Baidu

[grozma]

Добрый вечер)) Искал в инете "Ватсап" для компьютера, разрешил установку  какого-то левого файла..  заразился комп капитально байдой и еще чем-то, мазила сама начала спамовые окна открывать или по клику, на нужную ссылку, перенаправляет в казино или еще куда.. комп стал работать медленно, антивирусами чистил, толку нет.. Еще не могу найти браузер "интернет эксплоер", среди программ, загружаю с Яндекса эксплоер а он после перезапуска исчезает.. Еще выходят окна вот с иероглифами, разные синие, зеленные.. Еще выходит уведомление о том что мол "корзина" диска "С" повреждена, и другие глюки наблюдаются.. 

CollectionLog-2014.12.08-16.25.zip

[mike 1]

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[grozma]

Доброго дня)) Спасибо за помощь! Прикрепил требуемые отчеты.

ClearLNK-10.12.2014_10-10.log

Addition.txt

FRST.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:

R2 BaiduHips; C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe [64008 2014-09-18] (????????????????)
R2 BDKVRTP; C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe [821768 2014-09-25] (????????????????)
R2 BDMRTP; C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe [1047048 2014-10-10] (????????????????)
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [174416 2014-09-17] (Baidu)
R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [190280 2014-09-17] (Baidu)
R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [65864 2014-09-10] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [144712 2014-12-01] (Baidu Technology)
R2 BDArKit; C:\Windows\SysWOW64\DRIVERS\BDArKit.sys [148808 2014-12-10] (Baidu Technology)
R2 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [103240 2014-09-22] (Baidu)
R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [52040 2014-09-23] (Baidu)
R2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-11-17] (Baidu)
S1 bd0004; system32\DRIVERS\bd0004.sys [X]
S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
(????????????????) C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe
(????????????????) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
(????????????????) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe
(????????????????) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
(????????????????) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe
(????????????????) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
(????????????????) C:\Users\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe
(????????????????) C:\Users\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe
HKLM\...\Run: [baiduAnTray] => C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\baiduAnTray.exe [2087432 2014-10-10] (????????????????)
HKLM-x32\...\Run: [baidusdTray] => C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe [2157064 2014-09-28] (????????????????)
HKLM-x32\...\Run: [BaiduAnTray] => C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe [2087432 2014-10-10] (????????????????)
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043&q={searchTerms}
HKU\S-1-5-21-1480531996-1614842187-105562336-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=362&systemid=406&v=n9854-146&apn_uid=2743390793064628&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043&q={searchTerms}
SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={C45F49D3-4AA6-11E2-8E49-50E5499FA81C}
SearchScopes: HKU\S-1-5-21-1480531996-1614842187-105562336-1000 -> yandex.ru-172234 URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={C45F49D3-4AA6-11E2-8E49-50E5499FA81C}
SearchScopes: HKU\S-1-5-21-1480531996-1614842187-105562336-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391769528&from=wpc&uid=WDCXWD5000AAKX-083CA1_WD-WCAYUHS8804388043&q={searchTerms}
BHO: No Name -> {03C04F0A-E2A3-4F7F-BA30-BFA06FFD1358} ->  No File
BHO: No Name -> {8D029EF7-E701-52BB-2A99-1B4B24A112B2} ->  No File
BHO: No Name -> {B761CD85-11D6-0E04-1745-9ED46EF9AE69} ->  No File
BHO-x32: No Name -> {03C04F0A-E2A3-4F7F-BA30-BFA06FFD1358} ->  No File
BHO-x32: No Name -> {15DEE173-1BE9-4424-81E0-58A87076E9B1} ->  No File
BHO-x32: No Name -> {2C92F24E-CFD3-91FA-184B-1847B5253744} ->  No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
BHO-x32: No Name -> {8D029EF7-E701-52BB-2A99-1B4B24A112B2} ->  No File
BHO-x32: No Name -> {95289393-33EA-4F8D-B952-483415B9C955} ->  No File
BHO-x32: No Name -> {B761CD85-11D6-0E04-1745-9ED46EF9AE69} ->  No File
BHO-x32: No Name -> {E3D96E85-529D-4269-AC6A-97CF9E2221E3} ->  No File
CHR Extension: (Adobe DTM Switch) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk [2014-12-01]
2014-12-08 11:40 - 2014-12-08 13:37 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\Baidu
2014-12-03 23:14 - 2014-12-10 10:01 - 00148808 _____ (Baidu Technology) C:\Windows\SysWOW64\Drivers\BDArKit.sys
2014-12-02 18:57 - 2014-09-23 10:16 - 00052040 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench_x64.sys
2014-12-01 10:55 - 2014-12-01 07:53 - 00144712 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.SYS
2014-12-01 10:55 - 2014-09-17 05:37 - 00174416 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys
2014-12-01 07:56 - 2014-11-17 06:15 - 00048968 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys
2014-12-01 07:49 - 2014-09-22 10:34 - 00103240 _____ (Baidu) C:\Windows\system32\Drivers\BDDefense.sys
2014-12-01 07:46 - 2014-12-08 17:55 - 00000000 ____D () C:\Users\Все пользователи\Baidu
2014-12-01 07:46 - 2014-12-08 17:55 - 00000000 ____D () C:\ProgramData\Baidu
2014-12-01 07:46 - 2014-09-17 05:37 - 00190280 _____ (Baidu) C:\Windows\system32\Drivers\bd0002.sys
2014-12-01 07:46 - 2014-09-10 06:30 - 00065864 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys
2014-12-01 07:43 - 2014-12-08 11:03 - 00000000 ___DC () C:\Program Files (x86)\baidu
2014-12-01 07:31 - 2014-12-01 12:59 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\Browsers
2014-12-01 07:30 - 2014-12-01 07:30 - 00000000 ____D () C:\Users\Admin\AppData\Roaming\ICL
2014-12-10 09:55 - 2014-02-07 13:37 - 00000436 ____H () C:\Windows\Tasks\WS-Enabler-S-1404196680.job
2014-12-05 22:34 - 2014-02-07 13:36 - 00000000 ____D () C:\Users\Все пользователи\YoutubeAdblocker
2014-12-05 22:34 - 2014-02-07 13:36 - 00000000 ____D () C:\Users\Все пользователи\gireaTsaveerr
2014-12-05 22:34 - 2014-02-07 13:36 - 00000000 ____D () C:\ProgramData\YoutubeAdblocker
2014-12-05 22:34 - 2014-02-07 13:36 - 00000000 ____D () C:\ProgramData\gireaTsaveerr
2014-12-01 20:12 - 2014-02-16 22:51 - 00000000 ____D () C:\Users\Все пользователи\gbfhdocobgonekmemlomjdjjdkafdaja
2014-12-01 20:12 - 2014-02-16 22:51 - 00000000 ____D () C:\ProgramData\gbfhdocobgonekmemlomjdjjdkafdaja
2014-12-01 12:59 - 2014-02-16 22:51 - 00000000 ____D () C:\Users\Все пользователи\TubeAadblOckkEr
2014-12-01 12:59 - 2014-02-16 22:51 - 00000000 ____D () C:\ProgramData\TubeAadblOckkEr
Task: {48307F9B-1AFF-46CB-AB2B-635B5477F187} - System32\Tasks\2029 => Wscript.exe C:\TEMP\launchie.vbs //B <==== ATTENTION
Task: {94C2E662-5BEF-4445-8664-52F9C92FF0D4} - \{DBFDA27B-AC16-418D-9838-E767A0D45565} No Task File <==== ATTENTION
Task: {9912789D-0542-4FB0-B635-E76BAFCFD19D} - \WS-Enabler-S-1404196680 No Task File <==== ATTENTION
Task: {C3499CEA-55C0-4655-B1BF-7C12EEF34906} - \SystemScript No Task File <==== ATTENTION
Task: {E73825E4-ADA1-46AC-B232-9C4DF42ED9FD} - \{5326D74D-EC9B-4C5E-A7DA-88025C97DC69} No Task File <==== ATTENTION
Task: C:\Windows\Tasks\WS-Enabler-S-1404196680.job => c:\programdata\setapp\ws-enabler\WS-Enabler.exe <==== ATTENTION
2014-12-01 07:46 - 2014-09-10 06:30 - 00122760 ____C () C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BDKVDeskBand64.dll
2014-08-28 10:58 - 2014-08-28 10:58 - 00316232 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMFrameWork.dll
2014-08-28 10:57 - 2014-08-28 10:57 - 00279368 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMCommon.dll
2014-08-28 10:58 - 2014-08-28 10:58 - 00295752 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccDataMgr.dll
2014-08-28 10:58 - 2014-08-28 10:58 - 00062280 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMNetMonMgrDll.dll
EmptyTemp:
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

Сделайте новые логи Farbar Recovery Scan Tool

[grozma]

Доброго дня)

После запуска процесса сканирования, стало вылезать окно? предупреждение на китайском, cначало в желтом цвете, потом красное, с обратным 30 секундным отсчетом, я их закрывал ..)) прикрепил скрин окна..

Fixlog.txt

FRST.txt

[mike 1]

Выполните скрипт из 4 сообщения в безопасном режиме. Потом сделайте новые логи Farbar Recovery Scan Tool

[grozma]

Не удалось выполнить скрипт из сообщения #4, утилитой AVZ , в безопасном режиме винды. AVZ, выдает ошибку в тексте, "begin" в позиции 1:1.., добавил "begin" в первую строку текста, вышла ошибка " ; " , в позиции 2:4.. Может я что-то не так делаю? 

[mike 1]

Так скрипт из 4 сообщения нужно выполнять в Farbar Recovery Scan Tool, а не AVZ.

Изменено 11 декабря, 2014 пользователем mike 1

[grozma]

Объясните пожалуйста, как выполнить скрипт в Farbar Recovery Scan Tool, сам не могу найти эту инфу.)

Объясните пожалуйста, как выполнить скрипт в Farbar Recovery Scan Tool, сам не могу найти эту инфу.)

Объясните пожалуйста, как выполнить скрипт в Farbar Recovery Scan Tool, сам не могу найти эту инфу.)

[Roman_Five]

внимательно перечитайте весь Ваш топик.

всё есть.

[grozma]

Сделал все как в 4 посте, только в безопасном режиме)

Fixlog.txt

FRST.txt

Addition.txt

[Roman_Five]

 

 

только в безопасном режиме)

почему? в обычном не получалось?

а что за чудеса?

AV: Kaspersky Total Security (Disabled - Up to date) {179979E8-273D-D14E-0543-2861940E4886}
AV: avast! Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AS: Kaspersky Total Security (Disabled - Up to date) {ACF8980C-0107-DEC0-3FF3-1313EF89023B}
AS: avast! Antivirus (Disabled - Up to date) {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
FW: Kaspersky Total Security (Disabled) {2FA2F8CD-6D52-D016-2E1C-81546ADD0FFD}
FW: avast! Antivirus (Disabled) {2F96FC65-F07D-9D1E-5A6E-3DA5C487EAF0}

как у Вас уживаются 2 антивируса?

 

[grozma]

Спасибо) Результат уже виден) китайцы не появились на рабочем столе, в панели задач, после перезагрузки. Но в программах и файлах компа байду еще сидит) На скрине, внизу списка.

Выполните скрипт из 4 сообщения в безопасном режиме. Потом сделайте новые логи Farbar Recovery Scan Tool

 

На счет антивирусов не знаю даже, я их включал параллельно, оба работали. сканировали..))

Еще выходит уведомление о повреждении корзины, чтобы удалить файл, какой либо, приходится сначало закрыть это уведомление, после, файл удаляется..

AV: Kaspersky Total Security (Disabled - Up to date) {179979E8-273D-D14E-0543-2861940E4886}
AV: avast! Antivirus (Disabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AS: Kaspersky Total Security (Disabled - Up to date) {ACF8980C-0107-DEC0-3FF3-1313EF89023B}
AS: avast! Antivirus (Disabled - Up to date) {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
FW: Kaspersky Total Security (Disabled) {2FA2F8CD-6D52-D016-2E1C-81546ADD0FFD}
FW: avast! Antivirus (Disabled) {2F96FC65-F07D-9D1E-5A6E-3DA5C487EAF0}

как у Вас уживаются 2 антивируса?

 

 

Вот видео как антивирусы работают одновременно. Может потому что обе версии "пробные" или винда  повреждена))

2014-12-11 22h18_40.mp4

[mike 1]

 

 

На счет антивирусов не знаю даже, я их включал параллельно, оба работали. сканировали..))

Второй антивирус нужно деинсталлировать.

 

Новые логи Farbar Recovery Scan Tool сделайте из обычного режима. 

[grozma]

Доброго дня)) Вошел в инет с другого устройства, тот комп, который был заражен байдой, после перезагрузки странно себя повел. Наверное после одновременного включения двух антивирусов, незнаю. Виндовс запустился нормально но слетело интернет соединение локальное, выдается уведомление что необходимо актив ное соединение. Диоды которые мигают при подключении  интернет кабеля  с активным соединениемЮ молчат) Постараюсь исправить интернет  соединение на зараженном компе.

Забыл добавить, при всем выше сказанном, само интернет соединение функционирует нормально.