Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.63/8: Рейтинг темы: голосов - 8, средняя оценка - 4.63
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
1

Китайский антивирус

11.12.2014, 14:11. Просмотров 1388. Ответов 23
Метки нет (Все метки)

Вот логи.
0
Вложения
Тип файла: zip CollectionLog-2014.12.11-14.04.zip (116.6 Кб, 6 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
11.12.2014, 14:11
Ответы с готовыми решениями:

Китайский антивирус
Китайский антивирус, медленный интернет

Китайский антивирус
Запустил сомнительный *.exe файл, avast заблокировал пару угроз, но в систему...

Китайский антивирус
В общем китайцы захватили мой компьютер, хотел сделать логи, скачал автологгер...

Китайский антивирус
вопрос об вирусе китайском

Китайский антивирус
Добрый день. Китайский антивирус. Не дает установить Microsoft Security...

23
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 14:15 2
Здравствуйте!

Симптомы хоть опишите.
1
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
11.12.2014, 14:17  [ТС] 3
Sandor, Здравствуйте. Был установлен на бухлагтерский ПК китайский антивирус. Я его удалил в ручную, но папки не могу удалить с Programm Files. И При удаление не нужным мне файлов с рабочего стола выходит табличка "не удается удалить. нет доступа . диск может быть переполнен или защищен от записи, либо файл занят другим приложением". Переустанавливать винду без вариантов(
0
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 14:44 4
Ясно)

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:
ConvertAd
2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код
var
SL : TStringList;
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\344\application data\vopackage\vosrv.exe');
 TerminateProcessByName('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.619\baiduprotect.exe');
 StopService('BDSafeBrowser');
 StopService('BDMWrench');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('bd0001');
 StopService('servervo');
 StopService('BDSGRTP');
 QuarantineFile('C:\DOCUME~1\344\LOCALS~1\Temp\nsrB4.tmp\IpConfig.dll', '');
 QuarantineFile('C:\DOCUME~1\344\LOCALS~1\Temp\ZPnCEDz.exe', '');
 QuarantineFile('C:\Documents and Settings\344\Local Settings\Application Data\Google\chrome.bat', '');
 QuarantineFile('C:\Documents and Settings\344\fswagz.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Моzillа Firеfох.lnk','');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Портал СУФД\Портал СУФД.lnk','');
 QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Портал СУФД.lnk','');
 QuarantineFile('C:\Documents and Settings\344\Application Data\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk','');
 QuarantineFile('C:\Documents and Settings\344\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Intеrnеt Ехplоrеr.lnk','');
 QuarantineFile('C:\Documents and Settings\344\Главное меню\Программы\Google Chrome\Gооglе Сhrоmе.lnk','');
 QuarantineFile('C:\Documents and Settings\344\Главное меню\Программы\Intеrnеt Ехplоrеr.lnk','');
 QuarantineFile('C:\Documents and Settings\344\Главное меню\Программы\Стандартные\Служебные\Intеrnеt Ехplоrеr (без надстроек).lnk','');
 QuarantineFile('C:\Documents and Settings\344\Рабочий стол\firеfох.lnk','');
 QuarantineFile('C:\firefox.bat','');
 QuarantineFile('C:\FirefoxPortable.bat','');
 QuarantineFile('C:\Documents and Settings\344\Local Settings\Application Data\Google\chrome.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files\BaiduEx\uninit.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDEnhanceBoost.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDAntiExp.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDSafeBrowser.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys','');
 QuarantineFile('c:\documents and settings\344\application data\vopackage\vosrv.exe','');
 QuarantineFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.619\baiduprotect.exe','');
 DeleteFile('C:\firefox.bat','');
 DeleteFile('C:\FirefoxPortable.bat','');
 DeleteFile('C:\Documents and Settings\344\Local Settings\Application Data\Google\chrome.bat','');
 DeleteFile('C:\iexplore.bat','');
 DeleteFile('C:\DOCUME~1\344\LOCALS~1\Temp\nsrB4.tmp\IpConfig.dll', '32');
 DeleteFile('C:\DOCUME~1\344\LOCALS~1\Temp\ZPnCEDz.exe', '32');
 DeleteFile('C:\Documents and Settings\344\Local Settings\Application Data\Google\chrome.bat', '32');
 DeleteFile('C:\Documents and Settings\344\fswagz.exe', '32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe','32');
 DeleteFile('C:\Documents and Settings\344\Application Data\VOPackage\VOsrv.exe','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDSafeBrowser.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDAntiExp.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BDEnhanceBoost.sys','32');
 DeleteFile('C:\Program Files\BaiduEx\uninit.exe','32');
 DeleteService('BDEnhanceBoost');
 DeleteService('BDAntiExp');
 DeleteService('BDSafeBrowser');
 DeleteService('BDMWrench');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0001');
 DeleteService('servervo');
 DeleteService('BDSGRTP');
 DeleteFileMask('c:\program files\common files\baidu\', '*', true);
 DeleteFileMask('C:\Program Files\BaiduEx\', '*', true);
 DeleteDirectory('c:\program files\common files\baidu\');
 DeleteDirectory('C:\Program Files\BaiduEx\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduEx');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(13);
 SL:= TStringList.Create;
 SL.LoadFromFile('C:\WINDOWS\system32\drivers\etc\hosts');
 SL.Add('10.3.200.66 s0300w03.ufk03.roskazna.local   s0300w03');
 SL.Add('10.3.200.66 sufd.s0300w03.ufk03.roskazna.local   sufd');
 SL.SaveToFile('C:\WINDOWS\system32\drivers\etc\hosts');
 SL.Free;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


4. Подготовьте лог сканирования AdwCleaner.

Добавлено через 3 минуты
5. Ярлыки
C:\Documents and Settings\All Users\Главное меню\Программы\Моzillа Firеfох.lnk
C:\Documents and Settings\All Users\Главное меню\Программы\Портал СУФД\Портал СУФД.lnk
C:\Documents and Settings\All Users\Рабочий стол\Портал СУФД.lnk
C:\Documents and Settings\344\Application Data\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk
C:\Documents and Settings\344\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Intеrnеt Ехplоrеr.lnk
C:\Documents and Settings\344\Главное меню\Программы\Google Chrome\Gооglе Сhrоmе.lnk
C:\Documents and Settings\344\Главное меню\Программы\Intеrnеt Ехplоrеr.lnk
C:\Documents and Settings\344\Главное меню\Программы\Стандартные\Служебные\Intеrnеt Ехplоrеr (без надстроек).lnk
C:\Documents and Settings\344\Рабочий стол\firеfох.lnk
исправьте с помощью утилиты ClearLNK.
Отчет прикрепите к следующему сообщению.
1
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
11.12.2014, 15:02  [ТС] 5
При запуске скрипта
Ошибка ";" expected в позиции 2:1Sandor,
0
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 15:11 6
Исправил, выполняйте.
1
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
11.12.2014, 15:22  [ТС] 7
Sandor, что то отправил я сюда с другого сайта, написали что файл успешно отправлен. лог скрипта
0
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 15:24 8
Жду п.4 и 5
1
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
11.12.2014, 15:30  [ТС] 9
ClearLNK-11.12.2014_15-27.rar AdwCleaner[R0].txt
0
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 15:35 10
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.


Подготовьте лог uVS.
1
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
11.12.2014, 15:46  [ТС] 11
Sandor, пустая папка создалась, сама программа тоже удалилась. пробую еще раз

Добавлено через 1 минуту
сорри, не то сделал оказывается
0
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 15:47 12
Нажимайте не Удалить, а Очистить.
1
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
11.12.2014, 15:51  [ТС] 13
AdwCleaner[S0].rar
0
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 15:53 14
ок, давайте лог uVS.
1
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
11.12.2014, 16:03  [ТС] 15
BEST-8CA83B91AB_2014-12-11_15-58-08.7z
0
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 16:15 16
Выполните скрипт в UVS.
Код
;uVS v3.85.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
BREG
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BAIDUPROTECT.EXE
addsgn 79132211B9E9317E0AA1AB59CBCB1205DAFFF47DC4EA942D892B0942AF292811E11BC3A81BD1C9403B0B7BCACDFAC81655DCE872F65A92213DFEA953E50B32FA 64 baidu

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\344\APPDATA\LOCAL\BAIDU\BAIDU\1.3.1.157\BASE.DLL
bl 8B4D88BD7D77769B22D0CF2A7A443888 900488
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
addsgn 79132211B9E9317E0AA1AB5918CB1205DAFFF47DC4EA942D892B0942AF292811E11BC3DCC10016A5AA6CAC9C4616EA4A11DEF8FB5876DC2D3DFEB187AB0732FA 64 baidu

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\344\APPDATA\LOCAL\BAIDU\BAIDU\1.3.1.157\REPORT.DLL
bl D4702247AC6934EA4A28DB795A0AE7DF 108936
addsgn 79132211B9E9317E0AA1AB59E6CB1205DAFFF47DC4EA942D892B0942AF292811E11BC3DCC10016A5AA6CAC9C4616EA5206DAF8FB587ECB293DFEB18FBC0332FA 64 baidu

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\344\APPDATA\LOCAL\BAIDU\BAIDU\1.3.1.157\UTILS.DLL
bl C991FDD676C9BF76EDD689E22F598051 406408
delall %Sys32%\DRIVERS\BD0001.SYS
delall %Sys32%\DRIVERS\BD0002.SYS
delall %Sys32%\DRIVERS\BD0004.SYS
delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
chklst
delvir

deltmp
; Java(TM) 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
czoo
restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Повторите лог uVS.
1
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
11.12.2014, 16:32  [ТС] 17
Sandor, отправил
0
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 16:34 18
Еще это:
Цитата Сообщение от Sandor Посмотреть сообщение
Повторите лог uVS.
0
койтемиров
3 / 3 / 0
Регистрация: 18.02.2013
Сообщений: 526
11.12.2014, 16:45  [ТС] 19
BEST-8CA83B91AB_2014-12-11_16-38-42.7z
0
Sandor
Вирусоборец
12995 / 11249 / 1724
Регистрация: 08.10.2012
Сообщений: 45,448
11.12.2014, 16:48 20
В логах порядок.

Если проблема решена:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО
0
11.12.2014, 16:48
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
11.12.2014, 16:48

Китайский антивирус Baidu
Всем привет. Вот установил случайно это чудо. Пробовал сам удалить через UTool,...

Китайский антивирус Rising
Добрый день, прошу помощи специалистов: Вчера попытался установить Word с...

Не могу удалить китайский антивирус
Не могу удалить китайский антивирус Tencent


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru