Доброго дня.
Помогите изгнать непрошенного.
Вложение 519662
Вложение 519663
Вложение 519664
Доброго дня.
Помогите изгнать непрошенного.
Вложение 519662
Вложение 519663
Вложение 519664
йцукен
Уважаемый(ая) Бумбарам, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\users\р\appdata\roaming\installer\rot8.exe'); TerminateProcessByName('c:\users\р\appdata\local\opera\opera\temporary_downloads\flashplayer15 (1).exe'); TerminateProcessByName('c:\program files\advplugin\basement\extensionupdaterservice.exe'); TerminateProcessByName('c:\program files\advplugin\backgroundsingleton.exe'); QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe',''); QuarantineFile('C:\Users\9B87~1\AppData\Roaming\msngnzr.exe',''); QuarantineFile('c:\users\р\appdata\roaming\installer\rot8.exe',''); QuarantineFile('c:\users\р\appdata\local\opera\opera\temporary_downloads\flashplayer15 (1).exe',''); QuarantineFile('c:\program files\advplugin\basement\extensionupdaterservice.exe',''); QuarantineFile('c:\program files\advplugin\backgroundsingleton.exe',''); DeleteFile('c:\program files\advplugin\backgroundsingleton.exe','32'); DeleteFile('c:\program files\advplugin\basement\extensionupdaterservice.exe','32'); DeleteFile('c:\users\р\appdata\local\opera\opera\temporary_downloads\flashplayer15 (1).exe','32'); DeleteFile('c:\users\р\appdata\roaming\installer\rot8.exe','32'); DeleteFile('C:\Users\9B87~1\AppData\Roaming\msngnzr.exe','32'); DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\windows\system32\Tasks\chrome5_logon','32'); DeleteFile('C:\windows\system32\Tasks\chrome5','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pragma5','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3130627409','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rot8.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Deluxe Tree','command'); DeleteFileMask('c:\program files\advplugin', '*', true, ' '); DeleteDirectory('c:\program files\advplugin'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll O2 - BHO: advPlugin - {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} - C:\Program Files\advPlugin\Toolbar32.dll O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe" -stmd=3 O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe" -stmd=3 O4 - HKCU\..\Run: [rot8.exe] C:\Users\р\AppData\Roaming\Installer\rot8.exe /auto O9 - Extra button: Currency Converter - {7CE987D5-11B3-44FC-9C3D-03069360D462} - C:\Program Files\advPlugin\Toolbar32.dll
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вроде все собрал
йцукен
Уведомление
Скрипт выполняйте в безопасном режиме!
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
Код:(百度在线网络技术(北京)有限公司) C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe (百度在线网络技术(北京)有限公司) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe (百度在线网络技术(北京)有限公司) C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe (百度在线网络技术(北京)有限公司) C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe (百度在线网络技术(北京)有限公司) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDKVWsc.exe HKLM\...\Run: [baidusdTray] => C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe [2157064 2014-09-28] (百度在线网络技术(北京)有限公司) HKLM\...\Run: [BaiduAnTray] => C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe [2087432 2014-10-10] (百度在线网络技术(北京)有限公司) FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File FF Extension: FProtected v14.12.2 - C:\Users\р\AppData\Roaming\Mozilla\Firefox\Profiles\g1arbl2e.default\Extensions\[email protected] [2014-12-02] FF Extension: Internet Helper - C:\Users\р\AppData\Roaming\Mozilla\Firefox\Profiles\g1arbl2e.default\Extensions\helper@helper [2014-12-18] FF Extension: Adobe Flash Player - C:\Users\р\AppData\Roaming\Mozilla\Firefox\Profiles\g1arbl2e.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2014-12-02] R2 BaiduHips; C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe [64008 2014-09-18] (百度在线网络技术(北京)有限公司) R2 BDKVRTP; C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe [821768 2014-09-25] (百度在线网络技术(北京)有限公司) R2 BDMRTP; C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe [1047048 2014-10-10] (百度在线网络技术(北京)有限公司) R2 BDSGRTP; C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe [1931880 2014-12-18] (百度在线网络技术(北京)有限公司) R1 bd0001; C:\windows\System32\DRIVERS\bd0001.sys [70984 2014-09-17] (Baidu) R1 bd0002; C:\windows\System32\DRIVERS\bd0002.sys [196424 2014-09-17] (Baidu) R1 bd0003; C:\windows\System32\DRIVERS\bd0003.sys [56136 2014-09-10] (Baidu) R1 bd0004; C:\windows\System32\DRIVERS\bd0004.sys [183112 2014-12-18] (Baidu) R2 BDArKit; C:\windows\System32\DRIVERS\BDArKit.sys [145224 2014-12-26] (Baidu Technology) R2 BDDefense; C:\windows\System32\drivers\BDDefense.sys [123720 2014-09-23] (Baidu) R1 BDEnhanceBoost; C:\windows\System32\drivers\BDEnhanceBoost.sys [61256 2014-09-19] (Baidu) R0 BDMWrench; C:\windows\System32\DRIVERS\BDMWrench.sys [253000 2014-12-23] (Baidu) R2 BDSafeBrowser; C:\windows\System32\DRIVERS\BDSafeBrowser.sys [62664 2014-11-17] (Baidu) S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X] 2014-12-18 23:03 - 2014-12-18 23:03 - 00183112 _____ (Baidu) C:\windows\system32\Drivers\bd0004.sys 2014-12-18 23:03 - 2014-11-17 05:15 - 00062664 _____ (Baidu) C:\windows\system32\Drivers\BDSafeBrowser.sys 2014-12-18 23:01 - 2014-12-23 19:38 - 00253000 _____ (Baidu) C:\windows\system32\Drivers\BDMWrench.sys 2014-12-18 22:58 - 2014-12-18 22:58 - 00000000 ____D () C:\Users\р\AppData\Roaming\Baidu 2014-12-18 22:57 - 2014-09-23 11:14 - 00123720 _____ (Baidu) C:\windows\system32\Drivers\BDDefense.sys 2014-12-18 22:57 - 2014-09-19 18:02 - 00061256 _____ (Baidu) C:\windows\system32\Drivers\BDEnhanceBoost.sys 2014-12-18 22:56 - 2014-12-26 19:50 - 00145224 _____ (Baidu Technology) C:\windows\system32\Drivers\BDArKit.sys 2014-12-18 22:56 - 2014-12-21 22:36 - 00000000 ____D () C:\Users\Все пользователи\Baidu 2014-12-18 22:56 - 2014-12-21 22:36 - 00000000 ____D () C:\ProgramData\Baidu 2014-12-18 22:56 - 2014-12-18 23:03 - 00000000 ____D () C:\Program Files\Common Files\Baidu 2014-12-18 22:56 - 2014-12-18 22:57 - 00000000 ____D () C:\Program Files\Baidu 2014-12-18 22:56 - 2014-09-17 04:37 - 00196424 _____ (Baidu) C:\windows\system32\Drivers\bd0002.sys 2014-12-18 22:56 - 2014-09-17 04:37 - 00070984 _____ (Baidu) C:\windows\system32\Drivers\bd0001.sys 2014-12-18 22:56 - 2014-09-10 05:30 - 00056136 _____ (Baidu) C:\windows\system32\Drivers\bd0003.sys 2014-12-18 22:55 - 2014-12-25 20:29 - 00000000 ____D () C:\Program Files\BaiduEx 2014-12-18 22:55 - 2014-12-25 20:19 - 00000008 __RSH () C:\Users\р\ntuser.pol 2014-12-16 22:13 - 2014-12-16 22:13 - 00000000 __SHD () C:\Users\р\AppData\Local\EmieUserList 2014-12-16 22:13 - 2014-12-16 22:13 - 00000000 __SHD () C:\Users\р\AppData\Local\EmieSiteList 2014-12-16 22:13 - 2014-12-16 22:13 - 00000000 __SHD () C:\Users\р\AppData\Local\EmieBrowserModeList 2014-12-16 22:12 - 2014-12-25 20:58 - 00000000 ____D () C:\Users\р\AppData\Roaming\advPlugin 2014-12-03 22:23 - 2014-12-14 16:56 - 00000235 _____ () C:\windows\system32\removeSAddons.bat 2014-12-02 22:18 - 2014-12-14 17:08 - 00000000 ____D () C:\Users\р\AppData\Roaming\eTranslator 2014-12-02 22:15 - 2014-12-02 22:15 - 00000000 ____D () C:\Users\р\AppData\Local\Поиcк в Интeрнете 2014-12-02 22:12 - 2014-12-18 22:55 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol 2014-12-02 22:12 - 2014-12-18 22:55 - 00000008 __RSH () C:\ProgramData\ntuser.pol 2014-12-02 22:10 - 2014-12-02 22:10 - 00000001 _____ () C:\Users\р\AppData\Roaming\smw_inst 2014-12-02 22:10 - 2014-12-02 22:10 - 00000000 ____D () C:\Program Files\Microsoft Data Task: {197B9FAA-D53A-4301-B9F9-257CBACEF017} - System32\Tasks\SystemScript => C:\Users\р\AppData\Local\Microsoft\Windows\system.exe Task: {9490E15C-1C92-475D-A070-8EB8C0A8D166} - \chrome5_logon No Task File <==== ATTENTION Task: {BCD4FFCD-EC16-45C1-AC3A-4F859AFD0AE3} - \chrome5 No Task File <==== ATTENTION EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Сделайте новые логи Farbar из обычного режима.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Fixlog по запарке удалил.
Если без него никак, может скрипт предложеный в предидущем сообщении отработать еще раз.
Видимых следов китайского гостя не видно.
йцукен
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
Код:2014-12-27 21:44 - 2014-12-27 21:44 - 00000000 __SHD () C:\Users\р\AppData\Local\EmieUserList 2014-12-27 21:44 - 2014-12-27 21:44 - 00000000 __SHD () C:\Users\р\AppData\Local\EmieSiteList 2014-12-27 21:44 - 2014-12-27 21:44 - 00000000 __SHD () C:\Users\р\AppData\Local\EmieBrowserModeList- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Что с проблемой?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Проблема визуально не проявляется.
Лог пркрепил.
йцукен
- Скачайте DelFix и сохраните утилиту на Рабочем столе
- Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
- Нажмите на кнопку Run
- После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
- Прикрепите этот отчет в вашей теме.
- Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вот логи.
йцукен
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Обновите:
ESET NOD32 Antivirus 4.0 - обновите до 8 версии.
Adobe Flash Player 10 ActiveX v.10.0.42.34 Внимание! Скачать обновления
Adobe Reader XI (11.0.10) - Russian v.11.0.10 [+]
-------------Browser------------------------------
Google Chrome v.39.0.2171.95 [+]
Mozilla Firefox (3.6.12) v.3.6.12 (ru) Внимание! Скачать обновления
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
Советы и рекомендации после лечения компьютера
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Nod удален до моего обращения
установлен антивирус от майкрасофта
йцукен
Установите обновления по ссылкам тогда. На этом все.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\users\р\appdata\roaming\installer\rot8.exe - Trojan-Downloader.Win32.Banload.zzud ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) Бумбарам, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.