu.com/v1/nav?soft=12&uid=161529&guid=763488b04889a2accc6dc801064e9662&vd=1939177393 FileLook:: DirLook:: Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Salabol Опубликовано 26 апреля, 2015 Автор Share Опубликовано 26 апреля, 2015 Прикрепляю ComboFix.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 26 апреля, 2015 Share Опубликовано 26 апреля, 2015 Еще раз логи Farbar сделайте (отчеты frst.txt и addition.txt) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Salabol Опубликовано 26 апреля, 2015 Автор Share Опубликовано 26 апреля, 2015 Прикрепил Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти