Baidu 1.8.0.1255

[teageneral]

После скачивания какого-то файла (скачивался не мной, поэтому не знаю) появилось много различных тулбаров, поисковиков и прочего. Часть удалил, но остался baidu. В процессах ест много памяти. Поэтому нужно избавиться от него.

CollectionLog-2014.10.24-00.36.zip

[mike 1]

Здравствуйте! Деинсталлируйте:

 

????????????-->MsiExec.exe /I{653C1B5A-3287-47B1-8613-0745D4E771C4}
????????????-->MsiExec.exe /I{653C1B5A-3287-47B1-8613-0745D4E771C4} REMOVE=ALL
????1.8-->C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\uninst.exe

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\users\teegeetal\appdata\roaming\x11\engine.exe');
 TerminateProcessByName('c:\users\teegeetal\appdata\roaming\cppredistx86.exe');
 QuarantineFile('C:\Windows\system32\kbdmai.dll','');
 QuarantineFile('C:\Windows\system32\drivers\ttnfd.sys','');
 QuarantineFile('c:\users\teegeetal\appdata\roaming\x11\engine.exe','');
 QuarantineFile('c:\users\teegeetal\appdata\roaming\cppredistx86.exe','');
 DeleteFile('C:\Windows\system32\drivers\ttnfd.sys','32');
 DeleteFile('C:\Users\TeeGeetal\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('C:\Users\TeeGeetal\appdata\roaming\x11\engine.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
 DeleteService('ttnfd');
 DeleteFileMask('c:\users\teegeetal\appdata\roaming\x11', '*', true, ' ');
 DeleteFileMask('C:\Users\TeeGeetal\AppData\Roaming\cload2', '*', true, ' ');
 DeleteDirectory('c:\users\teegeetal\appdata\roaming\x11');     
 DeleteDirectory('C:\Users\TeeGeetal\AppData\Roaming\cload2');          
BC_ImportAll;
ExecuteSysClean;
BC_Activate;     
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe"  -stmd=3
O4 - HKCU\..\Run: [pcket_x86] C:\Program Files (x86)\BaiduEx\uninit.exe

 

Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

 

[teageneral]

Деинсталлировать baidu с помощью uninst.exe не выходит, т.к. пишет, что не удаётся найти указанный файл. А все попытки что либо сделать с самими папками baidu не увенчались успехом, т.к. пишет, что нет доступа.

______________________________________________________________

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

cppredistx86.exe,
kbdmai.dll

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"

 

KLAN-2092011956

ComboFix.rar

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

c:\windows\system32\drivers\BDArKit.sys

c:\windows\system32\drivers\bd0003.sys

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\bd0001.sys

 

Driver::

bd0003

BDKVRTP

BDArKit

 

Folder::

c:\program files (x86)\Common Files\Baidu

c:\programdata\Baidu

c:\program files (x86)\Baidu

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"baidusdTray"=-

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]

"baidusdTray"=-

 

FileLook::

 

DirLook::

c:\users\teegeetal\appdata\roaming\steam

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Изменено 24 октября, 2014 пользователем mike 1

[teageneral]

Прошу

ComboFix.rar

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

 

Driver::

 

Folder::

c:\program files (x86)\BaiduEx

 

Registry::

 

FileLook::

 

DirLook::

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[teageneral]

Вот

ComboFix.rar

[mike 1]

• Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
  

• Распакуйте архив с утилитой в отдельную папку
  

• Запустите sitlog.exe
  

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  
  
  

• В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
  

• По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
  

• Прикрепите эти отчеты в вашей теме.
  

 

[teageneral]

Вот

SITLog.txt

SITLog_Info.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

 

Driver::

 

Folder::

C:\Users\TeeGeetal\AppData\Roaming\Baidu

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????

 

Registry::

 

FileLook::

 

DirLook::

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[teageneral]

Держите

ComboFix.rar

[mike 1]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????

 

Эту папку вручную удалите. Что с проблемой?

[teageneral]

Проблема исчерпана! Спасибо за помощь 

[mike 1]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

 

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var

LogPath : string;

ScriptPath : string;

begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 

begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 

else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера