-
Junior Member
- Вес репутации
- 52
Помогите вычистить зловред
Здравствуйте!
Нужна помощь. Win XP.
Установка AVPTool завершается ошибкой:
Вложение 532282
Для лечения был использован cureit. После лечения есть подозрения на наличие зловреда:
1. При запуске, перед входом в систему появляется окно с не читаемыми символами, окно с единственной кнопкой "Ок", при нажатии на нее окно закрывается загрузка продолжается (открывается рабочий стол). На нажатие на "крестик" не реагирует.
Пример символов в окне: 庈öŸ[1]ĊČ幈öacn_np:[\\PIPE\\lsarpc]
Могут быть другие.
2. Устанавливает соединение с адресом 123.125.69.209 . Даже когда через msconfig выключена вся автозагрузка.3. Не устанавливается kis (касперский).
4. Сформировался virusinfo_autoquarantine
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ququruza, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 52
PS.
п1. Указанное окно в безопасном режиме тоже появляется.
Virus Removal Tool в безопасном режиме запустился.
-
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
-
-
Junior Member
- Вес репутации
- 52
Логи сделал.
Дополнительно.
С помощью BootLogXP выявил, что (скорее всего) окошко во время загрузки показывает:
C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BDSGBugRpt.e xe
Лог BootLogXP нужен?
-
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
(百度在线网络技术(北京)有限公司) C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe
AppInit_DLLs: c:\progra~1\movies~1\datamngr\mgrldr.dll => c:\progra~1\movies~1\datamngr\mgrldr.dll File Not Found
HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll <===== ATTENTION
URLSearchHook: HKU\S-1-5-21-1229272821-1123561945-682003330-500 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2102} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=113&systemid=102&v=a11465-234&apn_uid=1007707301264359&apn_dtid=BND102&o=APN10646&apn_ptnrs=AG7&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=362&systemid=406&v=u11551-234&apn_uid=1007707301264359&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
BHO: No Name -> {251ef57c-0612-478c-978e-c86d3879caa4} -> No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {251ef57c-0612-478c-978e-c86d3879caa4} - No File
Toolbar: HKU\S-1-5-21-1229272821-1123561945-682003330-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-1229272821-1123561945-682003330-500 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File
FF Extension: Site Navigation - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2014-10-11]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
CHR HKLM\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path
CHR HKLM\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - No Path
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - No Path
CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path
R2 BDSGRTP; C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe [1940072 2014-12-04] (百度在线网络技术(北京)有限公司)
R1 bd0001; C:\WINDOWS\System32\DRIVERS\bd0001.sys [73032 2014-10-17] (Baidu)
R1 bd0004; C:\WINDOWS\System32\DRIVERS\bd0004.sys [185672 2014-12-03] (Baidu)
R2 BDArKit; C:\WINDOWS\System32\DRIVERS\BDArKit.sys [145224 2014-12-26] (Baidu Technology)
R1 BDMWrench; C:\WINDOWS\System32\DRIVERS\BDMWrench.sys [253000 2015-01-19] (Baidu)
R2 BDSafeBrowser; C:\WINDOWS\System32\DRIVERS\BDSafeBrowser.sys [67656 2014-12-02] (Baidu)
S3 45876ED28C031484; \??\c:\documents and settings\admin\local settings\temp\22215DF060.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
2015-01-08 18:16 - 2015-01-19 19:26 - 00253000 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDMWrench.sys
2015-01-08 17:21 - 2014-12-26 21:08 - 00145224 _____ (Baidu Technology) C:\WINDOWS\system32\Drivers\BDArKit.sys
2015-01-08 17:21 - 2014-10-17 16:08 - 00073032 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0001.sys
2015-02-02 07:13 - 2014-10-10 22:43 - 00000000 ____D () C:\Program Files\ШоппингГид
2015-02-02 07:12 - 2014-02-24 09:40 - 00000000 ____D () C:\Program Files\PC Performer
2015-02-02 07:08 - 2013-12-22 18:49 - 00000000 ____D () C:\Program Files\BonanzaDeals
2015-02-02 06:51 - 2014-10-10 22:45 - 00000000 ____D () C:\Documents and Settings\Admin\Local Settings\Application Data\storegid
2015-02-02 06:50 - 2014-11-21 21:51 - 00000000 ____D () C:\Documents and Settings\Admin\Application Data\VOPackage
EmptyTemp:
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
-
-
Junior Member
- Вес репутации
- 52
Сделал.
Окно во время загрузки осталось.
-
Вот для кого это писалось?
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
-
-
Junior Member
- Вес репутации
- 52
Вот для кого это писалось?
Не стало работать в безопасном. После запуска программа не подавала признаков работы. Подождал минут 15 и закрыл ее. В файле Fixlog.txt после раздела "Content of fixlist:" строчка: Error и типа в безопасном не работаю и все.
Удалил в AdwCleaner всё.
Дурацкое окно перед входом в систему осталось.
-
- Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
- По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
- Прикрепите эти отчеты в вашей теме.
-
-
Junior Member
- Вес репутации
- 52
Сделал.
То непонятное окно во время загрузки (до входа в систему) сейчас не появляется.
Сейчас во время загрузки, уже при появлении рабочего стола, быстро промелькивает какое-то окно, можно заметить только рамку и то не всегда.
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
C:\Documents and Settings\LocalService\Application Data\Baidu
C:\Program Files\BaiduEx
C:\Documents and Settings\All Users\ntuser.pol
23.12.2014 10:18:22 --D----- C:\Program Files\BaiduSd2.1
02.12.2014 21:11:57 --D----- C:\Program Files\BaiduSd3.0
Reg:
[HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Admin\Мои документы\Downloads\CodecPerformerSetup.exe"=-
"C:\Documents and Settings\Admin\Local Settings\Temp\ibtmpd366498\ZulaGamesSetup"=-
"C:\Documents and Settings\Admin\Local Settings\Temp\ibtmpd366498\PCPerformerSetup"=-
"C:\Documents and Settings\Admin\Local Settings\Temp\ibtmpd366498\SpeedanAlysisSetup"=-
"C:\Documents and Settings\Admin\Local Settings\Temp\ibtmpd366498\MatroskaSplitterSetup"=-
EmptyTemp:
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- - - - -Добавлено - - - - -
+ Установите Internet Explorer 8 (даже если им не пользуетесь)
-
-
Junior Member
- Вес репутации
- 52
Все сделал.
Заявленные проблемы больше не наблюдаются.
Спасибо за помощь!
-
-
-
Junior Member
- Вес репутации
- 52
Блин, какой же я балбес!
На радостях ночью все поудалял и корзину почистил.
Прошу прошения.
-
Еще раз тогда SIT логи сделайте.
-
-
Junior Member
- Вес репутации
- 52
-
Все выписываем.
- Скачайте DelFix и сохраните утилиту на Рабочем столе
- Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
- Нажмите на кнопку Run
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 52
Все сделал.
Спасибо Вам, доктор, за помощь!