• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Возможно, зловред Baidu версии 2

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Здравствуйте!

Имеется ноутбук, на нем много всплывающей рекламы, а еще был вирус Baidu (предположительно), который только что снес... Логи во вложении - при генерировании лога HJT возникла ошибка, но формирование логов все же продолжилось.
 

Вложения

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Baidu удалился не до конца, также решил сделать лог adwCleaner'a (см. во вложении)
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,843
Реакции
6,180
Баллы
913
Kingsoft - этот антивирус тоже не вам не знаком?

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

*если используете сервисы mai.ru то снимите галочки,со строк содержщих упоминание о mail.




  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Логи сделал - во вложении. Kingsoft - тоже незнаком - давно уже стоит CIS (Comodo Internet Security)
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,843
Реакции
6,180
Баллы
913
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
**Если используете mail.ru то снимите галочки со строк,содержащих упоминание о mail.ru

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт из файла..."
  4. В uVS Скачайте в удобное место файл скрипт.txt,выберите путь к файлу скрипт.txt :

    скриптт.txt


  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


Повторите лог uvs.
Потом повторите лог adwcleaner
 

Вложения

Последнее редактирование:

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Скрипт выполнил, логи во вложении. Т.к. карантин занимает 30 МБ, решил не высылать его к вам на почту, а скинул только ссылку.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,843
Реакции
6,180
Баллы
913
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт из файла..."
  4. В uVS Скачайте в удобное место файл скрипт.txt,выберите путь к файлу скрипт.txt :

    скрипт.txt

  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


Повторите лог uvs.
 

Вложения

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Помню про тему. Сегодня вечером (ночью) отвечу полноценно.
 

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Здравствуйте! Скрипт выполнил, на quarantine <at> safezone.cc письмо направил, лог UvS во вложении.
Еще: в "программах и компонентах" появилась (или не удалилась) программа, обозначенная китайскими иероглифами (пиктограмма с аббревиатурой QIV на зеленом фоне). Удалить ее не получается.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,843
Реакции
6,180
Баллы
913
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт из файла..."
  4. В uVS Скачайте в удобное место файл скрипт.txt,выберите путь к файлу скрипт.txt :

    скрипт.txt

  1. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  2. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  3. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  4. Подробнее читайте в этом руководстве.
Повторите лог UVS и Autologger
 

Вложения

Последнее редактирование:

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
на почту (quarantine <at> safezone.cc) ссылку на файл направил, лог UvS и Autologger'a во вложении.

RSIT выдал ошибку, и, видимо, не отработал нормально...
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,843
Реакции
6,180
Баллы
913
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
QuarantineFileF('c:\program files (x86)\kingsoft', '*', true, '', 0 , 0);
QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.xoferif.bat','');
 QuarantineFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\865B~1\DD6A~1\68BE~1.LNK', '');
 QuarantineFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\865B~1\DD6A~1\30B3~1.LNK', '');
 QuarantineFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\865B~1\DD6A~1\A333~1.LNK', '');
 QuarantineFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\865B~1\DD6A~1\3D2A~1.LNK', '');
 DeleteFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\865B~1\DD6A~1\68BE~1.LNK');
 DeleteFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\865B~1\DD6A~1\30B3~1.LNK');
 DeleteFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\865B~1\DD6A~1\A333~1.LNK');
 DeleteFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\865B~1\DD6A~1\3D2A~1.LNK');
DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat','');
DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.xoferif.bat','');  
DeleteFile('C:\Users\Admin\AppData\Roaming\Browsers\exe.erolpxei.bat');
DeleteFileMask('c:\program files (x86)\kingsoft', '*', true);
DeleteDirectory('c:\program files (x86)\kingsoft', '');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Kingsoft Internet Security');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteRepair(2);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.85.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg
    
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
    delref D:\IQIYIV~1\LSTYLE\QYPLUGIN.DLL
    delref D:\IQIYIV~1\LSTYLE\QYPLUG~1.DLL
    dirzoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\IQIYI VIDEO
    deldir %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\IQIYI VIDEO
    chklst
    delvir
    regt 29
    regt 28
    czoo
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.





Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Последнее редактирование:

Razey

Активный пользователь
Сообщения
653
Реакции
30
Баллы
418
Все отчеты и логи во вложении. Лог после выполнения крайнего скрипта AVZ не открывался, т.к. не был создан (что-то вроде того, что все нормально в системе).
 

Вложения

Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу