Перейти к содержанию

как избавиться от baidu 1.8.0.1255


Рекомендуемые сообщения

Добрый день!

 

На компьютере вечно из трея лезла реклама.при открытие браузеров,одновременно  открывались сайты, тормоза системы.

какие действия были мной сделаны. 

 

1.Kaspersky Rescue Disk проверил им, удалил три трояна, каких не помню, после в нем же воспользовался терминалом командой windowsunlocker, было много разной грязи в реестре, все пофиксил.

2.Удалил левые проги вроде того же АМИГО, тулбары и тому подобное.

3. проверил систему Dr.Web CureIt!., вылечел мне файл HOST  и переместил файл dowloader.dll

4. сделал все как описано в  Порядок оформления запроса о помощи

 

теперь суть проблемы...при запуске  винды в трее выходят два приложения от baidu  зеленый и синий значек..через  Uninstall tool грохнул его вроде, зеленый так и не получилось удалить..даже принудительно, через некоторое время выскочил вместо синего красный..но в установленных программах,синий исчез. при подключения Флешки, baidu  выдает  окно из трея и что-то там делает.

как его удалить? 

CollectionLog-2014.10.01-11.20.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 37
  • Created
  • Последний ответ

Top Posters In This Topic

  • psiflyfire

    19

  • mike 1

    12

  • Roman_Five

    6

  • avegonysh

    1

Top Posters In This Topic

Popular Posts

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки

А что с проблемой?

Posted Images

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\plugins\extends\videofast\1.2\bdavideofast.exe');
 TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\bdaleakfixer.exe');
 TerminateProcessByName('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe');
 TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe');
 TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe');
 TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.542\baiduprotect.exe');
 TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduansvc.exe');
 SetServiceStart('ttnfd', 4);
 SetServiceStart('BDSafeBrowser', 4);
 SetServiceStart('BDMNetMon', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('6e47c8104fa871c.exe', 4);
 SetServiceStart('6d2c39711d07267.exe', 4);
 SetServiceStart('BDSGRTP', 4);
 StopService('ttnfd');
 StopService('BDSafeBrowser');
 StopService('BDMNetMon');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('6e47c8104fa871c.exe');
 StopService('6d2c39711d07267.exe');
 StopService('BDSGRTP');
 QuarantineFile('C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
 QuarantineFile('C:\Program Files (x86)\Baidu\*','');
 QuarantineFile('C:\Windows\system32\DRIVERS\CisUtMonitor.sys','');
 QuarantineFile('C:\Windows\system32\drivers\ttnfd.sys','');
 QuarantineFile('PrivacyPythonSnapshot.exe','');
 QuarantineFile('ControlRubyWindows.exe','');
 QuarantineFile('6e47c8104fa871c.exe','');
 QuarantineFile('6d2c39711d07267.exe','');
 QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDArKit.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Baidu\*','');
 DeleteFileMask('c:\program files (x86)\baidu\','* ',true ,' ');
 DeleteDirectory('c:\program files (x86)\baidu\',' ');
 DeleteFileMask('c:\program files (x86)\common files\baidu\','* ',true ,' ');
 DeleteDirectory('c:\program files (x86)\common files\baidu\',' ');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('6d2c39711d07267.exe','32');
 DeleteFile('6e47c8104fa871c.exe','32');
 DeleteFile('C:\Windows\system32\drivers\ttnfd.sys','32');
 DeleteFile('C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
 DeleteFile('C:\iexplore.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduSdTray');
 DeleteService('ttnfd');
 DeleteService('BDSafeBrowser');
 DeleteService('BDMNetMon');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('6e47c8104fa871c.exe');
 DeleteService('6d2c39711d07267.exe');
 DeleteService('BDSGRTP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe"  -stmd=3O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe"  -stmd=3 

Сделайте новые логи по правилам.

+
 

Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

  • Распакуйте архив с утилитой в отдельную папку
  • Запустите FixerBro

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В главном окне программы нажмите на кнопку "Проверить"
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  • По окончанию сканирования нажмите на кнопку "Отчет".
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
Ссылка на сообщение
Поделиться на другие сайты

Пофиксил HijackThis, удалились 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}

удалились

O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe"  -stmd=3

остались всеровно

Ссылка на сообщение
Поделиться на другие сайты

до того, как фиксить, а также после этого, от Вас требовались определённые действия, результата которых не наблюдается.

Ссылка на сообщение
Поделиться на другие сайты

Не где не  написано,что не фиксить пока, не получу ответа  по запросу в личном кабинете. Запрос написал, жду ответа.

Отчет по проге FixerBro  прикрепил

FixerBro_20141001.txt

Ссылка на сообщение
Поделиться на другие сайты

запустите ещё раз проверку в FixerBro

выделите всё и нажмите исправить.

новый лог приложите.

 

Вы 1-й скрипт из второго сообщения темы выполняли?


если "да", то повторите его выполнение в Безопасном режиме.

Ссылка на сообщение
Поделиться на другие сайты
Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Ссылка на сообщение
Поделиться на другие сайты

@Roman_Five, сделал  скрипт в безопасном режиме, ради интереса открыл HijackThis , 

O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe"  -stmd=3

эти строчки уже не отображаются.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Grohr
      От Grohr
      Антивирус стал ругаться на попытку открытия вредоносной ссылки, хотя я работал в других окнах, к браузеру не прикасался.
       
      Потом эти попытки повторились, происходят при открытом хроме (на скриншоте).
       
      Событие: Обнаружена ранее открытая вредоносная ссылка
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Не обработано
      Тип: Возможна неправомерная загрузка ПО
      Название:
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: s.gif?userid=&media=banner
      Путь к объекту:
      Причина: Облачная защита
       
      Пока пишу пост - произошла попытка скачать некое ПО.
       
      Событие: Загрузка остановлена
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: https://px802lp6y0yna586vss.crossmh.ru/s.gif?userid=&media=banner
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: s.gif?userid=&media=banner
      Путь к объекту: https://px802lp6y0yna586vss.crossmh.ru
      Причина: Облачная защита
       
      Помогите пожалуйста, что это может быть. Перед этим в комп вставлял якобы новую флешку.
       

    • Filip2p
      От Filip2p
      Здравствуйте. Вот уже продолжительное время борюсь с скрытой угрозой MEM: Trojan.Win32.SEPEH.gen. Пользуюсь Kspesky free. Переодически антивирус находит вирус, пробовал разные метоты лечения. Но вирус востанавливается и вновь съедает ресурсы ПК. Краем глаза, иногда, замечаю как на долю секунды открывается командная строка (предположение) и исчезает. Пользуюсь ноутбуком, в простое куллера шумят на всю, стоит активировать ноутбук шум прекращается. Просканировал пк Farbar может пригодиться, прежде чем создавать тему, читал форум, без помощи специалистов наврядли что получится. 
      Addition.txt FRST.txt
    • eliyyahoo
      От eliyyahoo
      Добрый день!
      В корпоративной системе поддержки пользователей мне не могут помочь уже 2 месяца.
      KES 11 определяет программный комплекс для расчета систем тягового электроснабжения "КОРТЭС" (разработка АО "ВНИИЖТ") как вредоносное ПО и удаляет его программные модули без предупреждения.
      Возможно ли внести указанный программный комплекс в исключения как доверенное ПО и распространить через обновления для пользователей ОАО "РЖД"?
      Спасибо!
       
    • Rayled
      От Rayled
      Добрый день!
      Сегодня надо было зайти на сайт kaspersky.ru, чтобы купить (продлить) лицензию. Вбил в яндексе "касперский", первой строкой выдало их рекламу, по ней и нажал, но вместо нужного сайта меня редиректнуло на "https://5015.xg4ken.com/media/redir.php?prof=..." (ссылка длинная, копировать всю не стал,  вместо точек там дальше куча команд, общая длина URL составила 788 символов). Экран браузера при этом стал чёрным. Прикрепляю видео всего этого. Проверил в Яндекс.браузере, Опере, Хроме, Файерфоксе - результат идентичный.
       
      Решил узнать что такое xg4ken.com и выдало, что это вредоносный рекламный софт, который редиректит в браузере на левые страницы вместо искомых. Почитал инструкции по избавлению о проблеме, но что-то там довольно мутно всё написано, утилиты какие-то предлагают ставить... Решил для начала сделать полную проверку диска С с помощью KIS, но результата это не дало, ничего не найдено (скрин прилагаю).
       
      Скажите, пожалуйста, ваши мысли по этому поводу и если у меня действительно на ПК проник вредоносный софт, то как от него избавиться. Заранее спасибо!

      каспер.mp4
    • Блохина Татьяна
      От Блохина Татьяна
      Добрый вечер !
      На компе случайно была установлена Опера и после этого стала появляться программа с китайскими иероглифами... Частично мне ее удалось устранить путем остановки служб в Проводнике и запусками программ деинсталляции в ее каталоге. Но полностью папку Baidy не удается удалить, требует разрешения Администратора и как будто "сидит" где-то в автозапуске... Обнаружила что это папка находится в Programm Files. Высылаю необходимый файл логов. Комп проверила Касперским и провела очистку диска.
       
      CollectionLog-2014.08.13-17.36.zip

×
×
  • Создать...