Здравствуйте. Вчера установил программу и вместе с ней установились программы с иероглифами, в program files появились папки Baidu и BaiduEx. Вчера их удалил, а сегодня они опять появились. Помогите от них избавиться)
Здравствуйте. Вчера установил программу и вместе с ней установились программы с иероглифами, в program files появились папки Baidu и BaiduEx. Вчера их удалил, а сегодня они опять появились. Помогите от них избавиться)
Последний раз редактировалось FreezUp; 22.11.2014 в 07:33.
Уважаемый(ая) FreezUp, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Амиго деинсталируйте.
- сделайте лог Check Browsers' LNK
Сделайте полный образ автозапуска uVS только программу скачайте отсюда
+Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:C:\Program Files (x86)\BaiduEx\uninit.exe
Амиго удалил. Но не могу добавить логи в карантин, пишет:
Ошибка карантина файла, попытка прямого чтения (virusinfo_syscheck.zip)
Карантин с использованием прямого чтения - ошибка
Вложение 512519
Вот остальное
- - - - -Добавлено - - - - -
На счет кода не понял, нужен путь к uninst.exe?
Последний раз редактировалось FreezUp; 22.11.2014 в 15:38.
сейчас только посмотрел скрин. Зачем вы логи в карантин пытались брать? В карантин надо было брать не virusinfo_syscheck.zip, а
- - - - -Добавлено - - - - -Код:C:\Program Files (x86)\BaiduEx\uninit.exe
1) - выполните такой скрипт в AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.Код:begin ClearQuarantine; QuarantineFile('C:\Users\Макс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk',''); QuarantineFile('C:\Users\Макс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk',''); QuarantineFile('C:\Users\Макс\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk',''); QuarantineFile('C:\Users\Макс\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Check for Updates.lnk',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\DivX Converter.lnk',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\Register.lnk',''); QuarantineFile('C:\PROGRA~3\Baidu\BaiduAn\SWMANA~1\-E773~1.LNK',''); QuarantineFile('C:\Program Files (x86)\DivXControlPanelLauncher.bat',''); QuarantineFile('C:\Program Files (x86)\DivXConverterLauncher.bat',''); DeleteFile('C:\Program Files (x86)\DivXControlPanelLauncher.bat',''); DeleteFile('C:\Program Files (x86)\DivXConverterLauncher.bat',''); TerminateProcessByName('c:\program files (x86)\baiduex\uninit.exe'); QuarantineFile('c:\program files (x86)\baiduex\uninit.exe',''); DeleteFile('c:\program files (x86)\baiduex\uninit.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x86'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
2) Деинсталируйте: 百度, 百度卫士3.0, 百度杀毒2.1
3) Выполните скрипт в uVS и пришлите карантин
4) - сделайте новый образ автозапуска.Код:;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG zoo %SystemDrive%\PROGRAM FILES (X86)\BAIDUEX\UNINIT.EXE bl 974C23A3C4014506C6A37BBC455AD9E5 643130 addsgn A7679BF0AA02648149D4C66176891261848AFCF689AA7BF1A0C3C5BC5055B5E8704194DE5BBD625C27F3C79FE55A18B97D7EA42316DA71C425525B2FC706812B 8 Baidu Trojan.DownLoader11.40922 [DrWeb] ; 百度 exec C:\Users\Макс\AppData\Local\Baidu\Baidu\1.3.1.157\uninst.exe ; 百度卫士3.0 exec C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\uninst.exe ; 百度杀毒2.1 exec C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\uninst.exe deldir %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUAN\3.0.0.3971 deldir %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\2.1.0.3086 deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\ delall %SystemDrive%\PROGRAM FILES (X86)\BAIDUEX\UNINIT.EXE chklst delvir deldir %SystemDrive%\USERS\МАКС\APPDATA\LOCAL\BAIDU\ dirzooex %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\ETRANSLATOR exec C:\Users\4D88~1\AppData\Roaming\DIGITA~1\UpdateProc\UpdateTask.exe /Uninstall exec32 "C:\Users\Макс\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall regt 28 regt 29 czoo restart
Карантин отправил. Во вложениях нет места и удалить предыдущие не могу
загрузите сюда http://rghost.ru/ и оставьте ссылку на скачивание.
Выполните скрипте uVS и свежий образ прикрепите. На вопросы об удаление программ соглашайтесь.
заодно отпишитесь, что с проблемой?Код:;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG ; etranslator exec C:\Users\Макс\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall ; Extended Update exec C:\Users\4D88~1\AppData\Roaming\DIGITA~1\UpdateProc\UpdateTask.exe /Uninstall restart delref %SystemDrive%\USERS\МАКС\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE delref %SystemDrive%\USERS\МАКС\APPDATA\LOCAL\11518\UPDATER.EXE delref %SystemDrive%\USERS\МАКС\APPDATA\LOCAL\AMIGO\APPLICATION\VK.EXE vreg zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL bl C7AC6FDC3F233399708CDF5EDB4F7343 70600 delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE bl 2ECB6110AADE861F16C9CA210F3EA005 1520584 delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=7F073316786C5CB91E1343DA1CE59426&TEXT={SEARCHTERMS} deldir %SystemDrive%\PROGRAM FILES (X86)\BAIDU\ deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\ czoo areg
http://rghost.ru/59225646
- - - - -Добавлено - - - - -
Вроде все нормально, только на некоторых ярлыках появились значки в виде щита, которым обозначается запуск от администратора, не подскажите как их убрать?
etranslator и Extended Update - деинсталируйте.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
а где искать etranslator и Extended Update?
- - - - -Добавлено - - - - -
http://rghost.ru/59234609
в установке и удаление программ.
после того как деинсталируете
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Да решена. Спасибо! А эти щиты на ярлыках можно как-нибудь убрать?)
Уважаемый(ая) FreezUp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.