Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вредоносное по на на китайском (http://forum.oszone.net/showthread.php?t=291459)

jonik7 23-11-2014 00:36 2433920
Вредоносное по на на китайском
 
Вложений: 3
Появилась программа с китайскими иероглифами, не удаляется никакими программами.
Как защитить windows от вирусов, вредоносных по, рекламы, банерах, всплывчатых окон на в браузере? Никакие антивирусы не помогают.

thyrex 23-11-2014 11:02 2434010
Выполните правила

jonik7 23-11-2014 15:12 2434121
Вложений: 1
Цитата:
Цитата thyrex
Выполните правила »
Архив

thyrex 23-11-2014 16:51 2434151
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Ильдарик\appdata\local\extension\chromeextensionupdater.exe','');
 QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
 QuarantineFile('C:\Users\Ильдарик\AppData\Roaming\newSI_1801\s_inst.exe','');
 QuarantineFile('C:\Users\Ильдарик\AppData\Local\ConvertAd\ConvertAd.exe','');
 DeleteFile('C:\Users\Ильдарик\AppData\Local\ConvertAd\ConvertAd.exe','32');
 DeleteFile('C:\Users\Ильдарик\AppData\Roaming\newSI_1801\s_inst.exe','32');
 DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','32');
 DeleteFile('C:\Windows\Tasks\newSI_1801.job','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1801','32');
 DeleteFile('C:\Users\Ильдарик\appdata\local\extension\chromeextensionupdater.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
DeleteFileMask('C:\Users\Ильдарик\AppData\Roaming\newSI_1801', '*', true);
DeleteDirectory('C:\Users\Ильдарик\AppData\Roaming\newSI_1801');
DeleteFileMask('C:\ProgramData\Kbupdater Utility', '*', true);
DeleteDirectory('C:\ProgramData\Kbupdater Utility');
 BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe');
 BC_DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.619\baiduprotect.exe');
 BC_DeleteFile('c:\program files\baidusd3.0\baidusd\3.0.0.4605\baidusdsvc.exe');
 BC_DeleteFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\ad.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavArchive.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavCommon.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavEngine.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavFrame.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavOle.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavScanH.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavScanM.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavScanV.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavUnpack.dll');
 BC_DeleteFile('C:\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BDKVDOWNLOADPROTECT.DLL');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDMPerfMon.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\bduf.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMAVE.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMDbSqlite.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\ntfsstrm.ppl');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\FileMon.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\HIPSClient.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\PrivacyProtect.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\ad.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsBusiness.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsCore.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduPrevUIn.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\bd0001.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDConfig.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMBase.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMStringUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMTinyXml.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\ad.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\ArKit.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\bdsg0001.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\AssistReportPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\FileUpdatePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\FixSePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\HostPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\plugins\BaiduRepair.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\plugins\HIPS.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\SafeBrowserDll.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\bdcomproxy.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\dl.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe');
 BC_DeleteFile('C:\Program Files\baidu\BindEx.exe');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDKVRTP');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDFileDefend');
 BC_DeleteSvc('BDMWrench');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('BdSandBox');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Исправьте ярлыки, в которых прописался вредоносный сайт (смотрите в поле Объект, перед сохранением изменений уберите метку Только чтение на вкладке Общие)
Цитата:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Game - Total Domination.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Plarium\Game - Total Domination.lnk
Сделайте новые логи

Скачайте ComboFix здесь и сохраните на Рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

jonik7 23-11-2014 17:29 2434166
Цитата:
Цитата thyrex
Исправьте ярлыки, в которых прописался вредоносный сайт (смотрите в поле Объект, перед сохранением изменений уберите метку Только чтение на вкладке Общие)
Цитата:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Game - Total Domination.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Plarium\Game - Total Domination.lnk »
Здесь мне непонятно, что нужно делать.

thyrex 23-11-2014 18:19 2434195
Откройте свойства указанных ярлыков и в поле Объект после имени файла увидите лишнее. Это лишнее и нужно удалить.

jonik7 23-11-2014 19:29 2434240
Вложений: 1
Лог ComboFix

thyrex 23-11-2014 20:34 2434282
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::

File::

Driver::

Folder::
c:\users\Ильдарик\AppData\Local\EmieBrowserModeList
c:\program files\BaiduAn3.0
c:\program files\BaiduSd3.0
c:\users\Ильдарик\AppData\Roaming\PriceFountain
c:\users\Ильдарик\AppData\Roaming\AnyProtectEx
c:\users\Ильдарик\AppData\Local\EmieUserList
c:\users\Ильдарик\AppData\Local\EmieSiteList

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

jonik7 23-11-2014 21:15 2434306
Вложений: 1
ComboFix.txt который на диске с

thyrex 23-11-2014 23:47 2434402
Проблема решена?

Кстати, 360 Internet Security сами устанавливали?

jonik7 24-11-2014 01:55 2434441
Сейчас этой программы на китайском нет,
Цитата:
Цитата thyrex
Кстати, 360 Internet Security сами устанавливали? »
Эту программу я не устанавливал, сейчас в списке CCleaner ре нет ее. В систему всегда устанавливаются всякие программы без моего ведома, и процесса установки нету.
Какую защиту поставить от вирусов, вредоносных по, от всплывчатых вкладок в браузере, банеров? Аваст был но я его удалил потому что зеселился вирус, и от него толку нет.

Sandor 24-11-2014 11:49 2434569
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

jonik7 24-11-2014 17:54 2434777
Вложений: 1
Цитата:
Цитата Sandor
Деинсталлируйте ComboFix: »
В командной строке вылазиет окно

Sandor 24-11-2014 17:55 2434780
Цитата:
Цитата Sandor
Скачайте OTCleanIt, запустите, нажмите Clean up »
Это сделайте.

jonik7 24-11-2014 18:19 2434806
Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 24.11.2014 20:18:12
Run directory: C:\Users\Ильдарик\AppData\Local\temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 8.3
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 23.09.2014 06:17:50
Статус лицензии: Windows(R) 7, Professional edition Windows находится в режиме уведомления
Системный диск: C:\ ФС: NTFS Емкость: [450.7 Гб] Занято: [81.5 Гб] Свободно: [369.2 Гб]
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 11.0.9600.17420 [+]
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2014-11-19 22:48:31
Центр обновления Windows (wuauserv) - Служба находится в процессе запуска
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
CCleaner v.4.17
-------------AppleProduction----------------------
QuickTime 7 v.7.76.80.95 [+]
-------------AdobeProduction----------------------
Adobe Flash Player 15 Plugin v.15.0.0.223
-------------Browser------------------------------
Google Chrome v.37.0.2062.120 Внимание! Скачать обновления
Opera Stable 24.0.1558.61 v.24.0.1558.61 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.37.0.2062.120
-------------EndLog-------------------------------

Sandor 25-11-2014 11:32 2435194
Обновите браузеры.
Цитата:
Цитата jonik7
Какую защиту поставить от вирусов »
Почитайте тему и сделайте выбор.

Удачи!


Время: 10:01.

Время: 10:01.
© OSzone.net 2001-