Добрый день.
Помогите решить проблему с вирусом.
Log AVZ и Hijack This приложены ниже.
Добрый день.
Помогите решить проблему с вирусом.
Log AVZ и Hijack This приложены ниже.
Уважаемый(ая) Spiker84, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\program files (x86)\common files\baidu\bddownload\108\bddownloader.exe'); TerminateProcessByName('C:\Program Files (x86)\baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe'); TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe'); TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe'); TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe'); TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe'); TerminateProcessByName('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduantray.exe'); TerminateProcessByName('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduansvc.exe'); StopService('BDSafeBrowser'); StopService('BDMWrench_x64'); StopService('BDDefense'); StopService('BDArKit'); StopService('bd0004'); StopService('bd0002'); StopService('bd0001'); StopService('BaiduHips'); QuarantineFile('C:\Users\ALL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Program Files (x86)\baidu\BindEx.exe',''); QuarantineFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BDShellExt.dll',''); QuarantineFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt64.dll',''); QuarantineFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll',''); QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys',''); QuarantineFile('C:\Windows\system32\drivers\BDDefense.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\BDArKit.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\bd0002.sys',''); QuarantineFile('C:\Windows\system32\DRIVERS\bd0001.sys',''); QuarantineFile('c:\program files (x86)\common files\baidu\bddownload\108\bddownloader.exe',''); QuarantineFile('C:\Program Files (x86)\baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe',''); QuarantineFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe',''); QuarantineFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe',''); QuarantineFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe',''); QuarantineFile('c:\program files (x86)\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe',''); QuarantineFile('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduantray.exe',''); QuarantineFile('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduansvc.exe',''); DeleteFile('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduansvc.exe','32'); DeleteFile('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduantray.exe','32'); DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe','32'); DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe','32'); DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe','32'); DeleteFile('C:\Program Files (x86)\baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe','32'); DeleteFile('c:\program files (x86)\common files\baidu\bddownload\108\bddownloader.exe','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\EnhanceBoost.dll','32'); DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDDefense.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt64.dll','32'); DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BDShellExt.dll','32'); DeleteFile('C:\Users\ALL\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32'); DeleteFile('C:\Users\ALL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\ALL\AppData\Roaming\runWIN\update.exe','32'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}'); DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}'); DeleteService('BDEnhanceBoost'); DeleteService('BDAntiExp'); DeleteService('BDSafeBrowser'); DeleteService('BDMWrench_x64'); DeleteService('BDDefense'); DeleteService('BDArKit'); DeleteService('bd0004'); DeleteService('bd0002'); DeleteService('bd0001'); DeleteService('BaiduHips'); ExecuteSysClean; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
WBR,
Vadim
После выполнения первого скрипта (на экране завершение работы Windows) вылетел BSOD.
0x000000ce (0xfffff88008bc6458, 0x0000000000000008, 0xfffff88008bc6458, 0x0000000000000000).
Затем произошла перезагрузка, ОС загрузилась нормально и Baidu тоже загрузилась.
Вот логи FRST.
Последний раз редактировалось Spiker84; 27.10.2014 в 13:10.
Сохраните файл Вложение 505883 из вложений в папку с Farbar Recovery Scan Tool.
Загрузите систему в безопасном режиме.
Запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Все получилось, при загрузке подозрительного ничего не загружается, вот логи.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Выполните рекомендации после лечения.
WBR,
Vadim
Спасибо большое за помощь !
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\users\all\downloads\aa_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.aq ( DrWEB: Program.RemoteAdmin.701 )
Уважаемый(ая) Spiker84, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.