Добрый день.
Снова коллега полазила там, где не надо, в поисках готового реферата для ребёнка, подхватила какую-то заразу, при открытии любой странички в инете открывался сайт mvd.ru. Никакие другие страницы не открывались. Утилитой куреит прогнал, нашел 17 зараженных файлов, вылечил их, заодно и удалил какие-то китайские программы. Увидел, что вирус отредактировал hosts, сохранив первоначальный с расширением *.bak. Посоветуйте, что нужно сделать, чтобы убрать сию заразу.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Lakysja, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите в HiJack
Amigo удалите через Установку программO17 - HKLM\System\CCS\Services\Tcpip\..\{373B6D08-CC58-4A20-85FE-4B1CC8770E9C}: NameServer = 131.72.136.87,198.23.250.135,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{373B6D08-CC58-4A20-85FE-4B1CC8770E9C}: NameServer = 131.72.136.87,198.23.250.135,8.8.8.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{373B6D08-CC58-4A20-85FE-4B1CC8770E9C}: NameServer = 131.72.136.87,198.23.250.135,8.8.8.8
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); DelBHO('{9BFBA68E-E21B-458E-AE12-FE85E903D2C0}'); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); DelBHO('{09900DE8-1DCA-443F-9243-26FF581438AF}'); DeleteFile('C:\Documents and Settings\Ученик\Local Settings\Application Data\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Documents and Settings\Ученик\Local Settings\Application Data\Amigo\Application\go_internet.exe','32'); DeleteFile('C:\Documents and Settings\Ученик\Local Settings\Application Data\Amigo\Application\ok.exe','32'); DeleteFile('C:\Documents and Settings\Ученик\Local Settings\Application Data\Amigo\Application\vk.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll'); BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe'); BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\BDDefense.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\BDEnhanceBoost.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys'); BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe'); BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMNetMon.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDAntiExp.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys'); BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys'); BC_DeleteSvc('BaiduHips'); BC_DeleteSvc('BDMRTP'); BC_DeleteSvc('BDDefense'); BC_DeleteSvc('BDEnhanceBoost'); BC_DeleteSvc('BDMWrench'); BC_DeleteSvc('bd0001'); BC_DeleteSvc('bd0002'); BC_DeleteSvc('BDAntiExp'); BC_DeleteSvc('BDArKit'); BC_DeleteSvc('BDMNetMon'); BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано. Однако, файл с карантином в AVZ не создается.
З.Ы. Кстати, после этих манипуляций все заработало.
Папку c:\documents and settings\LocalService\Application Data\Baidu удалите
Что в папках?
c:\documents and settings\LocalService\Application Data\Tencent
c:\documents and settings\Ученик\Local Settings\Application Data\Uran
c:\documents and settings\Ученик\Local Settings\Application Data\PlayFree Browser
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
LocalService вообще не нашел, а в остальных двух папках одинаково: UserData\Default\PreferencesСообщение от thyrex
UserData\Default\extensions\ckcmdpmhiekiihmfjffdeh hbhgllpapg\12.19_0\куча папок и файлов
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: c:\documents and settings\LocalService\Application Data\Tencent c:\documents and settings\LocalService\Application Data\Baidu c:\documents and settings\Ученик\LocalService\Application Data\Tencent c:\documents and settings\Ученик\LocalService\Application Data\Baidu c:\documents and settings\Ученик\Local Settings\Application Data\Uran c:\documents and settings\Ученик\Local Settings\Application Data\PlayFree Browser Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ваши права в разделе
Ответить с цитированием
