Китайский вирус Baidu

[worvaw]

по глупости был запущен exe файл , после чего и установилась странная программа с иероглифами , из автозапуска не выгружается ,  службы не останавливаются , в папке программ файлс х86 не удаляется, антивирус Касперский нашел троян в это

*в этой программе , но не помогло , что делать ?

[Roma1]

Внимательно прочтите http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] и выполните все требования.

[worvaw]

на компьютере , после запуска exe файла , появилось стороннее программное обеспечение - Baidu  Все на китайском языке. В службах есть 2 службы от этого ПО , они не останавливались, из автозагрузки также не выгружаются , проверялось антивирусами от касперского  , а так же spн hunter - ом. Проблема не была решена. Помогите пожалуйста .(Логи прилагаются)

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

нужно ли сделать еще дополнительные действия ? а то прочитали мою тему , и не ответили... 

CollectionLog-2014.10.16-19.54.zip

[Roman_Five]

для ускорения процесса выложите ещё лог Combofix

http://virusinfo.info/showthread.php?t=58309

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Dania\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\PROGRA~3\Mozilla\yqibdbf.exe','');
QuarantineFile('C:\Windows\Adobe Flash\Adobe.exe','');
QuarantineFile('C:\ProgramData\Microsoft Help\Rgstrtn.lck','');
QuarantineFile('C:\Program Files (x86)\BaiduEx\uninit.exe','');
DeleteFile('C:\Program Files (x86)\BaiduEx\uninit.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x86');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\10513078','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1685606','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1810079','command');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','1913913');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2029432','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\21459076','command');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\21456252aq','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\2027638FdOh','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\1911651aq','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\1808035aq','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\1682423FdOh','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\10509147aq','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\23379245FdOh','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\2953005FdOh','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\38871673FdOh','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\447644FdOh','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\5307809FdOh','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\603723FdOh','32');
DeleteFile('C:\Users\Dania\AppData\Local\Temp\672957FdOh','32');
DeleteFile('C:\Windows\Adobe Flash\Adobe.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Flash Player SU','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\675671','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\606984','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5309494','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\449298','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\38885277','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2956172','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\23382412','command');
DeleteFile('C:\PROGRA~3\Mozilla\yqibdbf.exe','32');
DeleteFile('C:\Windows\system32\Tasks\buqcgxj','64');
DeleteFile('C:\Users\Dania\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.579\baiduprotect.exe');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\ad.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMPerfMon.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\bduf.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\TrustAndIso.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BDMAVE.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\DriverManager.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\ad.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\7z.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\plugins\BaiduRepair.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\plugins\HIPS.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.579\SafeBrowserDll.dll');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
BC_DeleteSvc('BDSGRTP');
BC_DeleteSvc('bd0002');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('BDSafeBrowser');
BC_DeleteSvc('BDMWrench_x64');
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

[worvaw]

первый скрипт выполнен успешно , после перезагрузки выполнил второй , нашел c:\quarantine.zip , но архив пуст , так и должно быть или я что-то упустил?

[thyrex]

1. Не стоит цитировать предыдущее сообщение полностью

 

2. Выполняйте все остальное. Не забудьте лог ComboFix

[worvaw]

Вот лог от комбо фикс , запрос , пусть и пустым карантином , но отправлен  , нужны ли авто-логи как при первом сообщении ?

 

ComboFix.txt

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

KillAll::
 
File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\drivers\BDMNetMon.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0002.sys
c:\windows\system32\drivers\bd0001.sys
 
Driver::
BDMWrench_x64
BDSafeBrowser
bd0001
bd0003
bd0004
BDMWrench
BDArKit
BDKVRTP
BDMNetMon
BDSGRTP
 
Folder::
c:\users\Dania\AppData\Roaming\Baidu
c:\program files (x86)\Common Files\Baidu
c:\programdata\Baidu
c:\program files (x86)\Baidu
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"baidusdTray"=-
 
FileLook::
 
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[worvaw]

сделано 

ComboFix.txt

[Roman_Five]

удалите через проводник эти файлы:

2014-10-15 21:04 . 2014-09-28 10:43 56648 ----a-w- c:\windows\system32\drivers\BDMWrench.sys
2014-10-15 20:44 . 2014-10-13 09:07 49480 ----a-w- c:\windows\system32\drivers\BDSafeBrowser.sys
2014-10-15 20:44 . 2014-09-28 10:43 39056 ----a-w- c:\windows\system32\bd64_x86.dll
2014-10-15 20:44 . 2014-09-28 10:43 168776 ----a-w- c:\windows\system32\drivers\bd0004.sys
2014-10-15 20:44 . 2014-09-28 10:43 41800 ----a-w- c:\windows\system32\bd64_x64.dll
2014-10-15 20:39 . 2014-06-19 03:40 109384 ----a-w- c:\windows\system32\drivers\BDMNetMon.sys
2014-10-15 20:39 . 2014-09-28 10:43 141128 ----a-w- c:\windows\system32\drivers\BDArKit.sys
2014-10-15 20:39 . 2014-07-21 07:56 64840 ----a-w- c:\windows\system32\drivers\bd0003.sys
2014-10-15 20:39 . 2014-07-21 07:56 218440 ----a-w- c:\windows\system32\drivers\bd0002.sys
2014-10-15 20:39 . 2014-07-21 07:56 160080 ----a-w- c:\windows\system32\drivers\bd0001.sys

приложите стандартные логи.

 

[worvaw]

готово 

 

удалите через проводник эти файлы:

приложите стандартные логи.

 

 

сделано , нужно что-либо еще ?

CollectionLog-2014.10.17-16.18.zip

[thyrex]

ProxyServer = 119.31.123.207:8000 сами прописали?

 

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

KillAll::
 
File::
 
Driver::
 
Folder::
 
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\10513078]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1685606]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1810079]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\2029432]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\21459076]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\23382412]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\2956172]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\38885277]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\449298]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\5309494]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\606984]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\675671]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSpeedUp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Flash Player SU]
 
FileLook::
 
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[worvaw]

да , прокси прописан был задолго до этого , самим 

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

вот 

еще раз , а  то похоже ,что не отправилось

sss.txt

sss.txt

[Roman_Five]

Деинсталлируйте ComboFix:

- нажмите Win+R 

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txt

Откройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.

Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.