как избавиться от baidu 1.8.0.1255

[psiflyfire]

Добрый день!

 

На компьютере вечно из трея лезла реклама.при открытие браузеров,одновременно  открывались сайты, тормоза системы.

какие действия были мной сделаны. 

 

1.Kaspersky Rescue Disk проверил им, удалил три трояна, каких не помню, после в нем же воспользовался терминалом командой windowsunlocker, было много разной грязи в реестре, все пофиксил.

2.Удалил левые проги вроде того же АМИГО, тулбары и тому подобное.

3. проверил систему Dr.Web CureIt!., вылечел мне файл HOST  и переместил файл dowloader.dll

4. сделал все как описано в  Порядок оформления запроса о помощи

 

теперь суть проблемы...при запуске  винды в трее выходят два приложения от baidu  зеленый и синий значек..через  Uninstall tool грохнул его вроде, зеленый так и не получилось удалить..даже принудительно, через некоторое время выскочил вместо синего красный..но в установленных программах,синий исчез. при подключения Флешки, baidu  выдает  окно из трея и что-то там делает.

как его удалить? 

CollectionLog-2014.10.01-11.20.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\plugins\extends\videofast\1.2\bdavideofast.exe');
 TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\bdaleakfixer.exe');
 TerminateProcessByName('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe');
 TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe');
 TerminateProcessByName('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe');
 TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.542\baiduprotect.exe');
 TerminateProcessByName('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduansvc.exe');
 SetServiceStart('ttnfd', 4);
 SetServiceStart('BDSafeBrowser', 4);
 SetServiceStart('BDMNetMon', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('6e47c8104fa871c.exe', 4);
 SetServiceStart('6d2c39711d07267.exe', 4);
 SetServiceStart('BDSGRTP', 4);
 StopService('ttnfd');
 StopService('BDSafeBrowser');
 StopService('BDMNetMon');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('6e47c8104fa871c.exe');
 StopService('6d2c39711d07267.exe');
 StopService('BDSGRTP');
 QuarantineFile('C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
 QuarantineFile('C:\Program Files (x86)\Baidu\*','');
 QuarantineFile('C:\Windows\system32\DRIVERS\CisUtMonitor.sys','');
 QuarantineFile('C:\Windows\system32\drivers\ttnfd.sys','');
 QuarantineFile('PrivacyPythonSnapshot.exe','');
 QuarantineFile('ControlRubyWindows.exe','');
 QuarantineFile('6e47c8104fa871c.exe','');
 QuarantineFile('6d2c39711d07267.exe','');
 QuarantineFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDArKit.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Baidu\*','');
 DeleteFileMask('c:\program files (x86)\baidu\','* ',true ,' ');
 DeleteDirectory('c:\program files (x86)\baidu\',' ');
 DeleteFileMask('c:\program files (x86)\common files\baidu\','* ',true ,' ');
 DeleteDirectory('c:\program files (x86)\common files\baidu\',' ');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('6d2c39711d07267.exe','32');
 DeleteFile('6e47c8104fa871c.exe','32');
 DeleteFile('C:\Windows\system32\drivers\ttnfd.sys','32');
 DeleteFile('C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
 DeleteFile('C:\iexplore.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduSdTray');
 DeleteService('ttnfd');
 DeleteService('BDSafeBrowser');
 DeleteService('BDMNetMon');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('6e47c8104fa871c.exe');
 DeleteService('6d2c39711d07267.exe');
 DeleteService('BDSGRTP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe"  -stmd=3O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe"  -stmd=3 

Сделайте новые логи по правилам.

+

 

Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

[psiflyfire]

Пофиксил HijackThis, удалились 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}

удалились

O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe"  -stmd=3

остались всеровно

[Roman_Five]

до того, как фиксить, а также после этого, от Вас требовались определённые действия, результата которых не наблюдается.

[psiflyfire]

Не где не  написано,что не фиксить пока, не получу ответа  по запросу в личном кабинете. Запрос написал, жду ответа.

Отчет по проге FixerBro  прикрепил

FixerBro_20141001.txt

[Roman_Five]

 

 

Сделайте новые логи по правилам.

[psiflyfire]

эти логи? не понял изначально про какие логи и через чего.

CollectionLog-2014.10.01-14.51.zip

[Roman_Five]

запустите ещё раз проверку в FixerBro

выделите всё и нажмите исправить.

новый лог приложите.

 

Вы 1-й скрипт из второго сообщения темы выполняли?

если "да", то повторите его выполнение в Безопасном режиме.

[psiflyfire]

да выполнял, его выполнить после FixerBro исправлений ?

[Roman_Five]

не важно.

[psiflyfire]

логи

CollectionLog-2014.10.01-15.13.zip

[mike 1]

Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению." 

[psiflyfire]

@Roman_Five, сделал  скрипт в безопасном режиме, ради интереса открыл HijackThis , 

O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe"  -stmd=3

эти строчки уже не отображаются.

[mike 1]

Ждем лог Combofix

[psiflyfire]

@mike 1,как раз этим занимался.

 

ComboFix.txt