Китайский вирус

Доброго времени суток!
25.11.2014 скачал утилиту для жесткого диска - Victoria с фейкового сайта(источник сайта могу в ПМ написать). Изначально было написано, что данная версия распространяется в формате .ISO. Скачал архив, внутри него был еще архив, внутри архива exe-шник, иконка которого была замаскирована под архив, данный exe-шный файл по поведению был очень похож самораспаковывающийся архив, файлы которого необходимо было извлечь. Извлек их на флеш-накопитель. И тут как оказалось "хитрец" начал устанавливать стороннее ПО, сразу несколько штук подряд. На рабочем столе появились ярлыки Амиго, Вконтакте, Одноклассники и кракозябры, не отображающиеся корректно в моей ОС. Вот они: (百度 1.3.1.157, 百度卫士 3.0.0.3971, 百度杀毒 2.1.0.386).
Файл-вирус в архиве у меня сохранен на рабочем столе. После установки сторонних программ начал открываться Google Grome, установленный у меня в качестве браузера по умолчанию. Открывался он несколько раз. В трее об изменениях в автозугрузке меня оповещала, установленная ранее мной на ноутбук Kerish Doctor. Сразу поняв, что мой компьютер заражен, я запустил Malwarebytes Anti-malware, обновил базы, и поставил в режим защиты. Malwarebyres блокировал доступ стороннего ПО, в трее отображался IP-адрес, начинающийся по-моему на 222. Скачал с компьютера соседа CureIT и проверил мой ноутбук в безопасном режиме. Нашло 6 угроз. Trojan.Baidu.45, Trojan.Baidu.40, Trojan.Baidu.42, Trojan.Downloader11.45917 и файл HOSTS был модифицирован. Потом AVPTool и прошелся им также в safe-mode. Обнаружил, что на диске С появились скрытые файлы iexplore.bat и iexplore.bat.exe. Ярлыки для браузеров также модифицированы, на хроме в свойствах можно увидеть: "C:\Program Files\Google\chrome.bat" "http://wassearch.ru". На рабочем столе на данный момент окошко вредоносной программы преимущественно зелено-белового цвета, оно отображается поверх всех окон. В трее иконка голубого щита с белым кантиком. Переодически выскакивают окна с кракозябрами. Я их не трогаю. Сижу сейчас в Maxthone Cloud portable.
Прошу, помогите, пожалуйста уничтожить и избавиться от данной траблы.
Вот мои логи:

Уважаемый(ая) [B]lolocik[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Вот результат анализа исходника в архивах:
[URL="https://www.virustotal.com/ru/file/9318369c692dbe3ae20f3b72d7523cec9bd02754b4c903d8402bccbc6199132e/analysis/1417052685/"]virustotal.com[/URL]
Вот, что в автозагрузке на данный момент:

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll','32');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\iexplore.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe" -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe" -stmd=3
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
O18 - Protocol: grooveLocalGWS - (no CLSID) - (no file)


[/CODE]

[LIST=1][*]Скачайте [b][url=http://virusinfo.info/soft/tool.php?tool=FixerBro]FixerBro by glax 24[/url][/b] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]FixerBro[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы нажмите на кнопку [B]"Проверить"[/B][*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\FixerBro[/COLOR][/B] (лог в формате [b]FixerBro_yyyymmdd.txt[/b])[*]По окончанию сканирования нажмите на кнопку "[b]Отчет[/b]".[*]Сохраните лог утилиты[*]Прикрепите сохраненный отчет в вашей теме.[/LIST]

Скачайте ComboFix [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]здесь[/url] и сохраните в корень диска С.

1. [color=red]Внимание![/color] Обязательно закройте все браузеры, [URL="http://virusinfo.info/showthread.php?t=130828"]временно выключите антивирус, firewall и другое защитное программное обеспечение[/URL]. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите [b]combofix.exe[/b], когда процесс завершится, скопируйте текст из [b]C:\ComboFix.txt[/b] и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

[QUOTE=mike 1;1193654][B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll','32');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\iexplore.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]
[/QUOTE]
Выполнил, в последствие чего не вижу интерфейса, только пустой синий экран и курсор. Несколько минут видел данную картину, после чего выскачил BSOD netbt.sys. Нажал на кнопку выключения и включил ноутбук. Интерфейс появился.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=mike 1;1193654]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[/QUOTE]
Вне смущения проделывать этот пункт?

[QUOTE]Вне смущения проделывать этот пункт?[/QUOTE]
Делайте

Результат загрузки

Файл сохранён как 141127_103811_virus_5476ff134a23c.zip
Размер файла 2397
MD5 5ca5d5a221ea9e77de320eb6ebdc9d16
Файл закачан, спасибо!

Делаю пункты далее...

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=mike 1;1193654]
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe" -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe" -stmd=3
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=00d22e5cb0f6280a143cf66abb375af8&text=
O18 - Protocol: grooveLocalGWS - (no CLSID) - (no file)
[/CODE]
[/QUOTE]
3 строки не пофиксились, появляются при скане снова:
[CODE]
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe" -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe" -stmd=3
O18 - Protocol: grooveLocalGWS - (no CLSID) - (no file)
[/CODE]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Лог FixerBro:

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Запустил комбо ComboFix, после чего он начал свое выполнение, я отошел в этот момент, пришел - окошка нету, по указанному пути: C:\ComboFix.txt данного txt не нахожу... Также заметил появление иконки 32788R22FWJFW в виде компьютера в корне диска С. Ага, что-то еще выполняется, появилось окно консоли...

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Если ComboFix предложит установить Rеcоvеry Cоnsоlе (консоль восстановления), то согласиться или отвергнуть? Подтвердил, ожидаю...

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Все еще происходит сканирование ComboFix .... 50 этапов прошло, сейчас на стадии Deleting Folders уже несколько часов, при этом прога видимо убила explorer, пустой рабочий стол и меню консоли.

[QUOTE]при этом прога видимо убила explorer, пустой рабочий стол и меню консоли.[/QUOTE]
Компьютер должен уйти на перезагрузку, а после этого он сформирует свой отчет.

[QUOTE=mike 1;1193790]Компьютер должен уйти на перезагрузку, а после этого он сформирует свой отчет.[/QUOTE]
Ок, значит, ждем дальше.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

До сих пор сканируется на одном и том же месте, в консоли новые строки не появлялись.

Попробуйте сделать лог Combofix из безопасного режима.

Лог Combofix:

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Да, обнаружил вот еще что, если в поле "Выполнить" меню "Пуск" ввести "[B]msconfig[/B]" далее перейти во вкладку "службы", поставить галочку в чекбоксе "Не отображать службы Майкрософт", выделив службы и попытаться отключить, после нажатия на кнопку "Применить" было выведено сообщение: "[I]Отказано в доступе при попытке изменения службы. Для восстановления данного действия необходимо войти в систему с учетной записью администратора.[/I]". Перезагрузился, вошел и заметил, что те чекбоксы, которые я убрал, все-таки убрались, но сообщение "Отказано в доступе при попытке изменения службы. Для восстановления данного действия необходимо войти в систему с учетной записью администратора." по-прежнему выводится.

Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
KillAll::

File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\drivers\BDDefense.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0002.sys
C:\iехplоrе.bаt.exe
c:\windows\system32\DRIVERS\BDAntiExp.sys

Driver::
bd0003
bd0004
BDAntiExp
BDEnhanceBoost
BDMWrench
BaiduHips
BDArKit
BDDefense
BDKVRTP
BDMNetMon
BDMRTP
BDSafeBrowser

Folder::
c:\documents and settings\Igor\Application Data\Baidu
c:\documents and settings\LocalService\Application Data\Baidu
c:\documents and settings\All Users\Application Data\Baidu
c:\program files\Common Files\Baidu
c:\program files\Baidu

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSdSvc.exe"=-
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSd.exe"=-
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSdUpdate.exe"=-
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSdBugRpt.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAnSvc.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAn.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAnUpdate.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAnBugRpt.exe"=-
"c:\\Documents and Settings\\Igor\\AppData\\Local\\Baidu\\Baidu\\1.3.1.157\\BaiduUpdate.exe"=-
"c:\\Documents and Settings\\Igor\\AppData\\Local\\Baidu\\Baidu\\1.3.1.157\\BaiduBugRpt.exe"=-

FileLook::

DirLook::

Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Логи ComboFix'oм удается проделать только в безопасном режиме ибо в обычном как-то "криво" работает. Сначала загрузился в простом безопасном, потом выставил приоритет безопасный с поддержкой сетевых драйверов, отчет создался, прилагаю его.
Лог ComboFix:

Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
KillAll::

File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\drivers\BDDefense.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0002.sys
C:\iехplоrе.bаt.exe
c:\windows\system32\DRIVERS\BDAntiExp.sys

Driver::

Folder::
c:\program files\BaiduEx

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BDMRTP"=-
"BDKVRTP"=-
"BaiduHips"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"baidusdTray"=-
"BaiduAnTray"=-

FileLook::

DirLook::

Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Сделал, лог прилагаю:

Удалите вручную эти файлы:

[CODE]c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\drivers\BDDefense.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0002.sys
C:\iехplоrе.bаt.exe
c:\windows\system32\DRIVERS\BDAntiExp.sys[/CODE]

Что с проблемой?

Стало получше. Файлы удалил из предыдущего поста, только
[CODE]c:\windows\system32\DRIVERS\BDAntiExp.sys[/CODE]
по указанному пути данного файла не было.
Ярлыки Амиго, Вконтакте, Одноклассники и кракозябры, не отображающиеся корректно в моей ОС. Вот они: (百度, 百度卫士, 百度杀毒). Присутствуют все еще, но они поврежденные почти все, судя по изображению иконки, Вконтакте и Одноклассники не повреждены.
Ноут при включении стал грузиться дольше на порядок, какбы с запозданием, исчезла панелька управления из трея.
Также показалось, что стало дольше заходить на virusinfo.
Ярлыки браузеров также остались модифицированы.

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Логи:

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
***** [ Файлы / Папки ] *****

Папка Найдено : C:\Documents and Settings\All Users\Главное меню\Программы\Mail.Ru
Папка Найдено : C:\Documents and Settings\Igor\Local Settings\Application Data\Mail.Ru
Папка Найдено : C:\Documents and Settings\Igor\Local Settings\Application Data\MailRu
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Запустите ClearLNK[*]В окно программы скопируйте следующие ярлыки:

[CODE]
C:\Documents and Settings\All Users\Главное меню\Программы\Google Chrome\Gооglе Сhrоmе.lnk
C:\Documents and Settings\All Users\Рабочий стол\Gооglе Сhrоmе.lnk
C:\Documents and Settings\Igor\Главное меню\Программы\Intеrnеt Ехplоrеr.lnk
C:\Documents and Settings\Igor\Главное меню\Программы\Стандартные\Служебные\Intеrnеt Ехplоrеr (без надстроек).lnk
[/CODE]
[*]Нажмите на кнопку "[B]Лечить[/B]" и дождитесь окончания работы утилиты.[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Отчеты:

Что с проблемой?

Ярлыки Амиго, Вконтакте, Одноклассники и кракозябры, не отображающиеся корректно в моей ОС. Вот они: (百度, 百度卫士, 百度杀毒). Присутствуют все еще, но они поврежденные почти все, судя по изображению иконки, Вконтакте и Одноклассники не повреждены. Также в меню пуск, выше перечисленные проги тоже есть.
Ноут при включении стал грузиться дольше на порядок, какбы с запозданием, исчезла языковая панелька из трея.
Наблюдаются тормоза в работе системы.
Еще расширение Info Enhancer for Chrome 1.1, я его не устанавливал, включено.

[QUOTE]Вот они: (百度, 百度卫士, 百度杀毒)[/QUOTE]
Эти можно удалить они от Baidu Antivirus.

[QUOTE]Еще расширение Info Enhancer for Chrome 1.1, я его не устанавливал, [/QUOTE]
Удаляйте его.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1[/img]

Baidu Antivirus те 3 софтины удалить лучше через меню установка/удаление программ в панели управления?
Расширение в хроме удалил.
Логи вот:

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

(百度) при удалении из меню установка и удаление программ высвечивается сине-белое окно там на синем фоне 6 чекбоксов около них иероглифы, на белом фоне 2 кнопки с иероглифами и чекбокс, необходимо что отметить, чтоб полностью удалить?

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в C:\Documents and Settings\Igor\Рабочий стол:
[code]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1708537768-1935655697-1801674531-1003 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - No File
Toolbar: HKU\S-1-5-21-1708537768-1935655697-1801674531-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Handler: grooveLocalGWS - No CLSID Value -
FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File
2014-11-26 05:20 - 2014-11-27 03:32 - 00001796 ____C () C:\Documents and Settings\All Users\Рабочий стол\百度卫士-软件管理.lnk
2014-11-26 05:20 - 2014-11-26 05:20 - 00000897 ____C () C:\Documents and Settings\All Users\Рабочий стол\百度卫士.lnk
2014-11-26 05:20 - 2014-11-26 05:20 - 00000000 ___DC () C:\Documents and Settings\All Users\Главное меню\Программы\百度卫士
2014-11-26 05:18 - 2014-11-26 05:18 - 00000897 ____C () C:\Documents and Settings\All Users\Рабочий стол\百度杀毒.lnk
2014-11-26 05:18 - 2014-11-26 05:18 - 00000000 ___DC () C:\Documents and Settings\All Users\Главное меню\Программы\百度杀毒
百度 (HKLM\...\百度) (Version: 1.3.1.157 - 百度在线网络技术（北京）有限公司)
百度卫士3.0 (HKLM\...\百度卫士) (Version: 3.0.0.3971 - 百度在线网络技术（北京）有限公司)
百度杀毒2.1 (HKLM\...\百度杀毒) (Version: 2.1.0.3086 - 百度在线网络技术（北京）有限公司)
AV: 百度杀毒 (Disabled - Up to date) {0E1F41F2-EA45-46c0-8860-B93C2A890530}
Folder::
C:\cmdcons
C:\temp501t
C:\cmldr
EmptyTemp:
Reboot:[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

На рабочем столе ярлык также Вконтакте [code]"C:\Documents and Settings\Igor\Local Settings\Application Data\Amigo\Application\vk.exe" [url]http://r.mail.ru/n137257923[/url][/code]
И ярлык Одноклассники [code]"C:\Documents and Settings\Igor\Local Settings\Application Data\Amigo\Application\ok.exe" [url]http://r.mail.ru/n137257727[/url][/code]
Амиго ярлык поврежден вот путь [code]"C:\Documents and Settings\Igor\Local Settings\Application Data\Amigo\Application\amigo.exe"[/code]
Лог:

[QUOTE]Амиго ярлык поврежден вот путь[/QUOTE]
Попробуйте пересоздать этот ярлык или если не пользуйтесь Amigo, то деинсталлируйте его.

Амиго создал вирус, сейчас деинсталлирую.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Готово.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Сделать ли полный образ с помощью uVS ?

Что с проблемой?

Ноут при включении стал грузиться дольше на порядок, какбы с запозданием. Наблюдаются тормоза в работе системы. На глаз трудно так сказать, но проявления видимые исчезли, вроде.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Возможно ли это с некорректным завершением ComboFix, когда он работал более 3 часов выключили свет. Или все-таки может что-то не до конца дочищено?

Сделайте новый лог Combofix только из обычного режима.

Пробую, надеюсь в этот раз будет также быстро, как и безопасном режиме. :)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

c 1:28 до 5:14 примерно проверял, но компьютер не перезагрузился после создания отчета, вот лог:

актуально, проблема в силе.

По логам больше плохого не видно.

Деинсталлируйте ComboFix: нажмите [b]Пуск[/b] => [b]Выполнить[/b] в окне наберите команду [b]Combofix /Uninstall[/b], нажмите кнопку "[b]ОК[/b]"

[IMG]http://s16.radikal.ru/i191/1003/6c/671e520b7c2d.jpg[/IMG]

Скачайте [url="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/url], запустите, нажмите [B]Clean up[/B]

готово, стартап очень долгий, долго запускается вай-фай в трее.

[LIST=1][*]Скачайте [url=https://toolslib.net/downloads/finish/2/]DelFix[/url] и сохраните утилиту на [b]Рабочем столе[/b][*]Запустите [b]DelFix[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B][*]Нажмите на кнопку [B]Run[/B][*]После окончания работы программы автоматически откроется блокнот с отчетом [B]delfix.txt[/B][*]Прикрепите этот отчет в вашей теме.[/LIST]

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе. В этом случае выполните следующие действия.
[B]Пуск[/B] - [B]Поиск / Выполнить[/B] - [B]msconfig[/B] - [B]ОК[/B] и перейдите на вкладку [B]Службы[/B]. Установите флажок [B]Не отображать службы Microsoft[/B].
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке [B]Автозагрузка[/B].
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте [URL='http://support.microsoft.com/kb/929135']здесь[/URL].

Dellfix:

[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]

Вроде галочки msconfig'e поубирал все ок стало, показалось, что тормозила компьютер служба NetMeeting Remote Desktop Sharing.
SecurityCheck by glax24: