Удаление baidu.

3 декабря, 2014

Добрый вечер! Нужна помощь в удалении вируса BaiduSd3.0 Все испробовал не пооучается.

CollectionLog-2014.12.03-21.35.zip

3 декабря, 2014

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Мик1\AppData\Roaming\VG01_2\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','');
 DelBHO('{84C9B457-C48F-46CC-90C0-5A310C64108A}');
 DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Мик1\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
DeleteFile('C:\Users\Мик1\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\Мик1\AppData\Local\Kometa\kometaup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 DeleteFile('C:\iexplore.bat','32'); 
DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
 DeleteFile('C:\Users\Мик1\AppData\Roaming\VG01_2\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\VG01_2.job','64');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('c:\users\мик1\appdata\local\baidu\baidu\1.3.1.157\Baidu.exe');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe');
 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDKVRTP');
 BC_DeleteSvc('BDSGRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDMWrench');
 BC_DeleteSvc('BDSafeBrowser');
 BC_DeleteSvc('bd0004');
 BC_DeleteSvc('BDFileDefend');
 BC_DeleteSvc('BDMWrench_x64');
 BC_DeleteSvc('BdSandBox');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BDShellExt64.dll');
 BC_DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdTray.exe');
 BC_DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe');
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи

Сделайте лог ComboFix

12 января, 2015

Добрый вечер. Прождал месяц , Касперский так и не прислал файлы.

Re [VirLabSRF][Malicious file analysis][M1][LNRU][L0] [KLAN-2356148941]

Re [VirLabSRF][Malicious file analysis][M1][LNRU][L1] [KLAN-2356181330]

ComboFix.txt

CollectionLog-2015.01.12-21.13.zip

13 января, 2015

Пофиксите в HiJack



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text={searchTerms}

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text=

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fadb49324cb5c70aa11b1bc176e84ffb&text=

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

KillAll::

 

File::



c:\windows\system32\drivers\bd0003.sys

c:\windows\system32\drivers\BDDefense.sys

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\bd0001.sys

c:\windows\SysWow64\drivers\BDArKit.sys

C:\firefox.bat

C:\launcher.bat

C:\lаunсhеr.bаt.exe

c:\windows\system32\drivers\BDMWrench.sys

c:\windows\system32\bd64_x64.dll

c:\windows\system32\bd64_x86.dll

c:\windows\system32\drivers\BDSafeBrowser.sys

c:\windows\system32\drivers\bd0001_1.sys

C:\firеfох.bаt.exe



 

Driver::



bd0004

BDFileDefend

BDMWrench_x64

BDSafeBrowser

BdSandBox



BaiduHips

BDKVRTP

BDSGRTP





bd0003

BDMWrench

BDDefense

 





Folder::

c:\program files (x86)\Common Files\Baidu

c:\program files (x86)\BaiduSd3.0

 

Registry::

 

FileLook::

 

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

14 января, 2015

После того как перенес файл на пиктограму Комбо фикс запустился как в первый раз и сделал проверку с перезагрузкой, все верно?

log.txt

15 января, 2015

что с проблемой?

15 января, 2015

На сколько мне видно проблема устранилась. Спасибо большое!

Но в локальных дисках появились папки : $RECYCLE. BIN , Boot , IDE , msdownld.tmp ,

Папки удалились кроме Boot в этой папки остались подпапки с руссификацией ru-RU fr-FR memtest и тд. Как удалить эту папку?

А все решил проблему через програму Унлокер. Спасибо еще раз.

16 января, 2015

Папки удалились кроме Boot в этой папки остались подпапки с руссификацией ru-RU fr-FR memtest и тд. Как удалить эту папку? А все решил проблему через програму Унлокер. Спасибо еще раз.

перезагружались после того, как удалили?

это системная папка.

Удаление baidu.

Рекомендуемые сообщения

Дэкапитатор

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Дэкапитатор

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Дэкапитатор

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Дэкапитатор

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum