Помогите вычистить зловред

**ququruza** · 04.02.2015, 21:19

Здравствуйте!
Нужна помощь. Win XP.
Установка AVPTool завершается ошибкой:
Вложение 532282
Для лечения был использован cureit. После лечения есть подозрения на наличие зловреда:
1. При запуске, перед входом в систему появляется окно с не читаемыми символами, окно с единственной кнопкой "Ок", при нажатии на нее окно закрывается загрузка продолжается (открывается рабочий стол). На нажатие на "крестик" не реагирует.
Пример символов в окне: 庈öŸ[1]ĊČ幈öacn_np:[\\PIPE\\lsarpc]
Могут быть другие.
2. Устанавливает соединение с адресом 123.125.69.209 . Даже когда через msconfig выключена вся автозагрузка.3. Не устанавливается kis (касперский).
4. Сформировался virusinfo_autoquarantine

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.02.2015, 21:22

Уважаемый(ая) ququruza, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**ququruza** · 04.02.2015, 21:49

PS.
п1. Указанное окно в безопасном режиме тоже появляется.
Virus Removal Tool в безопасном режиме запустился.

**mike 1** · 05.02.2015, 10:43

Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
Прикрепите этот отчет в вашей теме.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**ququruza** · 05.02.2015, 12:11

Логи сделал.
Дополнительно.
С помощью BootLogXP выявил, что (скорее всего) окошко во время загрузки показывает:
C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDSGBugRpt.e xe
Лог BootLogXP нужен?

**mike 1** · 05.02.2015, 16:19

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Уведомление

Скрипт выполняйте в безопасном режиме!

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
(百度在线网络技术(北京)有限公司) C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe
AppInit_DLLs: c:\progra~1\movies~1\datamngr\mgrldr.dll => c:\progra~1\movies~1\datamngr\mgrldr.dll File Not Found
HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll <===== ATTENTION
URLSearchHook: HKU\S-1-5-21-1229272821-1123561945-682003330-500 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} -  No File
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2102} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=113&systemid=102&v=a11465-234&apn_uid=1007707301264359&apn_dtid=BND102&o=APN10646&apn_ptnrs=AG7&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=362&systemid=406&v=u11551-234&apn_uid=1007707301264359&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
BHO: No Name -> {251ef57c-0612-478c-978e-c86d3879caa4} ->  No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM - No Name - {251ef57c-0612-478c-978e-c86d3879caa4} -  No File
Toolbar: HKU\S-1-5-21-1229272821-1123561945-682003330-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1229272821-1123561945-682003330-500 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
FF Extension: Site Navigation - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2014-10-11]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path
CHR HKLM\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - No Path
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path
R2 BDSGRTP; C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe [1940072 2014-12-04] (百度在线网络技术(北京)有限公司)
R1 bd0001; C:\WINDOWS\System32\DRIVERS\bd0001.sys [73032 2014-10-17] (Baidu)
R1 bd0004; C:\WINDOWS\System32\DRIVERS\bd0004.sys [185672 2014-12-03] (Baidu)
R2 BDArKit; C:\WINDOWS\System32\DRIVERS\BDArKit.sys [145224 2014-12-26] (Baidu Technology)
R1 BDMWrench; C:\WINDOWS\System32\DRIVERS\BDMWrench.sys [253000 2015-01-19] (Baidu)
R2 BDSafeBrowser; C:\WINDOWS\System32\DRIVERS\BDSafeBrowser.sys [67656 2014-12-02] (Baidu)
S3 45876ED28C031484; \??\c:\documents and settings\admin\local settings\temp\22215DF060.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
2015-01-08 18:16 - 2015-01-19 19:26 - 00253000 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDMWrench.sys
2015-01-08 17:21 - 2014-12-26 21:08 - 00145224 _____ (Baidu Technology) C:\WINDOWS\system32\Drivers\BDArKit.sys
2015-01-08 17:21 - 2014-10-17 16:08 - 00073032 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0001.sys
2015-02-02 07:13 - 2014-10-10 22:43 - 00000000 ____D () C:\Program Files\ШоппингГид
2015-02-02 07:12 - 2014-02-24 09:40 - 00000000 ____D () C:\Program Files\PC Performer
2015-02-02 07:08 - 2013-12-22 18:49 - 00000000 ____D () C:\Program Files\BonanzaDeals
2015-02-02 06:51 - 2014-10-10 22:45 - 00000000 ____D () C:\Documents and Settings\Admin\Local Settings\Application Data\storegid
2015-02-02 06:50 - 2014-11-21 21:51 - 00000000 ____D () C:\Documents and Settings\Admin\Application Data\VOPackage
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

**ququruza** · 05.02.2015, 17:44

Сделал.
Окно во время загрузки осталось.

**mike 1** · 05.02.2015, 22:19

Boot Mode: Normal

Вот для кого это писалось?

Уведомление

Скрипт выполняйте в безопасном режиме!

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**ququruza** · 05.02.2015, 22:50

Вот для кого это писалось?

Не стало работать в безопасном. После запуска программа не подавала признаков работы. Подождал минут 15 и закрыл ее. В файле Fixlog.txt после раздела "Content of fixlist:" строчка: Error и типа в безопасном не работаю и все.

Удалил в AdwCleaner всё.
Дурацкое окно перед входом в систему осталось.

**mike 1** · 06.02.2015, 11:31

Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
Прикрепите эти отчеты в вашей теме.

**ququruza** · 06.02.2015, 17:46

Сделал.
То непонятное окно во время загрузки (до входа в систему) сейчас не появляется.
Сейчас во время загрузки, уже при появлении рабочего стола, быстро промелькивает какое-то окно, можно заметить только рамку и то не всегда.

**mike 1** · 06.02.2015, 18:36

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
C:\Documents and Settings\LocalService\Application Data\Baidu
C:\Program Files\BaiduEx
C:\Documents and Settings\All Users\ntuser.pol
23.12.2014 10:18:22 --D----- C:\Program Files\BaiduSd2.1
02.12.2014 21:11:57 --D----- C:\Program Files\BaiduSd3.0
Reg:
[HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Admin\Мои документы\Downloads\CodecPerformerSetup.exe"=-
"C:\Documents and Settings\Admin\Local Settings\Temp\ibtmpd366498\ZulaGamesSetup"=-
"C:\Documents and Settings\Admin\Local Settings\Temp\ibtmpd366498\PCPerformerSetup"=-
"C:\Documents and Settings\Admin\Local Settings\Temp\ibtmpd366498\SpeedanAlysisSetup"=-
"C:\Documents and Settings\Admin\Local Settings\Temp\ibtmpd366498\MatroskaSplitterSetup"=-
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

- - - - -Добавлено - - - - -

+ Установите Internet Explorer 8 (даже если им не пользуетесь)

**ququruza** · 06.02.2015, 22:19

Все сделал.
Заявленные проблемы больше не наблюдаются.
Спасибо за помощь!

**mike 1** · 07.02.2015, 11:54

Fixlog.txt прикрепите

**ququruza** · 07.02.2015, 14:37

Блин, какой же я балбес!
На радостях ночью все поудалял и корзину почистил.
Прошу прошения.

**mike 1** · 08.02.2015, 01:13

Еще раз тогда SIT логи сделайте.

**ququruza** · 08.02.2015, 09:42

Сделал.

**mike 1** · 08.02.2015, 16:19

Все выписываем.

Скачайте DelFix и сохраните утилиту на Рабочем столе
Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
Нажмите на кнопку Run

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера

**ququruza** · 08.02.2015, 19:03

Все сделал.
Спасибо Вам, доктор, за помощь!

Помогите вычистить зловред (заявка № 176517)

Опции темы