Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Вредносные программа на китайском (http://forum.oszone.net/showthread.php?t=292375)

skripkina_i 10-12-2014 11:34 2442152
Вредносные программа на китайском
 
Постоянно высвечиваются окна на китайском языке.В панели инструментов удаляла эти программы,а они опять выскакивают. Выполнила диагностику AutoLogger-ом. Прикрепляю вам файлы. Что делать дальше?

Sandor 10-12-2014 11:51 2442168
Здравствуйте!

1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog(PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 CMDLine := 'a "' + PathAutoLogger + '\Report.zip" "' + PathAutoLogger + '\report*.log"';
 ExecuteFile('7z.exe', CMDLine, 0, 15000, true);
 end.
Архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\common files\baidu\bddownload\108\bddownloader.exe');
 TerminateProcessByName('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.619\baiduprotect.exe');
 StopService('BDSafeBrowser');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('bd0003');
 StopService('bd0002');
 StopService('bd0001');
 StopService('BDSGRTP');
 QuarantineFile('C:\Documents and Settings\Work\fxmdk.exe', '');
 QuarantineFile('C:\Windows\System32\svc.vbs', '');
 QuarantineFile('C:\WINDOWS\system32\o7GxjUh.exe', '');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDEnhanceBoost.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDAntiExp.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDSafeBrowser.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0003.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys','');
 QuarantineFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe','');
 QuarantineFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.619\baiduprotect.exe','');
 DeleteFile('C:\Documents and Settings\Work\fxmdk.exe', '32');
 DeleteFile('C:\Windows\System32\svc.vbs', '32');
 DeleteFile('C:\WINDOWS\system32\o7GxjUh.exe', '32');
 DeleteFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0003.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDSafeBrowser.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDAntiExp.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDEnhanceBoost.sys','32');
 DeleteService('BDEnhanceBoost');
 DeleteService('BDAntiExp');
 DeleteService('BDSafeBrowser');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0003');
 DeleteService('bd0002');
 DeleteService('bd0001');
 DeleteService('BDSGRTP');
 DeleteFileMask('C:\Program Files\Common Files\Baidu\', '*', true);
 DeleteDirectory('C:\Program Files\Common Files\Baidu\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(8);
 ExecuteRepair(20);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


4.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

skripkina_i 10-12-2014 13:56 2442266
Архив Report.zip нет, высылаю что есть

Sandor 10-12-2014 14:03 2442270
Повторите логи по правилам.

skripkina_i 10-12-2014 14:13 2442278
прикрепляю архив

regist 10-12-2014 14:18 2442283
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

+ В AdwCleaner вас просили только просканировать, а не сносить всё подряд :(
Код:
C:\AdwCleaner\AdwCleaner\Quarantine\Quarantine.txt
прикрепите.

Sandor 10-12-2014 14:29 2442289
+
Сделайте дополнительно лог CheckBrowsersLNK.
Отчет прикрепите к следующему сообщению.

skripkina_i 10-12-2014 14:44 2442296
:o Что значит снесли все подряд?.Мы отсканировали и все. Откуда взять лог UVS

Может вот это

Sandor 10-12-2014 14:46 2442298
Выполните все пункты из этого сообщения.

Цитата:
Цитата skripkina_i
Мы отсканировали и все »
Вы нажали кнопку Очистить. Об этом и речь.

skripkina_i 10-12-2014 14:52 2442302
вот это

skripkina_i 10-12-2014 14:56 2442305
прикрепляем

Sandor 10-12-2014 15:00 2442307
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    BREG
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BAIDUPROTECT.EXE
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
    delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
    addsgn A7679BF0AA023C5148D4C62124891261848AFCF689AA7BF1A0C3C5BC5055B5E8704194DE5BBD625C0F23C79FE542C8B97D7EBCF316DA71C425525B2FC7068113 8 baidu

    zoo %SystemDrive%\PROGRAM FILES\BAIDUEX\UNINIT.EXE
    bl CA58C36522D30F5F66AAC82650516129 659513
    delall %Sys32%\DRIVERS\BD0001.SYS
    delall %Sys32%\DRIVERS\BD0002.SYS
    delall %Sys32%\DRIVERS\BD0004.SYS
    delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
    delref HTTP://2KE.RU/
    chklst
    delvir

    deltmp
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Sandor 10-12-2014 17:09 2442368
Ярлыки
Цитата:
C:\Users\CyberGenius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\CyberGenius\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\CyberGenius\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpеrа.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk
C:\Users\CyberGenius2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk
C:\Users\CyberGenius2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk
исправьте с помощью утилиты ClearLNK.
Отчет прикрепите к следующему сообщению.

skripkina_i 11-12-2014 08:13 2442633
Отчет

Sandor 11-12-2014 09:34 2442659
Повторите лог uVS.

skripkina_i 11-12-2014 10:17 2442682
А конец этих проверок близок?

Sandor 11-12-2014 10:45 2442690
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    BREG

    ; 百度卫士3.0
    exec C:\Program Files\Baidu\BaiduAn\3.0.0.3971\uninst.exe
    ; 百度杀毒2.1
    exec C:\Program Files\Baidu\BaiduSd\2.1.0.3086\uninst.exe

    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. Подробнее читайте в этом руководстве.

Будет произведена попытка деинсталляции программ штатным способом. При появлении сообщений на китайском, ориентируйтесь по этой статье.

После перезагрузки еще раз:
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

skripkina_i 11-12-2014 10:54 2442701
деинсталляции программ штатным способом это как. После запуска uVS компьютер не перегрузился, а выскочили только программы на китайском. Их вручную удалять?

Sandor 11-12-2014 10:55 2442702
Да
Цитата:
Цитата Sandor
ориентируйтесь по этой статье. »

skripkina_i 11-12-2014 11:02 2442709
отчет

Sandor 11-12-2014 11:05 2442711
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Далее еще раз лог uVS.

skripkina_i 11-12-2014 11:41 2442726
Это все?

Sandor 11-12-2014 11:46 2442733
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    BREG
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BAIDUPROTECT.EXE
    bl 29EAD88642160E551A76F7AC5D676A6B 1931880
    addsgn 1A6A7F9A5583EE8FF42B627DA804DEC9E946303A4536D387A09333E9501ABD80EFDB0F9BF29951CA16B8B1C446163DD7285404F1B9D233C8D5AAB80B35090E77 8 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\SAFEBROWSERDLL.DLL
    bl 23E6942FA11DC181D740B2E2D5A8B668 332616
    addsgn 71905392541F499A6FD0AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023DB0F9BF2995185E74C4853C52B119E79CFE806788F3BC0AE9BACAC23FEFF6F 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BDMREPORT.DLL
    bl 00DD64B08BBB6C88A2A29835891EDB7B 1091976
    addsgn 71905392541F499AE7D2AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023DB3C7222119059D4A5A4DB4B06B6DF599BE562AAFF986820675B0AEB422F63 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DYNPLUGINS\FIXSEPLUGIN.DLL
    bl A1B0A697D70142EC9CBDEE934F43D9AB 86856
    addsgn 71905392541F499A12D0AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023E8E62F9F558DB60EEC259F56E96C92DCDFF88D70BA112C3D1F3511C716468C 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DYNPLUGINS\HOSTPLUGIN.DLL
    bl 76E99BA43290AAF93FA900E08948C08F 373576
    addsgn 71905392541F499A72D0AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB3402394FEC33B508D495FADD114AA95A5F2FE3B10AF49FE4223017380E604851FE7 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DYNPLUGINS\ARKIT.DLL
    bl E6BD1B35BDCA7A71CA9F966A3FC31EE2 66376
    addsgn 71905392541F499A48D0AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023E8E643BF558DB60E98059F56E96CDAFCDFF81A84AFB03C4988912FC70622F8 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BDMDOWNLOAD.DLL
    bl 37743968455DA6232200E6823C73B65B 108936
    addsgn 71905392541F499A14D0AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB340237DD73FD64F9C59C34E859F46952C067D20A5622DE03B61255CE9234E4B2A8C 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BDMNET.DLL
    bl AD6C0BC96A9B6960F1C6561D90628E44 1231240
    addsgn 71905392541F499AF7D7AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023DB3C7236309059E74C48538ADA8536B11324BEAAFFAC49206768E30BCAEEBF 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\PLUGINS\HIPS.DLL
    bl 151AA60CDC3D86452226CA9B46FD1A89 2050440
    addsgn 71905392541F499A24D2AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023E8E61B38428DCA1684088256163DD7285404F1B9D233C8D5AAB80B35090E77 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DRIVERMANAGER.DLL
    bl E4BF715CD6BC2E1971A4479EEF4D5C32 178568
    addsgn 71905392541F499A54D7AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB340234248BBBFB9B54A2B8027A71814597370EBB6704553A51C7375B4A6DA2A7C71 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\AD.DLL
    bl A86F6F8D5321BD5A82F73033FA64FF9D 473480
    addsgn 71905392541F499AA2D7AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023E8E65F4D518D85E74C48538ADA8536B15F113226CF30D50D04A22062C4F193 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\PLUGINS\BAIDUREPAIR.DLL
    bl E43F340F30090EE56BBFD6679414C4C3 203144
    addsgn 71905392541F499A6FD0AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB340237DCBEF4EF39C59C35D809F46E93CF2FEBA1472BDA54BD3D22E2D6A2B8D679F 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BDKITUTILS.DLL
    bl D0AC64F41ABB41889AEB9E182DAF6877 62280
    addsgn 71905392541F499A48D0AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023E8E65BBF558DB60E90059F56E96CE2FCDFF81A14ABB03C4988912FC70622F8 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DYNPLUGINS\FILEUPDATEPLUGIN.DLL
    bl DA92920D763FB8C3990C8FC90FF7E06E 349000
    addsgn 71905392541F499AC0D7AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023FE86533E5551B60E48F69C56DA8536B113248D7006C22F3D8881CFB50532BF 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\DYNPLUGINS\ASSISTREPORTPLUGIN.DLL
    bl 6A554CA0ED87451611A7F89FA5A34073 369480
    addsgn 71905392541F499A48D3AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023E8E647BD568DB60E94079C56DA8536B11324BE99167CE0E1BB68ACFADAC877 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BDLOGICUTILS.DLL
    bl 360557503E4D6FC8BA2453AC045C642C 760200
    addsgn 71905392541F499A59D2AEB19BBC3601AEC6D8E602AE3B746D0E3B43AF8FB34023DB0F9BF2995185E74C7BBA2E8541EAB11324BE99167CE0E1BB24D6877537F3 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\7Z.DLL
    bl F6E2648CA5C81B480F74B04E43BC4D58 368520
    addsgn 71905392541F499ABE98AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB340234248BBBFB9B54A2B8027D73A135973709B94774553A56C5172B4A6DA3A5E76 64 baidu

    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\SAFEBROWSERHELPER.DLL
    bl 442A27B8C9B736BD5EDC19A45D935855 55112
    addsgn 79132211B9E9317E0AA1AB59CADF1205DAFFF47DC4EA942D892B2942AF292811E11BC33D323DCDD32B906C045316497108D76D8421AF33110DB0A43FC4736119 64 baidu

    deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU
    deldir %SystemDrive%\PROGRAM FILES\BAIDU
    deldir %SystemDrive%\PROGRAM FILES\BAIDUEX
    chklst
    delvir

    deltmp
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


Еще раз повторите лог uVS. С ответом постарайтесь не затягивать.

skripkina_i 11-12-2014 12:15 2442743
все отправили

Sandor 11-12-2014 12:17 2442745
Сделаем по-другому:

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, заархивируйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

skripkina_i 11-12-2014 12:46 2442752
Что дальше

Sandor 11-12-2014 12:52 2442756
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::

File::


Driver::
BD0001
BD0002
bd0001
bd0002

Folder::
c:\documents and settings\All Users\Application Data\Baidu
c:\program files\Common Files\Baidu
c:\program files\BaiduSd3.0
c:\windows\system32\config\systemprofile\Application Data\Baidu
c:\documents and settings\LocalService\Application Data\Baidu

Registry::


FileLook::

DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

skripkina_i 12-12-2014 07:56 2443045
Вчера выключили свет, шлем вам отчет

Sandor 12-12-2014 09:58 2443079
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::

File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDSafeBrowser.sys

Driver::
BDSGRTP

Folder::


Registry::


FileLook::

DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

skripkina_i 12-12-2014 10:25 2443088
сделали

Sandor 12-12-2014 10:40 2443092
Пожалуйста, переместите программу Combofix и следующий скрипт в корень диска C:

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::


File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDArKit.SYS
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\documents and settings\Work\an.bat
c:\documents and settings\Work\sd.bat
c:\windows\system32\DRIVERS\BDAntiExp.sys

Driver::
BD0001
bd0002
BDMWrench
BDArKit

Folder::


Registry::


FileLook::

DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

skripkina_i 12-12-2014 11:25 2443106
отправляем

Sandor 12-12-2014 11:30 2443107
Пожалуйста, загрузитесь в безопасном режиме и повторите предыдущий скрипт. Новый отчет покажите.

skripkina_i 12-12-2014 11:53 2443112
Пожалуйста

Sandor 12-12-2014 12:01 2443114
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteSysClean;
 BC_DeleteFile('c:\windows\system32\drivers\bd0004.sys');
 BC_DeleteFile('c:\windows\system32\drivers\BDSafeBrowser.sys');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDSafeBrowser');
 BC_Activate;
 RebootWindows(true);
end.
Компьютер перезагрузится.


Подготовьте еще раз лог uVS.

skripkina_i 12-12-2014 12:21 2443120
Это сделали ,все.

Sandor 12-12-2014 12:31 2443122
Приближаемся к финишу))
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    BREG
    delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BDKVDESKBAND.DLL
    delall %Sys32%\DRIVERS\BDANTIEXP.SYS
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. Подробнее читайте в этом руководстве.

Еще раз контрольный лог uVS.

skripkina_i 12-12-2014 12:51 2443128
Вложений: 1
надеюсь это финиш :)

Sandor 12-12-2014 12:55 2443130
Да, в логе чисто.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up

И в заключение:

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после лечения.


Время: 10:56.

Время: 10:56.
© OSzone.net 2001-