-
Junior Member
- Вес репутации
- 35
Помогите с BAIDU
ребенок скачал и установил игрушку и вместе с ней пролезло куча всякой нечисти ( заблокированы USB порты с сзади, при включенном любом устройстве в тыльный USB , комп вообще не запускается !!). Сканы прилагаю...
Если поможет - так лечили комп его друга (соседа) -
http://virusinfo.info/showthread.php?t=169562
Последний раз редактировалось Sanyaba77; 29.10.2014 в 17:39.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Sanyaba77, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files (x86)\common files\baidu\bddownload\107\bddownloader.exe');
BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.593\baiduprotect.exe');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\7z.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\ad.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\BDMDownload.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\BDMNet.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\BDMReport.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\DriverManager.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\dynplugins\AssistReportPlugin.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\dynplugins\FileUpdatePlugin.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\plugins\BaiduRepair.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\plugins\HIPS.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.593\SafeBrowserDll.dll');
BC_DeleteFile('C:\program files (x86)\common files\baidu\bddownload\107\bdcomproxy.dll');
BC_DeleteFile('C:\program files (x86)\common files\baidu\bddownload\107\dl.dll');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yamdex.net/?zm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a7df35646451ba1ec2f3106c93d7505a&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a7df35646451ba1ec2f3106c93d7505a&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a7df35646451ba1ec2f3106c93d7505a&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a7df35646451ba1ec2f3106c93d7505a&text=
O3 - Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=a7df35646451ba1ec2f3106c93d7505a&text=
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 35
-
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\bd0001_1.sys
c:\programdata\help.bat
Driver::
Folder::
c:\users\PK\AppData\Roaming\sHSJqa8jmDTC
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 35
Не уверен критично ли, но сканы с АВЗ и HiJackThis, сделаны до проверки ComboFix.
Скрипт и отчет сделаю завтра.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 35
Доброго времени суток.Отчет, и перед перезагрузкой выскакивали предупреждения.Вложение 506723
-
Если файлы
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\bd0001_1.sys
c:\programdata\help.bat
еще есть в системе, удалите их вручную
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 35
Уже ))) спасибо! И Из реестра тоже удалил через лив сиди.
Как я понимаю тема закрыта?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 35
Премного благодарен!!!! Удачи Вам во всех начинаниях !!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-