Короче хрень полная, лезут окна с китайскими иероглифами, ничего не дают сделать. Даже Hijack НЕ дали открыть. Описать более полно - затруднительно.
Короче хрень полная, лезут окна с китайскими иероглифами, ничего не дают сделать. Даже Hijack НЕ дали открыть. Описать более полно - затруднительно.
Уважаемый(ая) setyun, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DelBHO('{6fcaba44-a441-481f-895e-bddfd81a6cc2}'); QuarantineFile('C:\PROGRA~2\MUSICT~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll',''); QuarantineFile('C:\Program Files (x86)\Music Toolbar\Datamngr\x64\apcrtldr.dll',''); QuarantineFile('C:\Program Files (x86)\Music Toolbar\Datamngr\x64\setmgrc2.cfg',''); QuarantineFile('C:\Program Files (x86)\Music Toolbar\Datamngr\apcrtldr.dll',''); TerminateProcessByName('c:\program files (x86)\music toolbar\datamngr\datamngrcoordinator.exe'); QuarantineFile('c:\program files (x86)\music toolbar\datamngr\datamngrcoordinator.exe',''); TerminateProcessByName('c:\program files (x86)\music toolbar\datamngr\datamngrui.exe'); QuarantineFile('c:\program files (x86)\music toolbar\datamngr\datamngrui.exe',''); DeleteFile('c:\program files (x86)\music toolbar\datamngr\datamngrui.exe','32'); DeleteFile('c:\program files (x86)\music toolbar\datamngr\datamngrcoordinator.exe','32'); DeleteFile('C:\Program Files (x86)\Music Toolbar\Datamngr\apcrtldr.dll','32'); DeleteFile('C:\Program Files (x86)\Music Toolbar\Datamngr\x64\setmgrc2.cfg','32'); DeleteFile('C:\Program Files (x86)\Music Toolbar\Datamngr\x64\apcrtldr.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86'); DeleteFile('C:\PROGRA~2\MUSICT~1\Datamngr\SRTOOL~1\IE\searchresultsDx.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по правилам
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Farbar - выполнил, а вот скрипт AVZ начинаю делать, вылазиет окно с китайскими иероглифами и блокирует AVZ, закрываю окно, закрывается AVZ и в папке карантин пусто.
FRST.txt где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сорри не понял сразу что оба файла необходимо, т.к. прога было\а на рабочем столе то файл и не увидел сразу)
Касперский, Avira, McAfee - не многовато ли защитничков?
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe (Kingsoft Corporation) C:\Program Files (x86)\kingsoft\kingsoft antivirus\kxescore.exe Kingsoft Corporation) C:\Program Files (x86)\kingsoft\kingsoft antivirus\kxetray.exe (NVIDIA Corporation) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe (Kingsoft Corporation) C:\Program Files (x86)\kingsoft\kingsoft antivirus\kwsprotect64.exe (Kingsoft Corporation) C:\Program Files (x86)\kingsoft\kingsoft antivirus\kcalendar.exe (Kingsoft Corporation) C:\Program Files (x86)\kingsoft\shoujizhushou\kphonetray.exe (Kingsoft Corporation) C:\Program Files (x86)\kingsoft\kingsoft antivirus\kprcycleaner.exe HKLM\...\Run: [baidusdTray] => C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\baidusdTray.exe [3257240 2015-03-11] (百度在线网络技术(北京)有限公司) HKLM-x32\...\Run: [kxesc] => c:\program files (x86)\kingsoft\kingsoft antivirus\kxetray.exe [1491368 2015-03-09] (Kingsoft Corporation) HKLM-x32\...\Run: [baidusdTray] => C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdTray.exe [3257240 2015-03-11] (百度在线网络技术(北京)有限公司) Startup: C:\Users\Евгений Владимирович\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk ShortcutTarget: Punto Switcher.lnk -> C:\Program Files (x86)\Yandex\Punto Switcher\punto.exe (No File) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-1037685192-3481639442-3993053897-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION BHO-x32: WebMonBHO -> {15DEE173-1BE9-4424-81E0-58A87076E9B1} -> C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll [2014-11-06] (百度在线网络技术(北京)有限公司) Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-1037685192-3481639442-3993053897-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-1037685192-3481639442-3993053897-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-1037685192-3481639442-3993053897-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Keyword.URL: hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=eafa5ab0000000000000000000000000&tlver=1.4.35.10&affID=100489 FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll [2014-11-06] (百度在线网络技术(北京)有限公司) FF Plugin-x32: @kingsfot.com/npkws -> c:\program files (x86)\kingsoft\kingsoft antivirus\npkws.dll [2015-03-09] (Kingsoft Corporation) FF Extension: Babylon - C:\Users\Евгений Владимирович\AppData\Roaming\Mozilla\Firefox\Profiles\paoa5aoh.default\Extensions\[email protected] [2011-11-03] FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found] CHR Extension: (promokody) - C:\Users\Евгений Владимирович\AppData\Local\Google\Chrome\User Data\Default\Extensions\klonfdlcigipbecdhifijjaajfgoagkl [2014-07-13] CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value CHR HKLM-x32\...\Chrome\Extension: [ifpjamfehjeobjanpappgckkmnhjnpgi] - C:\Users\Евгений Владимирович\AppData\Roaming\Crx\Files\ifpjamfehjeobjanpappgckkmnhjnpgi_0.0.1.crx [2014-03-16] CHR HKLM-x32\...\Chrome\Extension: [mofegfedamndhcgbkpdjiohddkjgbnhd] - C:\Users\Евгений Владимирович\AppData\Local\Temp\mofegfedamndhcgbkpdjiohddkjgbnhd.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Евгений Владимирович\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found] R2 BaiduHips; C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe [64008 2014-09-18] (百度在线网络技术(北京)有限公司) R2 BDKVRTP; C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe [793096 2014-11-06] (百度在线网络技术(北京)有限公司) R2 kxescore; c:\program files (x86)\kingsoft\kingsoft antivirus\kxescore.exe [284112 2015-03-09] (Kingsoft Corporation) R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [202576 2014-12-05] (Baidu) R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [196936 2014-12-26] (Baidu) R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [67400 2014-11-06] (Baidu) R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-25] (Baidu Technology) R1 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [103752 2015-03-09] (Baidu) R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [56136 2014-11-06] (Baidu) R0 KAVBootC; C:\Windows\System32\Drivers\KAVBootC64.sys [31848 2015-03-09] (Kingsoft Corporation) R1 KDHacker; c:\program files (x86)\kingsoft\kingsoft antivirus\security\kxescan\kdhacker64.sys [190792 2015-03-09] (Kingsoft Corporation) R2 kisknl; C:\Windows\system32\drivers\kisknl.sys [229192 2015-03-09] (Kingsoft Corporation) R1 kisnetm; c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64.sys [109880 2015-03-09] (Kingsoft Corporation) R2 ksapi64; C:\Windows\system32\drivers\ksapi64.sys [56680 2015-03-09] (Kingsoft Corporation) S1 BDFileDefend; system32\DRIVERS\BDFileDefend.sys [X] S1 BdSandBox; system32\DRIVERS\BdSandBox.sys [X] 2015-03-15 12:52 - 2015-03-15 12:52 - 00002169 _____ () C:\Users\Public\Desktop\快捷搜索.lnk 2015-03-13 20:16 - 2015-03-13 20:16 - 00000000 ____D () C:\Users\Евгений Владимирович\AppData\Roaming\shoujizhushou 2015-03-11 20:17 - 2015-03-11 20:17 - 00000000 ____D () C:\Users\Евгений Владимирович\AppData\Roaming\Tencent 2015-03-11 20:17 - 2015-03-11 20:17 - 00000000 ____D () C:\Users\Public\Documents\Tencent 2015-03-10 07:14 - 2015-03-10 07:14 - 00000000 ____D () C:\Users\Евгений Владимирович\AppData\Local\Kingsoft 2015-03-09 21:50 - 2015-03-09 21:05 - 00033128 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\bootsafe64.sys 2015-03-09 21:50 - 2015-03-09 21:05 - 00024936 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\bootsafe.sys 2015-03-09 16:01 - 2015-03-13 22:05 - 00000000 ____D () C:\Users\Все пользователи\Baidu 2015-03-09 16:01 - 2015-03-13 22:05 - 00000000 ____D () C:\ProgramData\Baidu 2015-03-09 16:01 - 2015-03-09 20:07 - 00103752 _____ (Baidu) C:\Windows\system32\Drivers\BDDefense.sys 2015-03-09 16:01 - 2015-03-09 16:02 - 00000000 ____D () C:\Users\Евгений Владимирович\AppData\Roaming\Baidu 2015-03-09 16:01 - 2015-03-09 16:01 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度杀毒 2015-03-09 16:01 - 2015-03-09 16:01 - 00000000 ____D () C:\Program Files (x86)\Baidu 2015-03-09 16:01 - 2014-12-26 07:14 - 00196936 _____ (Baidu) C:\Windows\system32\Drivers\bd0002.sys 2015-03-09 16:01 - 2014-12-25 06:35 - 00152392 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.sys 2015-03-09 16:01 - 2014-12-05 13:35 - 00202576 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys 2015-03-09 16:01 - 2014-11-06 11:38 - 00067400 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys 2015-03-09 16:01 - 2014-11-06 11:38 - 00056136 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench_x64.sys 2015-03-09 15:59 - 2015-03-09 16:10 - 00000000 ____D () C:\Users\Евгений Владимирович\AppData\Roaming\kingsoft 2015-03-09 15:59 - 2015-03-09 15:59 - 00000000 ____D () C:\Users\Все пользователи\KSafeCommon 2015-03-09 15:59 - 2015-03-09 15:59 - 00000000 ____D () C:\ProgramData\KSafeCommon 2015-03-09 15:58 - 2015-03-14 20:02 - 00000000 __SHD () C:\KRECYCLE 2015-03-09 15:58 - 2015-03-14 19:24 - 00000000 ____D () C:\Users\Все пользователи\Kingsoft 2015-03-09 15:58 - 2015-03-14 19:24 - 00000000 ____D () C:\ProgramData\Kingsoft 2015-03-09 15:58 - 2015-03-13 20:17 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\金山毒霸 2015-03-09 15:58 - 2015-03-09 21:20 - 00080744 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi.sys 2015-03-09 15:58 - 2015-03-09 21:20 - 00056680 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi64.sys 2015-03-09 15:58 - 2015-03-09 21:15 - 00229192 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl_del.sys 2015-03-09 15:58 - 2015-03-09 21:15 - 00229192 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl.sys 2015-03-09 15:58 - 2015-03-09 21:15 - 00114488 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetmxp.sys 2015-03-09 15:58 - 2015-03-09 21:15 - 00113464 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm.sys 2015-03-09 15:58 - 2015-03-09 21:15 - 00109880 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm64.sys 2015-03-09 15:58 - 2015-03-09 21:13 - 00190792 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kdhacker64.sys 2015-03-09 15:58 - 2015-03-09 21:13 - 00146248 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kdhacker.sys 2015-03-09 15:58 - 2015-03-09 21:09 - 00031592 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kavbootc.sys 2015-03-09 15:58 - 2015-03-09 16:04 - 00000000 ____D () C:\Program Files (x86)\kingsoft 2015-03-09 15:58 - 2015-03-09 15:58 - 00225080 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl64.sys 2015-03-09 15:58 - 2015-03-09 15:58 - 00031848 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kavbootc64.sys 2015-03-09 15:58 - 2015-03-09 15:58 - 00024472 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\bc.sys 2015-03-09 15:58 - 2015-03-09 15:58 - 00019352 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksskrpr.sys 2015-03-09 15:58 - 2015-03-09 15:58 - 00018296 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kusbquery64.sys 2015-03-09 15:58 - 2015-03-09 15:58 - 00014200 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kusbquery.sys C:\Users\Евгений Владимирович\AppData\Local\Temp\AmigoDistrib.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\Baidusd.Setup.3.0.0.4609.youqian_1000174052.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\KAVSETUPS_39_20013.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\mailruhomesearchvbm.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\MailRuUpdater.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\Setup-bm.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\yupdate-exec-bm.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\_is3801.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\_is7BF3.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\_is822A.exe C:\Users\Евгений Владимирович\AppData\Local\Temp\_is93E6.exe Reboot:- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепил.
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде всё исчезло. Сейчас еще удалил через удаление программ несколько программ с иероглифами но удаляя комп сказал, что они были удалены. А так вроде всё в порядке.
Уважаемый(ая) setyun, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.