Junior Member
Вес репутации
35
китайские иероглифы в дисптечере задач
Здравствуйте , похожая проблема как и у многих , судя потому что на форумах пишут , иероглифы появились после скачки из плохого источника. удалил через панель управления 2 китайские программы и клинером папку " Байды " воде все удалилось . Однако не все так просто оказалось. Диспетчере задач стоит процес системный с иероглифами пи удалении от туда сам через пар сек появляется.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) pohmelkoff , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\user\appdata\roaming\newsi_2\s_inst.exe','');
QuarantineFile('C:\Users\user\appdata\roaming\newsi_10\s_inst.exe','');
DelBHO('{34b18d78-7d6d-41b9-822d-0851f47d2da8}');
QuarantineFile('C:\Program Files (x86)\mysoftKZ Toolbar\rubar.dll','');
QuarantineFile('C:\Program Files (x86)\Uniblue\DriverScanner\Launcher.exe.bat','');
DeleteFile('C:\Program Files (x86)\Uniblue\DriverScanner\Launcher.exe.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
DeleteFile('C:\Program Files (x86)\mysoftKZ Toolbar\rubar.dll','32');
DeleteFile('C:\Users\user\appdata\roaming\newsi_10\s_inst.exe','32');
DeleteFile('C:\Users\user\appdata\roaming\newsi_2\s_inst.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe');
BC_DeleteFile('c:\program files (x86)\rising\rzc\rsdefense.exe');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\cnt09.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\comx3.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\defmon.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\moncomm.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\mondrv.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\MonRule.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\proccomm.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\rscfg.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\rscom.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\rscombas.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\rslog.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\rssqlite.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\rsxml3w.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\selfmon.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\sysmon_if.dll');
BC_DeleteFile('C:\Program Files (x86)\Rising\RZC\rsDefense.exe');
BC_DeleteSvc('Defense');
BC_DeleteSvc('BDAntiExp');
BC_DeleteSvc('BDEnhanceBoost');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys');
BC_DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys');
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте такой лог
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
запрещенный скинул
вот AVZ
- - - - -Добавлено - - - - -
файл комбо
Вложения
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3511661e6ea4ef6c2b977d542110a11a&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://inca.im/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3511661e6ea4ef6c2b977d542110a11a&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?tpid=SPCV7&o=APN10951&pf=V7&trgb=IE&p2=%5EB20%5Ezzz023%5EYY%5EUA&gct=hp&apn_ptnrs=%5EB20&apn_dtid=%5Ezzz023%5EYY%5EUA&apn_dbr=iexplore.exe_6_10.0.9200.16720&apn_uid=A6C8AEE1-6E74-4DC9-800A-1263DDA7814F&itbv=12.6.0.1685&doi=2013-11-05&psv=&pt=tb
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.igropark.ru/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3511661e6ea4ef6c2b977d542110a11a&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=3511661e6ea4ef6c2b977d542110a11a&text=
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: Sopcast Toolbar - {53504356-3700-A76A-76A7-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\SPCV7\Passport.dll" (file missing)
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\BindEx.exe
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
c:\windows\system32\drivers\bd0001_1.sys
c:\windows\system32\drivers\bd0001.sys_
c:\windows\system32\drivers\rsndisp.sys.000
c:\windows\system32\drivers\rsutils.sys.000
c:\windows\system32\drivers\sysmon.sys.000
Driver::
sysmon
BDAntiExp
BDEnhanceBoost
rsutils
Defense
Folder::
C:\found.000
c:\users\user\AppData\Roaming\Tencent
c:\programdata\Tencent
c:\users\user\AppData\Local\Baidu
c:\windows\SysWow64\drivers\BDArKit.sys
c:\programdata\Rising
c:\program files (x86)\Rising
c:\users\user\AppData\Roaming\Baidu
c:\programdata\Baidu
c:\program files (x86)\Common Files\Baidu
c:\program files (x86)\baidu
c:\users\user\AppData\Roaming\ICL
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
ну вроде все сделала лог с фикса
Вложения
Удалите, если найдутся
c:\windows\SysWow64\drivers\BDArKit.sys
c:\windows\system32\drivers\rsndisp.sys.000
c:\windows\system32\drivers\rsutils.sys.000
c:\windows\system32\drivers\sysmon.sys.000
c:\windows\system32\drivers\bd0001_1.sys
c:\windows\system32\drivers\bd0001.sys_
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
последний комбофикс
каждый раз при новой загрузке компьютера все аккаунты то ли с почты или контактов выходят и нужно снова входить , хотя раньше аккаунты оставались активными
Вложения
Первоначальная проблема решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
да спасибо , в диспетчере нечего не появляется
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 4 В ходе лечения вредоносные программы в карантинах не обнаружены