Добрый день
На ноутбуке прописался baidu и еще какой то вирус, при запуске IE любая новая вкладка - реклама, в хроме любая ссылка - реклама, стартуют все браузеры с сайта 10kanal.org, а дальше редирект.
Помогите пожалуйста, файлы с логами прелагаю
Добрый день
На ноутбуке прописался baidu и еще какой то вирус, при запуске IE любая новая вкладка - реклама, в хроме любая ссылка - реклама, стартуют все браузеры с сайта 10kanal.org, а дальше редирект.
Помогите пожалуйста, файлы с логами прелагаю
Уважаемый(ая) [B]SergeyGol[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Fin\AppData\Local\Microsoft\Windows\toolbar.exe','');
QuarantineFile('C:\Users\Fin\AppData\Local\PriceMeter\pricemeterw.exe','');
QuarantineFile('C:\Users\Fin\AppData\Local\PriceMeter\TEMP\pricemeter.exe','');
QuarantineFile('C:\Users\Fin\AppData\Local\PriceMeter\pricemeterd.exe','');
QuarantineFile('C:\Users\Fin\AppData\Roaming\newSI_619\s_inst.exe','');
QuarantineFile('C:\Users\Fin\AppData\Roaming\newSI_611\s_inst.exe','');
DelBHO('{0D5F364D-D6A9-43C1-BF0C-99B378972C5B}');
DelBHO('{1B084C86-9657-42F9-A5E5-AC8DD832CDE9}');
QuarantineFile('C:\Users\Fin\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Fin\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys','');
DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64');
DeleteService('BDEnhanceBoost');
DeleteService('bd0002');
SetServiceStart('BDSafeBrowser', 4);
DeleteService('BDSafeBrowser');
SetServiceStart('BDMWrench', 4);
DeleteService('BDMWrench');
SetServiceStart('BDArKit', 4);
DeleteService('BDArKit');
SetServiceStart('bd0004', 4);
DeleteService('bd0004');
SetServiceStart('bd0001', 4);
DeleteService('bd0001');
SetServiceStart('BDSGRTP', 4);
DeleteService('BDSGRTP');
QuarantineFile('C:\Program Files (x86)\Speed Test\ButtonSite.dll','');
QuarantineFile('C:\Program Files (x86)\Free Games\ScriptHost.dll','');
QuarantineFile('C:\Program Files (x86)\Free Games\ButtonSite.dll','');
TerminateProcessByName('c:\program files (x86)\baidu\baidus.exe');
TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.521\baiduprotect.exe');
TerminateProcessByName('c:\program files (x86)\speed test\backgroundhost.exe');
QuarantineFile('c:\program files (x86)\speed test\backgroundhost.exe','');
TerminateProcessByName('c:\program files (x86)\free games\backgroundhost.exe');
QuarantineFile('c:\program files (x86)\free games\backgroundhost.exe','');
DeleteFile('c:\program files (x86)\free games\backgroundhost.exe','32');
DeleteFile('c:\program files (x86)\speed test\backgroundhost.exe','32');
DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.521\baiduprotect.exe','32');
DeleteFile('c:\program files (x86)\baidu\baidus.exe','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\ad.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDKitUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDLogicUtils.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDMNet.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDMReport.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\DriverManager.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\plugins\BaiduRepair.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\plugins\HIPS.dll','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\SafeBrowserDll.dll','32');
DeleteFile('C:\Program Files (x86)\Free Games\ButtonSite.dll','32');
DeleteFile('C:\Program Files (x86)\Free Games\ScriptHost.dll','32');
DeleteFile('C:\Program Files (x86)\Speed Test\ButtonSite.dll','32');
DeleteFile('C:\Program Files (x86)\Speed Test\ScriptHost.dll','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
DeleteFile('C:\Windows\System32\Drivers\BDArKit.SYS','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32');
DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BaiduProtect.exe','32');
DeleteFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys','32');
DeleteFile('C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdTray.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduSdTray');
DeleteFile('C:\Program Files (x86)\baidu\baidus.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
DeleteFile('C:\Users\Fin\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Fin\AppData\Local\Amigo\Application\ok.exe','32');
DeleteFile('C:\Users\Fin\AppData\Local\Amigo\Application\vk.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
DeleteFile('C:\Users\Fin\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Fin\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Fin\AppData\Roaming\newSI_611\s_inst.exe','32');
DeleteFile('C:\Users\Fin\AppData\Roaming\newSI_619\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_611.job','64');
DeleteFile('C:\Windows\Tasks\newSI_619.job','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_611','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_619','64');
DeleteFile('C:\Users\Fin\AppData\Local\PriceMeter\pricemeterd.exe','32');
DeleteFile('C:\Users\Fin\AppData\Local\PriceMeter\TEMP\pricemeter.exe','32');
DeleteFile('C:\Users\Fin\AppData\Local\PriceMeter\pricemeterw.exe','32');
DeleteFile('C:\Users\Fin\AppData\Local\Microsoft\Windows\toolbar.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
DeleteFile('C:\Windows\system32\Tasks\pricemeterwatcher','64');
DeleteFile('C:\Windows\system32\Tasks\pricemetertask','64');
DeleteFile('C:\Windows\system32\Tasks\pricemeterdownloader','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowserLnk[/url]
Спасибо за помощь. Часть вирусов ушла, но небольшие рекламные сообщения стилизованные под сообщения ICQ остались.
Карантин загрузил.
AVZ обновил и сделал новые логи. + Логи check_browsers_lnk
RIST выдает ошибку( антивирус и фаервол отключены)
Посмотрите пожалуйста.
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\free games\scripthost.dll - [B]not-a-virus:WebToolbar.Win32.Agent.bcu[/B][/LIST][/LIST]