Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Вредоносное по на на китайском

Ответить
Настройки темы
[решено] Вредоносное по на на китайском

Пользователь


Сообщения: 81
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изображения
Тип файла: png Image 1.png
(15.6 Kb, 23 просмотров)
Тип файла: png Image 4.png
(109.4 Kb, 21 просмотров)
Тип файла: png Image 5.png
(76.7 Kb, 18 просмотров)
Появилась программа с китайскими иероглифами, не удаляется никакими программами.
Как защитить windows от вирусов, вредоносных по, рекламы, банерах, всплывчатых окон на в браузере? Никакие антивирусы не помогают.

Отправлено: 00:36, 23-11-2014

 

Странствующий хэлпер


Сообщения: 2244
Благодарности: 633

Профиль | Отправить PM | Цитировать


Выполните правила

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 11:02, 23-11-2014 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 81
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2014.11.23-17.08.zip
(106.6 Kb, 8 просмотров)

Цитата thyrex:
Выполните правила »
Архив

Отправлено: 15:12, 23-11-2014 | #3


Странствующий хэлпер


Сообщения: 2244
Благодарности: 633

Профиль | Отправить PM | Цитировать


Выполните скрипт в AVZ
Код: Выделить весь код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Ильдарик\appdata\local\extension\chromeextensionupdater.exe','');
 QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','');
 QuarantineFile('C:\Users\Ильдарик\AppData\Roaming\newSI_1801\s_inst.exe','');
 QuarantineFile('C:\Users\Ильдарик\AppData\Local\ConvertAd\ConvertAd.exe','');
 DeleteFile('C:\Users\Ильдарик\AppData\Local\ConvertAd\ConvertAd.exe','32');
 DeleteFile('C:\Users\Ильдарик\AppData\Roaming\newSI_1801\s_inst.exe','32');
 DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','32');
 DeleteFile('C:\Windows\Tasks\newSI_1801.job','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1801','32');
 DeleteFile('C:\Users\Ильдарик\appdata\local\extension\chromeextensionupdater.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
DeleteFileMask('C:\Users\Ильдарик\AppData\Roaming\newSI_1801', '*', true);
DeleteDirectory('C:\Users\Ильдарик\AppData\Roaming\newSI_1801');
DeleteFileMask('C:\ProgramData\Kbupdater Utility', '*', true);
DeleteDirectory('C:\ProgramData\Kbupdater Utility');
 BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe');
 BC_DeleteFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.619\baiduprotect.exe');
 BC_DeleteFile('c:\program files\baidusd3.0\baidusd\3.0.0.4605\baidusdsvc.exe');
 BC_DeleteFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\ad.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavArchive.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavCommon.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavEngine.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavFrame.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavOle.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavScanH.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavScanM.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavScanV.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BAV\BavUnpack.dll');
 BC_DeleteFile('C:\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BDKVDOWNLOADPROTECT.DLL');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\BDMPerfMon.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\bduf.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\bdmantivirus\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMAVE.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMDbSqlite.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\ntfsstrm.ppl');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\FileMon.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\HIPSClient.dll');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\plugins\bdkvrtpplugins\PrivacyProtect.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\ad.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsBusiness.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsCore.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduPrevUIn.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\bd0001.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDConfig.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMBase.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMStringUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMTinyXml.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\ad.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\ArKit.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\bdsg0001.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\AssistReportPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\FileUpdatePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\FixSePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\dynplugins\HostPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\plugins\BaiduRepair.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\plugins\HIPS.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\SafeBrowserDll.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\bdcomproxy.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BDDownload\108\dl.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BdSandBox.sys');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe');
 BC_DeleteFile('C:\Program Files\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe');
 BC_DeleteFile('C:\Program Files\baidu\BindEx.exe');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDKVRTP');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDFileDefend');
 BC_DeleteSvc('BDMWrench');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('BdSandBox');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код: Выделить весь код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Исправьте ярлыки, в которых прописался вредоносный сайт (смотрите в поле Объект, перед сохранением изменений уберите метку Только чтение на вкладке Общие)
Цитата:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Game - Total Domination.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Plarium\Game - Total Domination.lnk
Сделайте новые логи

Скачайте ComboFix здесь и сохраните на Рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 16:51, 23-11-2014 | #4


Пользователь


Сообщения: 81
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата thyrex:
Исправьте ярлыки, в которых прописался вредоносный сайт (смотрите в поле Объект, перед сохранением изменений уберите метку Только чтение на вкладке Общие)
Цитата:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Game - Total Domination.lnk
C:\Users\Ильдарик\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Plarium\Game - Total Domination.lnk »
Здесь мне непонятно, что нужно делать.

Отправлено: 17:29, 23-11-2014 | #5


Странствующий хэлпер


Сообщения: 2244
Благодарности: 633

Профиль | Отправить PM | Цитировать


Откройте свойства указанных ярлыков и в поле Объект после имени файла увидите лишнее. Это лишнее и нужно удалить.

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 18:19, 23-11-2014 | #6


Пользователь


Сообщения: 81
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt ComboFix.txt
(44.0 Kb, 10 просмотров)

Лог ComboFix

Отправлено: 19:29, 23-11-2014 | #7


Странствующий хэлпер


Сообщения: 2244
Благодарности: 633

Профиль | Отправить PM | Цитировать


Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код: Выделить весь код
KillAll::

File::

Driver::

Folder::
c:\users\Ильдарик\AppData\Local\EmieBrowserModeList
c:\program files\BaiduAn3.0
c:\program files\BaiduSd3.0
c:\users\Ильдарик\AppData\Roaming\PriceFountain
c:\users\Ильдарик\AppData\Roaming\AnyProtectEx
c:\users\Ильдарик\AppData\Local\EmieUserList
c:\users\Ильдарик\AppData\Local\EmieSiteList

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 20:34, 23-11-2014 | #8


Пользователь


Сообщения: 81
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt ComboFix.txt
(64.7 Kb, 4 просмотров)

ComboFix.txt который на диске с

Отправлено: 21:15, 23-11-2014 | #9


Странствующий хэлпер


Сообщения: 2244
Благодарности: 633

Профиль | Отправить PM | Цитировать


Проблема решена?

Кстати, 360 Internet Security сами устанавливали?

-------

Microsoft MVP 2012, 2013, 2014, 2015
Помните: в ПМ помощь не оказывается. Для этого и создан этот форум. Вместе мы - сила!

Ждете помощи? Выполните Правила оказания помощи


Отправлено: 23:47, 23-11-2014 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Вредоносное по на на китайском

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Выскакивает окно на японском/китайском языке. 16957 Лечение систем от вредоносных программ 1 30-06-2014 01:10
[решено] Подозрение на вредоносное ПО PticaOgnennaya Лечение систем от вредоносных программ 4 14-02-2013 23:04
[решено] Подозрение на вредоносное ПО DummyCorp Лечение систем от вредоносных программ 28 12-07-2012 16:00
HP Pavilion dv5-1005eg - BIOS на китайском! Smasher Поиск драйверов, прошивок и руководств 2 19-11-2010 10:51
[решено] Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере TranscendFree Лечение систем от вредоносных программ 2 18-01-2010 17:17




 
Переход