Перейти к содержанию
Правила раздела

Удаление вируса Baidu (китайский) на Windows 7 x64

vanyaand1

Автор vanyaand1
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

vanyaand1

vanyaand1

Опубликовано
Опубликовано

Запустил исполняемый файл, после которого на машине появилось много приложений с китайской локализацией и общим корнем в названии Baidu.

 

Лог в аттаче.

CollectionLog-2014.11.05-11.00.zip

thyrex

thyrex

Опубликовано
Опубликовано
????2.3-->C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\uninst.exe
????2.1-->C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\uninst.exe

 

 

удалите через Установку программ (лучше в безопасном режиме)

 

Изменения в файл hosts сами вносили?

 

Выполните скрипт в AVZ
begin

BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduanupdate.exe');
 BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.0.0.667\baiduhips.exe');
 BC_DeleteFile('c:\program files (x86)\baidu\baidusd\2.1.0.3086\baidusdsvc.exe');
 BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\bdaleakfixer.exe');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\bduf.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMDownload.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMReport.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\dl.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\DriverManager.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\EnhanceBoost.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMNetMonMgrDll.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMProcessRunningTime.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMSOLiveAccDataMgr.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMSOLiveAccEngine.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMSOLiveAccStrategyMgr.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\SysAccMgrDll.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMPatcherPlugins\BDMConnect.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMPatcherPlugins\BDMPatcher.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\bdmsusplugins\BDMNetMonSusPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\bdmsusplugins\BDMSOAccSusPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmtrayplugins\BDMSOAccTrayPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmtrayplugins\BDMSOCleanerTrayPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\RTPPlugins\HipsClient.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\RTPPlugins\BDMSOAccServicePlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmtrayplugins\BDMTrayTipsPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMTrayPlugins\BDMSusPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BAV\BavCommon.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BAV\BavEngine.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BAV\BavFrame.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BAV\BavScanH.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BAV\BavScanM.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMNet.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMBase.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\DriverManager.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMTinyXml.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDKVRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('BDArKit');

BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 
Сделайте новые логи
 
Сделайте лог ComboFix
  • Спасибо (+1) 1
  • Согласен 1
thyrex

thyrex

Опубликовано
Опубликовано

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::
 
File::
c:\windows\SysWow64\drivers\BDArKit(1).sys
c:\windows\SysWow64\an.bat
c:\windows\system32\drivers\bd0001_1.sys
c:\windows\SysWow64\sd.bat
c:\windows\SysWow64\drivers\bd0003.sys
 
Driver::
BaiduHips
 
Folder::
c:\users\igorbatenko\AppData\Roaming\Baidu
c:\program files (x86)\Common Files\Baidu
c:\programdata\Baidu
 
Registry::
 
FileLook::
 
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  • Спасибо (+1) 1
  • Согласен 1
thyrex

thyrex

Опубликовано
Опубликовано
c:\windows\SysWow64\drivers\BDArKit(1).sys
c:\windows\SysWow64\an.bat
c:\windows\system32\drivers\bd0001_1.sys
c:\windows\SysWow64\sd.bat
c:\windows\SysWow64\drivers\bd0003.sys

 

если найдутся, удалите вручную

 

Проблема решена?

  • Спасибо (+1) 1
  • Согласен 1
vanyaand1

vanyaand1

Опубликовано
  • Автор
Опубликовано

 

c:\windows\SysWow64\drivers\BDArKit(1).sys
c:\windows\SysWow64\an.bat
c:\windows\system32\drivers\bd0001_1.sys
c:\windows\SysWow64\sd.bat
c:\windows\SysWow64\drivers\bd0003.sys

 

если найдутся, удалите вручную

 

Проблема решена?

 

Да, 

Огромное Спасибо!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Багет
      есть подозрение на вирус, но пока не знаю какой именно
      Автор Александр Багет
      Началось все с того, что я решил залезть в "Просмотр событий" а конкретно в PowerShell. Там я обнаружил некоторое количество событий с кодом 4104 и решил проверить в интернете что это событие из себя представляет и стоит ли мне беспокоиться о нем. Какое-то количество информации об этом event id я нашел, и в основном там говорилось о подозрительной активности или вредоносном коде/ПО. Подобное событие генерируется стабильно от 2 до 10 раз за месяц.
      Помимо PowerShell я также зашел в журнал "Безопасность" там тоже одно событие которое меня напрягло, это event id 4688. Я снова залез в гугл проверить что это может быть, и в нескольких статьях указывалось на подозрительную активность либо на хакера который делает дамп памяти при помощи LSASS.
      Я до этого ни разу не сталкивался с вирусами и понятия не имею что делать, но несколько дней назад я попробовал зайти на своем ноутбуке в безопасный режим, никакой полезной информации я не получил из этого, но после выхода из режима и проверки журнала "Безопасность" я увидел приличное количество событий 4688. Через некоторое время после выхода из безопасного режима в журнале "Безопасность" появилось 3 события с неудачной попыткой сетевого входа в систему.
      Windows Defender ничего подозрительного не нашел. Проверка Malwarebytes обнаружила 8 нежелательных файлов, но 7 из них были связанны с торернтом и еще один с впном которым я давно не пользовался, все было помещено в карантин. После проверки я через проводник удалил все файлы связанные с торрентом. Далее я еще какое-то время проверял свой пк на вирусы, пробовал это делать с выключенным интернетом и с включенным, но больше Malwarebytes ничего не находил. Хотя сообщения в PowerShell об event id 4104 продолжали появляться.
      Информация из просмотра событий пока является единственным аргументом в пользу наличия вирусов, ибо изменений в работе пк вообще не было. Единственное что меня беспокоит, время от времени мой ноутбук отключается от домашнего интернета, происходит это либо когда пк переходит в спящий режим, либо само по себе. Отключения бывают по несколько раз за день, но может и вообще не быть, какого-то паттерна я не смог увидеть. И еще в диспетчере задач в автозагрузке есть 4 приложения которые никак не открываются и у них нет иконок, но я думаю это какие-то остатки файлов от удаления нерабочих впн, вряд ли это какое-то вредоносное по.
      У меня есть скриншоты из журналов "Безопасность" и "PowerShell" если нужно то могу прислать некоторые из них.
      Подскажите как мне найти вирус или убедиться что его нет?
      И еще, в порядке оформления запроса о помощи первым пунктом сказано, что нужно установить Kaspersky Virus Removal Tool или Dr.Web CureIt и провести проверку, но у меня уже стоит Malwarebytes. Мне нужно еще один антивирус скачивать или надо удалить Malwarebytes и установить нужный? Или ничего не делать пока?
      Буду безумно рад помощи! 
      CollectionLog-2026.01.31-19.07.zip Malwarebytes Отчет о проверке 2026-01-24 050309.txt
    • DexterVron
      Tool.BtcMine.2828 (просто удалить не выходит)
      Автор DexterVron
      Всем привет. Словил Tool.BtcMine.2828, антивирусом удалять не выходит.
    • Salieri
      Словил ратник без доступа к чему - либо, новый администратор
      Автор Salieri
      Приветствую, словил ратник, антивирусы не работают, сайты , ничего, пишу с другого пк дабы подать на помощь. Ниже логи
      CollectionLog-2026.01.30-14.37.zipShortcut.txtFRST.txtAddition.txt
    • Meiras
      Появился вирус Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Meiras
    • PinkyPhosphor
      Два системных файла dwm.exe, под одним замаскированная вредоносная программа
      Автор PinkyPhosphor
      Здравствуйте. 
      Помогите с решением проблемы.
      В диспетчере задач отображается две системные программы dwm.exe, одна из них грузит ЦП на +-27% и по памяти 2,1 Гб (см. скриншот),  а у второй всё адекватно.
      Ранее видел две темы (решенные) на этом форуме с аналогичной проблемой. 
      Прошу помощи с решением данной проблемы
       

×
×
  • Создать...