пытался удалить через панель управления, но с китайским не дружу, вроде удаляется, но остается 2 процесса, после перезагрузки все на месте
пытался удалить через панель управления, но с китайским не дружу, вроде удаляется, но остается 2 процесса, после перезагрузки все на месте
Уважаемый(ая) Goga007, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Не надо включать AVZPM без особого указания.
Загрузите систему в безопасном режиме и выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetAVZPMStatus(false); StopService('BDSGRTP'); QuarantineFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys', ''); QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys', ''); QuarantineFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe', ''); DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDKVDeskBand.dll', '32'); DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMNet.dll', '32'); DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDShellExt.dll', '32'); DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\DllInject.dll', '32'); DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebMonHook.dll', '32'); DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\websafe.dll', '32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\bd0001.dll', '32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\bdsg0001.dll', '32'); DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe', '32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys', '32'); DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys', '32'); DeleteService('BdSandBox'); DeleteService('BDSafeBrowser'); DeleteService('BDFileDefend'); DeleteService('BDArKit'); DeleteService('bd0004'); DeleteService('bd0002'); DeleteService('bd0001'); DeleteService('BDSGRTP'); DeleteFileMask('C:\Program Files\BaiduSd3.0', '*', true); DeleteFileMask('C:\Program Files\Common Files\Baidu', '*', true); DeleteDirectory('C:\Program Files\BaiduSd3.0'); DeleteDirectory('C:\Program Files\Common Files\Baidu'); DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x86', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcket_x64', 'command'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
WBR,
Vadim
Выполнил скрипты
- - - - -Добавлено - - - - -
карантин загрузил
В меню выполните AVZPM -> Удалить драйвер расширенного мониторинга процессов.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask('C:\ProgramData\baidu', '*', true); DeleteFileMask('C:\Windows\system32\config\systemprofile\AppData\Roaming\baidu', '*', true); DeleteDirectory('C:\ProgramData\baidu'); DeleteDirectory('C:\Windows\system32\config\systemprofile\AppData\Roaming\baidu'); RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyServer', ''); RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys'); BC_DeleteSvc('BDMWrench'); BC_Activate; RebootWindows(true); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
WBR,
Vadim
сделал
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
вот
Скопируйте скрипт из окна "код" ниже в буфер обмена:
Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".Код:;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c sreg zoo %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0001.SYS del %Sys32%\DRIVERS\BD0001.SYS delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE delref %Sys32%\DRIVERS\BDARKIT.SYS del %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref 1HTTP=127.0.0.1:2080 delref HTTP=127.0.0.1:2080 zoo %Sys32%\D3DADAPTER.DLL del %Sys32%\D3DADAPTER.DLL delref %Sys32%\D3DADAPTER.DLL zoo %Sys32%\IR16_32.DLL del %Sys32%\IR16_32.DLL delref %Sys32%\IR16_32.DLL areg
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
WBR,
Vadim
Архива не было, заархивировал все что было в папке ZOO
Внимание
Удалите карантин (ZOO.RAR) из вложений!
Упакуйте содержимое папки ZOO с помощью WinRar в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
И новый образ жду.
WBR,
Vadim
извините, проглядел как отправить
Сделайте новый лог uVS.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Goga007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.