Вирус Baidu

[Zadira913]

Столкнулся вчера с этим китайским чудом

CollectionLog-2014.11.14-13.55.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

DelBHO('{7F6AFBF1-E065-4627-A2FD-810366367D01}');
 QuarantineFile('C:\Windows\SysWow64\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll','');
DeleteFile('C:\Windows\SysWow64\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll','32');

 BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDSWShellExt.dll');

BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduan.exe');
 BC_DeleteFile('c:\program files (x86)\baiduex\baiduan.txt');
 BC_DeleteFile('c:\program files (x86)\baidu\baiduan\2.3.0.2225\baiduansvc.exe');
 BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.0.0.667\baiduhips.exe');
 BC_DeleteFile('c:\program files (x86)\baiduex\uninit.exe');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\ad.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDCooly.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\bdmantivirus\bduf.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMReport.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BDMWindowsLib.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\DriverManager.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\EnhanceBoost.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\FTSOManager\BDMProcessRunningTime.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\BDMCoolyPlugins\BDMSOAccCoolyPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\bdmsafeplugins\BDMSysFixerPlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\RTPPlugins\BDMSOAccServicePlugin.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\Plugins\RTPPlugins\HipsClient.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\DllInject.dll');
 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\websafe.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDConfig.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMBase.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMNet.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMReport.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMStringUtils.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\BDMTinyXml.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\DriverManager.dll');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.0.0.667\TrustAndIso.dll');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\Windows\System32\Drivers\BDArKit.SYS');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDMNetMon');

BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Исправляйте ярлыки

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk

C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk

C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk

C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net\Battle.net.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Borderlands - The Pre-Sequel\Играть Borderlands - The Pre-Sequel.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Station Launcher.lnk

C:\Users\Public\Desktop\Battle.net.lnk"  -> ["C:\Program Files (x86)\Battle.net\Battle.net Launcher.exe

C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk

C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk

C:\Users\user\Desktop\Borderlands - The Pre-Sequel.lnk

C:\Users\user\Desktop\Diablo III Launcher - Ярлык.lnk

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text=

O4 - HKLM\..\Run: [baiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe"  -stmd=3

O4 - HKCU\..\Run: [pcket_x86] C:\Program Files (x86)\BaiduEx\uninit.exe

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b9064ed9556a036cc9dfc258f7d04eac&text=

 

 

 

Сделайте новые логи

 

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1]ComboFix[/url]

[Zadira913]

Жду ответ из лабораториию.

 

Вот новый лог

CollectionLog-2014.11.14-16.18.zip

[Zadira913]

Лог ComboFix

ComboFix.txt

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

KillAll::

 

File::

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\bd0001.sys

c:\windows\system32\drivers\BDArKit.SYS

c:\windows\system32\drivers\bd0001_1.sys

c:\windows\SysWow64\an.bat

c:\windows\SysWow64\sd.bat



Driver::

BDMNetMon

bd0001

bd0002

BaiduHips

BDMRTP

BDArKit

 

Folder::

c:\users\user\AppData\Roaming\Baidu

c:\program files (x86)\Common Files\Baidu

c:\programdata\Baidu

c:\program files (x86)\Baidu

c:\users\user\AppData\Local\Amigo

C:\found.000



Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"BaiduAnTray"=-



FileLook::

 

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Zadira913]

Выполнил

ComboFix.txt

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

 

 

Подробнее читайте в этом руководстве.

[Zadira913]

Выполнил

AdwCleanerR2.txt

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Zadira913]

Выполнил

AdwCleanerS0.txt

[mike 1]

Что с проблемой?

[Zadira913]

Признаков вируса пока не обнаружил, думаю удалили с концом. Благодарю за помощь в борьбе с этим "чудом".

[mike 1]

1. Скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

Прикрепите этот отчет в вашей теме.

 

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

 

[Zadira913]

Сделал

DelFix.txt

SecurityCheck.txt

[mike 1]

Исправьте и обновите:

 

Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Запрос на повышение прав для администраторов отключен

 

Adobe Reader X (10.1.12) - Russian v.10.1.12 Внимание! Скачать обновления

-------------Browser------------------------------

Mozilla Firefox 27.0.1 (x86 ru) v.27.0.1 Внимание! Скачать обновления

 

Советы и рекомендации после лечения компьютера