Junior Member
Вес репутации
35
Проблема с доступом к страницам
Добрый день.
Снова коллега полазила там, где не надо, в поисках готового реферата для ребёнка, подхватила какую-то заразу, при открытии любой странички в инете открывался сайт mvd.ru. Никакие другие страницы не открывались. Утилитой куреит прогнал, нашел 17 зараженных файлов, вылечил их, заодно и удалил какие-то китайские программы. Увидел, что вирус отредактировал hosts, сохранив первоначальный с расширением *.bak. Посоветуйте, что нужно сделать, чтобы убрать сию заразу.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Lakysja , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Пофиксите в HiJack
O17 - HKLM\System\CCS\Services\Tcpip\..\{373B6D08-CC58-4A20-85FE-4B1CC8770E9C}: NameServer = 131.72.136.87,198.23.250.135,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{373B6D08-CC58-4A20-85FE-4B1CC8770E9C}: NameServer = 131.72.136.87,198.23.250.135,8.8.8.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{373B6D08-CC58-4A20-85FE-4B1CC8770E9C}: NameServer = 131.72.136.87,198.23.250.135,8.8.8.8
Amigo удалите через Установку программ
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
DelBHO('{9BFBA68E-E21B-458E-AE12-FE85E903D2C0}');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}');
DeleteFile('C:\Documents and Settings\Ученик\Local Settings\Application Data\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Documents and Settings\Ученик\Local Settings\Application Data\Amigo\Application\go_internet.exe','32');
DeleteFile('C:\Documents and Settings\Ученик\Local Settings\Application Data\Amigo\Application\ok.exe','32');
DeleteFile('C:\Documents and Settings\Ученик\Local Settings\Application Data\Amigo\Application\vk.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\BDDefense.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\BDEnhanceBoost.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMNetMon.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDAntiExp.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys');
BC_DeleteSvc('BaiduHips');
BC_DeleteSvc('BDMRTP');
BC_DeleteSvc('BDDefense');
BC_DeleteSvc('BDEnhanceBoost');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0002');
BC_DeleteSvc('BDAntiExp');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDMNetMon');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Сделано. Однако, файл с карантином в AVZ не создается.
З.Ы. Кстати, после этих манипуляций все заработало.
Вложения
Папку c:\documents and settings\LocalService\Application Data\Baidu удалите
Что в папках?
c:\documents and settings\LocalService\Application Data\Tencent
c:\documents and settings\Ученик\Local Settings\Application Data\Uran
c:\documents and settings\Ученик\Local Settings\Application Data\PlayFree Browser
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Сообщение от
thyrex
Папку c:\documents and settings\LocalService\Application Data\Baidu удалите
Что в папках?
LocalService вообще не нашел, а в остальных двух папках одинаково: UserData\Default\Preferences
UserData\Default\extensions\ckcmdpmhiekiihmfjffdeh hbhgllpapg\12.19_0\куча папок и файлов
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
Driver::
Folder::
c:\documents and settings\LocalService\Application Data\Tencent
c:\documents and settings\LocalService\Application Data\Baidu
c:\documents and settings\Ученик\LocalService\Application Data\Tencent
c:\documents and settings\Ученик\LocalService\Application Data\Baidu
c:\documents and settings\Ученик\Local Settings\Application Data\Uran
c:\documents and settings\Ученик\Local Settings\Application Data\PlayFree Browser
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect