Перейти к содержанию
Правила раздела

Проблема с baidu

Krankh_A

Автор Krankh_A
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Krankh_A

Krankh_A

Опубликовано
Опубликовано

Здравствуйте. Один из клиентов поймал на машину китайца baidu. С клиентом работаю удаленно, с правами админа все в порядке. Прилагаю логи автологгера, и, на всякий случай лог AdwCleaner.

CollectionLog-2014.12.04-18.31.zip

AdwCleanerR0.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ




begin

BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe');

 BC_DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdsvc.exe');

 BC_DeleteFile('c:\program files (x86)\baidu\baidusd\1.8.0.1255\baidusdtray.exe');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdUProxy64.exe');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDKitUtils.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVCached.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMAVEng.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDMPerfMon.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\BDUDiskGuard.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\bduf.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\bdmantivirus\TrustAndIso.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BDMAVE.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BDMLog.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\DriverManager.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\plugins\bdkvrtpplugins\FileMon.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\plugins\bdkvrtpplugins\HIPSClient.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\plugins\bdkvrtpplugins\PrivacyProtect.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\Plugins\bdkvtrayplugins\BDDownLoadProtectPlugin.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\Plugins\bdkvtrayplugins\BDKVRmvDevPlugin.dll');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\Plugins\bdkvtrayplugins\BDKVTrayTipsPlugin.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\ad.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsBusiness.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsCore.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduPrevUIn.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDConfig.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDLogicUtils.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\bdmantivirus\BDKitUtils.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVCached.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVEng.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDMBase.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDMFrameWork.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDMNet.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDMReport.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDMStringUtils.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDMTinyXml.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\DriverManager.dll');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\TrustAndIso.dll');

 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');

 BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');

 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');

 BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');

 BC_DeleteFile('C:\Windows\system32\DRIVERS\BDSafeBrowser.sys');

 BC_DeleteSvc('BaiduHips');

 BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe');

 BC_DeleteSvc('bd0001');

 BC_DeleteSvc('bd0002');

 BC_DeleteSvc('BDArKit');

 BC_DeleteSvc('BDDefense');

 BC_DeleteSvc('BDSafeBrowser');

 BC_DeleteSvc('bd0004');

 BC_DeleteSvc('BDAntiExp');

 BC_DeleteFile('C:\Program Files (x86)\BaiduEx\uninit.exe');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\baiduAnTray.exe');

 BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe');

 BC_DeleteFile('C:\Program Files\BaiduEx\uninit.exe');

BC_Activate;

RebootWindows(false);

end.

Компьютер перезагрузится.


 


Сделайте новые логи

 

Сделайте лог ComboFix

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Юрий Григорьев
      Некоторые проблемы
      Автор Юрий Григорьев
      Добрый день!
      У меня возникла такая проблема:
      В kaspersky security center 10 не активна кнопка для запуска/остановки kaspersky endpoint security на клиентских тачках. Для некоторых административных групп она активна, а для остальных - нет. Я не могу разобраться в чем косяк и как исправить.
       
      Проблема2. Поставили на клиента новую версию kes и агента, в административной группе на сервере компьютер есть, но в kes не указано, что он работает под политикой. В чем может быть причина и как исправить?

    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • Readkey11
      Проблема авторизации с доменной учетной записью в ksc linux
      Автор Readkey11
      Добрый день, подскажите пожалуйста касаемо использования доменной уз для авторизации в веб-консоли на кластер KSC 15.1 linux
      Настроил опрос домена, получил информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен.
      Назначил доменной уз роль главного администратора на сервере KSC
      При попытке авторизации после длительного таймаута получаю сообщение "Недопустимые учетные данные. Пожалуйста, проверьте учетные данные и попробуйте войти снова."(данные вводятся корректно уз@домен)
      Порт 389 доступен, контроллер домена развернут на samba
      На нодах выполнил команду, для отключения принудительной проверки сертификатов
      sudo /opt/kaspersky/ksc64/sbin/klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT_AUTH -t d -v 0
      Также пробовал настраивать опрос домена с помощью точки распространения на ос Linux, ошибка та же.
    • Вадим666
      проблема с RDP
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
×
×
  • Создать...