Перейти к содержанию
Правила раздела

Удаление китайской программы Baidu

Andrey91

От Andrey91
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Andrey91 Новичок

Andrey91

Опубликовано
Опубликовано

Добрый день! У меня возникла проблема с китайской программой Baidu, которая установилась на компьютер и теперь не как не хочет удаляться, антивирус не принимает ее за вирус. 

Файл логов прикрепил. 

CollectionLog-2014.11.08-10.41.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

framed display удалите через Установку программ

 

Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\framed display\bin\{7012EEC1-4F37-42D4-A2CD-26727494D248}.dll','');
 QuarantineFile('C:\Users\Lena\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 DeleteService('Util Framed Display');
 SetServiceStart('Update Framed Display', 4);
 DeleteService('Update Framed Display');
 SetServiceStart('{dda91daf-e6f8-4453-88d1-df18d861c904}Gw', 4);
 DeleteService('{dda91daf-e6f8-4453-88d1-df18d861c904}Gw');
 SetServiceStart('{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw', 4);
 DeleteService('{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw');
 SetServiceStart('{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}Gw', 4);
 DeleteService('{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}Gw');
 SetServiceStart('{7012eec1-4f37-42d4-a2cd-26727494d248}Gw', 4);
 DeleteService('{7012eec1-4f37-42d4-a2cd-26727494d248}Gw');
 SetServiceStart('{6db7eb66-a30b-41a3-809c-addb2341dafb}Gw', 4);
 DeleteService('{6db7eb66-a30b-41a3-809c-addb2341dafb}Gw');
 SetServiceStart('{29302da5-1178-40ac-a178-4cb57ebcc501}Gw', 4);
 DeleteService('{29302da5-1178-40ac-a178-4cb57ebcc501}Gw');
 SetServiceStart('{2859046f-5dca-482a-8c2d-37943d33a392}Gw', 4);
 DeleteService('{2859046f-5dca-482a-8c2d-37943d33a392}Gw');
 QuarantineFile('C:\Windows\system32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}Gw.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}Gw.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}Gw.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}Gw.sys','');
 QuarantineFile('C:\Program Files\Framed Display\FramedDisplaybho.dll','');
 TerminateProcessByName('c:\program files\framed display\updateframeddisplay.exe');
 QuarantineFile('c:\program files\framed display\updateframeddisplay.exe','');
DeleteFile('c:\program files\framed display\updateframeddisplay.exe','32');
DeleteFile('C:\Program Files\Framed Display\FramedDisplaybho.dll','32');
 DeleteFile('C:\Windows\system32\drivers\{2859046f-5dca-482a-8c2d-37943d33a392}Gw.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{6db7eb66-a30b-41a3-809c-addb2341dafb}Gw.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{8c39d0b0-9b68-43ef-bc3c-2ef385fe5169}Gw.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{dda91daf-e6f8-4453-88d1-df18d861c904}Gw.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 DeleteFile('C:\Users\Lena\AppData\Local\ok.bat','32');
 DeleteFile('C:\Users\Lena\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
 DeleteFile('C:\Users\Lena\AppData\Local\vk.bat','32');
 DeleteFile('C:\Users\Lena\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
 DeleteFile('C:\Program Files\framed display\bin\{7012EEC1-4F37-42D4-A2CD-26727494D248}.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files\baidu\baiduan\2.3.0.2225\baiduan.exe');
 BC_DeleteFile('c:\program files\baidu\baiduan\2.3.0.2225\baiduansvc.exe');
 BC_DeleteFile('c:\program files\baidu\baiduan\2.3.0.2225\baiduantray.exe');
 BC_DeleteFile('c:\program files\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe');
 BC_DeleteFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdsvc.exe');
 BC_DeleteFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdtray.exe');
 BC_DeleteFile('c:\program files\baidu\baiduan\2.3.0.2225\bdaleakfixer.exe');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDALeakfixer.exe');
 BC_DeleteFile('c:\program files\common files\baidu\bddownload\108\bddownloader.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\bduf.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDMCommon.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDMDownload.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDMMainframe.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDMScriptVM.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDMSWNestCore.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDMSWParseDetect.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDMUpdate.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDMWindowsLib.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\EnhanceBoost.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMNetMonMgrDll.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMProcessRunningTime.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMSOLiveAccDataMgr.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMSOLiveAccEngine.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMSOLiveAccStrategyMgr.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\FTSOManager\SysAccMgrDll.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\FTSysFixer\SysFixer.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\GCCallbackBind.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\GCScriptBind.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmmainframeplugins\BDMSafePlugin.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmmainframeplugins\BDMSWManagerFrame.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMPatcherPlugins\BDMConnect.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDKVDeskBand.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDConfig.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\ad.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\plugins\RTPPlugins\HipsClient.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\plugins\RTPPlugins\BDMSOAccServicePlugin.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmtrayplugins\BDMTrayTipsPlugin.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMTrayPlugins\BDMSusPlugin.dll');
 BC_DeleteFile('C:\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BDKVDOWNLOADPROTECT.DLL');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMPerfMon.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDUDiskGuard.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonHook.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\websafe.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebSafePlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\ad.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsBusiness.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsCore.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduPrevUIn.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDConfig.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMBase.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMReport.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\Windows\System32\Drivers\BDArKit.SYS');
 BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDEnhanceBoost.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDEnhanceBoost');
 BC_DeleteSvc('BDMNetMon');
 BC_DeleteFile('C:\Program Files\BaiduEx\uninit.exe');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BDSWShellExt.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\DllInject.dll');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи
 

Сделайте такой лог

Сделайте лог ComboFix

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С 
KillAll::
 
File::

c:\windows\system32\an.bat
c:\windows\system32\sd.bat
c:\users\Lena\AppData\Local\amigo.bat
C:\iexplore.bat
c:\program files\punto.bat
c:\program files\WelcomeToPunto.bat
c:\program files\layouts.bat
c:\program files\diary.bat
c:\program files\ps.bat
C:\launcher.bat
C:\Users\Lena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk 
C:\Users\Lena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
C:\Users\Lena\Desktop\Амиго.lnk

Driver::
 
Folder::
c:\users\Lena\AppData\Roaming\DigitalSites
c:\users\Lena\AppData\Roaming\Baidu
c:\programdata\Baidu
c:\program files\Common Files\Baidu

Registry::
 
FileLook::
c:\windows\system32\drivers\teitynbn.sys
 
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
cfscript.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
 
Исправляйте ярлык

 

C:\Users\Lena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
 
Пересоздайте ярлыки
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\Lena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Lena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Lena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Punto Switcher.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Дневник.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Настройка раскладок.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Новые возможности.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Справка.lnk

 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. 




KillAll:: 



FDelete::

c:\windows\system32\an.bat

c:\windows\system32\sd.bat

c:\users\Lena\AppData\Local\amigo.bat

C:\iexplore.bat

c:\program files\punto.bat

c:\program files\WelcomeToPunto.bat

c:\program files\layouts.bat

c:\program files\diary.bat

c:\program files\ps.bat

C:\launcher.bat 



Driver:: 



Folder::

c:\users\Lena\AppData\Roaming\newnext.me 



Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NextLive"=- 



FileLook:: 



DirLook:: 



Reboot::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

5315621m.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Andrey Aleksandrovich
      Удаление программы, запрещённой KL-категорией.
      От Andrey Aleksandrovich
      Всем добрый вечер, есть программа в KL-категории, которая запрещена. Об этом приходит уведомление. Через панель управления (у пользователя) не удаётся ее удалить, нет прав пишет. Что именно в политике отвечает за это? Уже все пересмотрел.
    • pacificae
      Удаленное включение защиты через KSC
      От pacificae
      Доброго времени. Исходные данные - на клиентском ПК отключил вручную защиту KES бессрочно. Вопрос - можно ли через KSC (в моем случае 13) включить защиту удалённо?
    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • androv
      Как управлять KES при удаленном подключении
      От androv
      Подключаюсь к серверу через Radmin VPN и нет доступа к KES. Помогите как это исправить.
    • Илья Н.
      Удаленная установка агента KSC
      От Илья Н.
      Добрый день!
      Имеется сервер KSC 12, с отвалившимися ПК, у которых агент администрирования не выходит на связь с сервером.
      При попытке удаленно (через PsExec) переустановить агент администрирования, с помощью команды:
       
      msiexec /i "\\address\NetAgent_12.0.0.7734\exec\Kaspersky Network Agent.msi" /qn DONT_USE_ANSWER_FILE=1 SERVERADDRESS=address.local EULA=1 SERVERPORT=14000 /l*vx c:\windows\temp\nag_ins.log Появляется ошибка установки - 1624, с сообщением в файле лога:
      MSI (s) (CC:A4) [15:57:20:095]: No System Restore sequence number for this installation. Ошибка применения преобразований. Проверьте правильности путей указанных преобразований. \\address\MST\18dd0322-f64f-4084-952a-18051b4573b1_3_NetAgent_12.0.0.7734.mst Действительно, в данной папке нет MST файла. Вопрос - как его сгенерировать? Насколько я понимаю, он должен быть автоматически сгенерирован, при формировании инсталляционного пакета. 
      Я копировал файлы из папки \NetAgent_12.0.0.7734\exec\, через ORCA генерировал MST файл и копировал на ПК - всё равно появлялась аналогичная ошибка. Как ее исправить?
        
×
×
  • Создать...