Printable View
Не успели мы долечить, как вирус опять тут как тут. У меня опять появились все файлы этого вируса. Есть одно подозрение: для он-лайн отчетности я использую ключ (флешка). Вот она несколько дней вставлена в компьютер. Может оттуда лезет вирус? Второе подозрение - диск Е:. Там у меня вставлена SD-карта. Может эти штуки тоже как-то проверить? Вот только бы ключ не убить для отчетности.
Выполняйте пока предыдущий скрипт. Включите контроль учетных записей UAC. Антивирус Касперского переведите в интерактивный режим принятия решений.
[QUOTE=mike 1;1143387]Включите контроль учетных записей UAC. [/QUOTE]
А это что такое и как делается?
[QUOTE=masterdobra;1143396]А это что такое и как делается?[/QUOTE]
[url]http://windows.microsoft.com/ru-ru/windows/turn-user-account-control-on-off#1TC=windows-7[/url]
Готово: [url]https://yadi.sk/i/TpSWXuEJYmCg5[/url]
Все настроил по-максимуму
Это c:\program files (x86)\GSInput\3.0.1.0512\uninst.exe деинсталлируйте
Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С. [/B][/COLOR]
[code]
KillAll::
File::
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\360sd_7654_9514.exe
c:\windows\qhws_7654_9514.exe
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\BDMNetMon.sys
c:\windows\system32\drivers\bd0002.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\ucbrowser_7654_9514.exe
c:\windows\bdws_1454_7654_9514.exe
c:\windows\Tasks\UCBrowserUpdater{f55be20babdf363bc043f47e776f1d97}.job
c:\program files (x86)\UCBrowser\update_task.exe
Driver::
360Hvm
360AntiHacker
360Box64
360Camera
360FsFlt
360netmon
BAPIDRV
bd0001
bd0002
bd0003
bd0004
BDArKit
BDKVRTP
BDMNetMon
BDMRTP
BDSGRTP
UCBrowserSvc
ZhuDongFangYu
Folder::
c:\users\SAM\AppData\Roaming\360mobilemgr
c:\users\SAM\AppData\Roaming\Baidu
c:\users\SAM\AppData\Roaming\360safe
C:\$360Section
c:\programdata\360safe
c:\program files (x86)\UCBrowser
c:\program files (x86)\Common Files\Baidu
c:\programdata\baidu
c:\program files (x86)\Baidu
c:\users\SAM\AppData\Roaming\ahelper
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{CC00F81D-5262-450A-B1FA-D6BEE3406263}]
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
готово: [url]https://yadi.sk/i/TpSWXuEJYmCg5[/url]
Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С. [/B][/COLOR]
[code]
KillAll::
File::
c:\windows\gswb_1454_7654_9514.exe
Driver::
Folder::
c:\program files (x86)\Common Files\GSInput
c:\program files (x86)\360
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"360Safetray"=-
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Готово: [url]https://yadi.sk/i/TpSWXuEJYmCg5[/url]
Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С. [/B][/COLOR]
[code]
KillAll::
File::
c:\windows\bdsd_1454_7654_9514.exe
c:\windows\system32\drivers\360LanProtect.sys
c:\windows\system32\drivers\360FsFlt.sys
c:\windows\system32\drivers\BAPIDRV64.SYS
c:\windows\system32\drivers\360Hvm64.sys
c:\windows\system32\drivers\360Camera64.sys
c:\windows\system32\drivers\360AntiHacker64.sys
c:\windows\system32\drivers\360Box64.sys
c:\windows\SysWow64\360SoftMgr.cpl
c:\windows\system32\drivers\360netmon.sys
c:\windows\qhse_7654_9514.exe
Driver::
Folder::
c:\users\SAM\AppData\Roaming\360safe
C:\360SANDBOX
c:\program files (x86)\360
Registry::
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
готово: [url]https://yadi.sk/i/TpSWXuEJYmCg5[/url]
Запустите редактор реестра, [url=http://ipmnet.ru/~sadilina/Windows/240.html]верните права на ветку[/url] реестра:
[B][HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall]
[/B]
Потом удалите параметр [B]U*C*OmИ‰hV[/B].
Сделайте новый лог Combofix.
[QUOTE=mike 1;1143926]Запустите редактор реестра, [url=http://ipmnet.ru/~sadilina/Windows/240.html]верните права на ветку[/url] реестра:
[B][HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall]
[/B]
Потом удалите параметр [B]U*C*OmИ‰hV[/B].
Сделайте новый лог Combofix.[/QUOTE]
Попробовал права в реестре поставить. У меня там все серое, но галочка в Полных правах стоит. Серое убрать не удалось даже поставив Владельцем другого пользователя.
И вопрос: что это за параметр, откуда его нужно удалить. Если по той же ветке, то я такого параметра там вообще не вижу
Сделайте скриншот этой ветки реестра
[QUOTE][HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Windows\CurrentVersion\Uninstall][/QUOTE]
Скрин по ссылке: [url]https://yadi.sk/i/UXQHHZyTYz83H[/url]
Вирус появился вновь в полном составе. Причем еще в языковой панели постоянно прописывает китайский язык по умолчанию. После удаления, язык опять появляется там.
[QUOTE]Вирус появился вновь в полном составе. Причем еще в языковой панели постоянно прописывает китайский язык по умолчанию. После удаления, язык опять появляется там.[/QUOTE]
Значит какой-то из недавно установленного софта подгружает вам китайский антивирус. Какой софт был недавно установлен на этом компьютере?
[QUOTE=mike 1;1144352]Значит какой-то из недавно установленного софта подгружает вам китайский антивирус. Какой софт был недавно установлен на этом компьютере?[/QUOTE]
да честно говоря все то не вспомню, не много.
но из последнего перед тем, как появился вирус устанавливал x-lite.
Возможно есть способ проверить последние даты установки программ. Если да, подскажите, пожалуйста, как это сделать?
[QUOTE=masterdobra;1144356]да честно говоря все то не вспомню, не много.
но из последнего перед тем, как появился вирус устанавливал x-lite.
Возможно есть способ проверить последние даты установки программ. Если да, подскажите, пожалуйста, как это сделать?[/QUOTE]
Да это похоже на правду. Временно деинсталлируйте эту программу. Потом сделайте новый лог Combofix.
Готово. Программу удалил. Логи: [url]https://yadi.sk/i/TpSWXuEJYmCg5[/url]
Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С. [/B][/COLOR]
[code]
KillAll::
File::
c:\windows\SysWow64\gswb.ime
c:\windows\system32\gswb.ime
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\360LanProtect.sys
c:\windows\system32\drivers\360FsFlt.sys
c:\windows\system32\drivers\BAPIDRV64.SYS
c:\windows\system32\drivers\360Hvm64.sys
c:\windows\system32\drivers\360AntiHacker64.sys
c:\windows\system32\drivers\360Camera64.sys
c:\windows\system32\drivers\360Box64.sys
c:\windows\SysWow64\360SoftMgr.cpl
c:\windows\system32\drivers\360netmon.sys
c:\windows\gswb_1454_7654_9514.exe
c:\windows\360sd_7654_9514.exe
c:\windows\bdsd_1454_7654_9514.exe
c:\windows\qhse_7654_9514.exe
c:\windows\qhws_7654_9514.exe
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\BDMNetMon.sys
c:\windows\system32\drivers\bd0002.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\ucbrowser_7654_9514.exe
c:\windows\bdws_1454_7654_9514.exe
c:\windows\Tasks\UCBrowserUpdater{f55be20babdf363bc043f47e776f1d97}.job
Driver::
360Hvm
360AntiHacker
360Box64
360Camera
360FsFlt
360netmon
BAPIDRV
bd0001
bd0002
bd0003
bd0004
BDArKit
BDKVRTP
BDMNetMon
BDMRTP
BDSGRTP
UCBrowserSvc
ZhuDongFangYu
Folder::
c:\users\SAM\AppData\Roaming\360safe
c:\users\SAM\AppData\Roaming\Baidu
c:\programdata\360safe
c:\program files (x86)\Common Files\GSInput
c:\program files (x86)\GSInput
C:\360SANDBOX
c:\program files (x86)\360
c:\program files (x86)\UCBrowser
c:\program files (x86)\Common Files\Baidu
c:\programdata\baidu
c:\program files (x86)\Baidu
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BaiduAnTray"=-
"360Safetray"=-
"BaiduSdTray"=-
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.