[ATTACH]497345[/ATTACH][ATTACH]497346[/ATTACH][ATTACH]497347[/ATTACH]
Printable View
[ATTACH]497345[/ATTACH][ATTACH]497346[/ATTACH][ATTACH]497347[/ATTACH]
Уважаемый(ая) [B]Alekc0802[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте! [B]Baidu Antivirus[/B] сами себе устанавливали?
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFileF('C:\supermegabest', '*', true, ' ', 0, 0);
QuarantineFile('C:\supermegabest\run_setup.bat','');
QuarantineFile('C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe.config','');
QuarantineFile('C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe','');
QuarantineFile('C:\Program Files\test\Bind.exe','');
DeleteFile('C:\Program Files\test\Bind.exe','32');
DeleteFile('C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe','32');
DeleteFile('C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe.config','32');
DeleteFile('C:\supermegabest\run_setup.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','test');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','NS3box_DEL');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','SuperMegaBest');
DeleteFileMask('C:\Program Files\test', '*', true, ' ');
DeleteDirectory('C:\Program Files\test');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.megapage.com/?aid=1&sid=4
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410698198&from=smt&uid=ST33000651AS_Z2903PN0XXXXZ2903PN0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410698198&from=smt&uid=ST33000651AS_Z2903PN0XXXXZ2903PN0&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410698198&from=smt&uid=ST33000651AS_Z2903PN0XXXXZ2903PN0&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91892090_hao_pg
O2 - BHO: SSavvEELots - {ED681890-633E-817F-8C91-1E0EBA0FA24F} - (no file)
O4 - HKCU\..\Run: [CMD] cmd.exe /c start http://extendedunlimited.org && exit
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Baidu Antivirus я не устанавливал
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[ATTACH]497351[/ATTACH][ATTACH]497352[/ATTACH]
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
[CODE]
O2 - BHO: SSavvEELots - {ED681890-633E-817F-8C91-1E0EBA0FA24F} - (no file)
O4 - HKCU\..\Run: [test] C:\Program Files\test\Bind.exe
O4 - HKCU\..\Run: [CMD] cmd.exe /c start http://extendedunlimited.org && exit
O4 - HKCU\..\RunOnce: [NS3box_DEL] cmd.exe /c DEL "C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe" "C:\Users\Алёшенька\AppData\Local\Microsoft\Redist\web.vcredist.exe.config"
O4 - HKCU\..\RunOnce: [SuperMegaBest] C:\supermegabest\run_setup.bat
[/CODE]
Сделайте новый лог HiJackThis
Скачайте ComboFix [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]здесь[/url] и сохраните в корень диска С.
1. [color=red]Внимание![/color] Обязательно закройте все браузеры, [URL="http://virusinfo.info/showthread.php?t=130828"]временно выключите антивирус, firewall и другое защитное программное обеспечение[/URL]. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите [b]combofix.exe[/b], когда процесс завершится, скопируйте текст из [b]C:\ComboFix.txt[/b] и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
Где лог Combofix?
а как его вам отправить этот лог Combofix не могли бы по подробнее объяснить
Также как и остальные логи через расширенный режим.
[ATTACH=CONFIG]497406[/ATTACH]
Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
KillAll::
File::
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\drivers\bd0004.sys
c:\users\Алёшенька\AppData\Roaming\MHX.exe
c:\users\Алёшенька\AppData\Roaming\YAXGGLCF.exe
c:\users\Алёшенька\AppData\Roaming\GWBALK.exe
c:\users\Алёшенька\AppData\Roaming\AVZFJ.exe
Driver::
BDSafeBrowser
BDArKit
BDSGRTP
bd0003
bd0004
Folder::
c:\users\Алёшенька\AppData\Roaming\Baidu
c:\program files\Common Files\Baidu
c:\programdata\Baidu
c:\program files\Baidu
c:\users\Алёшенька\AppData\Local\Win_update
c:\users\Алёшенька\AppData\Roaming\extensions
C:\supermegabest
c:\program files\globalUpdate
c:\users\Алёшенька\AppData\Local\globalUpdate
c:\programdata\IePluginServices
c:\programdata\WindowsMangerProtect
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CMD"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CMD]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\test]
FileLook::
c:\windows\system32\drivers\JiH_0ce5285b.sys
c:\users\c:\users\c:\users\c:\users\c:\users\c:\users\c:\windows\system32\svchost.exe
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
[ATTACH=CONFIG]497432[/ATTACH]
[QUOTE]Running from: c:\users\Lы¬°хэ№ър\Downloads\ComboFix.exe
[/QUOTE]
Просили сохранить программу на диск С. Не вижу чтобы выполняли скрипт предложенный в 10 сообщении.
Скажите а где мне сохранить эту программу combofix.exe
и где находиться корень диска С.
Сейчас Combofix находится в папке загрузок, а Combofix нужно сохранить на диск С.
[ATTACH=CONFIG]497638[/ATTACH]
Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
KillAll::
File::
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\drivers\bd0004.sys
c:\users\Алёшенька\AppData\Roaming\MHX.exe
c:\users\Алёшенька\AppData\Roaming\YAXGGLCF.exe
c:\users\Алёшенька\AppData\Roaming\GWBALK.exe
c:\users\Алёшенька\AppData\Roaming\AVZFJ.exe
c:\users\Алёшенька\AppData\Roaming\MHX.exe
c:\users\Алёшенька\AppData\Roaming\MHX.exe
c:\users\Алёшенька\AppData\Roaming\YAXGGLCF.exe
c:\users\Алёшенька\AppData\Roaming\YAXGGLCF.exe
c:\users\Алёшенька\AppData\Roaming\GWBALK.exe
c:\users\Алёшенька\AppData\Roaming\GWBALK.exe
c:\users\Алёшенька\AppData\Roaming\AVZFJ.exe
c:\users\Алёшенька\AppData\Roaming\AVZFJ.exe
Driver::
BDMWrench
Folder::
c:\users\Алёшенька\AppData\Roaming\Baidu
c:\users\Алёшенька\AppData\Local\globalUpdate
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CMD"=-
"test"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"NS3box_DEL"=-
"SuperMegaBest"=-
[-HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk]
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
CFScript Name Error Were you trying to run CFScript? The name CFScript appears to be incorrectly spelt
Имя текстовому файлу задали [B]CFScript.txt[/B]?
[ATTACH=CONFIG]497711[/ATTACH]
Попробуйте скрипт для ComboFix из сообщения №16 выполнить в безопасном режиме