Нежелательное программное обеспечение "Baidu"

[Gerych_com]

Воспользвался непроверенным ПО, результат не заставил себя долго ждать - несколько папок и процессов, которые не могу удалить. В вложении лог. Заранее спасибо.

CollectionLog-2014.12.11-18.09.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin   
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\firefox.bat','');
 DeleteFile('C:\firefox.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
 DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f5d48704dc20331234eaa5c352db14e8&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f5d48704dc20331234eaa5c352db14e8&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f5d48704dc20331234eaa5c352db14e8&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f5d48704dc20331234eaa5c352db14e8&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O2 - BHO: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O4 - HKCU\..\Run: [baidu] C:\Program Files\baidu\BindEx.exe
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f5d48704dc20331234eaa5c352db14e8&text=

 

 

• Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе

• Распакуйте архив с утилитой в отдельную папку

• Запустите FixerBro

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В главном окне программы нажмите на кнопку "Проверить"

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)

• По окончанию сканирования нажмите на кнопку "Отчет".

• Сохраните лог утилиты

• Прикрепите сохраненный отчет в вашей теме.

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[Gerych_com]

Здравствуйте, mike 1!

Спасибо за помощь. Выполнил всю последовательность действий, ответ от Лаборатории Касперского пока не получен номер KLAN-2356990064, полученные файлы в приложении.

FixerBro_20141215.txt

Addition.txt

FRST.txt

[mike 1]

Важно! Скрипт выполняйте в безопасном режиме.

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
  

(????????????????) C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe

(????????????????) C:\Program Files\baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe

(????????????????) C:\Program Files\baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe

(????????????????) C:\Program Files\baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe

(????????????????) C:\Program Files\baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe

HKLM\...\Run: [] => [X]

HKLM\...\Run: [baidusdTray] => C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe [2157064 2014-09-28] (????????????????)

HKLM\...\Run: [BaiduAnTray] => C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe [2087432 2014-10-10] (????????????????)

SearchScopes: HKU\S-1-5-21-1193938251-871002638-3422196581-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f5d48704dc20331234eaa5c352db14e8&text={searchTerms}

SearchScopes: HKU\S-1-5-21-1193938251-871002638-3422196581-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f5d48704dc20331234eaa5c352db14e8&text=

Winsock: Catalog5 09 C:\Program Files\Bonjour\mdnsNSP.dll [121704] (Apple Inc.)

Winsock: Catalog9 01 C:\Windows\system32\mintcastnetworks.dll File Not found ()

Winsock: Catalog9 02 C:\Windows\system32\mintcastnetworks.dll File Not found ()

Winsock: Catalog9 03 C:\Windows\system32\mintcastnetworks.dll File Not found ()

Winsock: Catalog9 04 C:\Windows\system32\mintcastnetworks.dll File Not found ()

Winsock: Catalog9 31 C:\Windows\system32\mintcastnetworks.dll File Not found ()

FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File

R2 BaiduHips; C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe [64008 2014-09-18] (????????????????)

R2 BDKVRTP; C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe [821768 2014-09-25] (????????????????)

R2 BDMRTP; C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe [1047048 2014-10-10] (????????????????)

R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [70984 2014-09-17] (Baidu)

R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [196424 2014-09-17] (Baidu)

R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [56136 2014-09-10] (Baidu)

R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [140104 2014-12-11] (Baidu Technology)

R2 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [123720 2014-09-23] (Baidu)

R1 BDEnhanceBoost; C:\Windows\System32\drivers\BDEnhanceBoost.sys [61256 2014-09-19] (Baidu)

R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [229712 2014-12-11] (Baidu)

S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]

S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]

2014-12-11 18:44 - 2014-12-11 18:36 - 00229712 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench.sys

2014-12-11 12:09 - 2014-12-11 12:09 - 00000000 ____D () C:\Users\123\AppData\Roaming\Baidu

2014-12-11 12:09 - 2014-09-23 12:14 - 00123720 _____ (Baidu) C:\Windows\system32\Drivers\BDDefense.sys

2014-12-11 12:09 - 2014-09-19 19:02 - 00061256 _____ (Baidu) C:\Windows\system32\Drivers\BDEnhanceBoost.sys

2014-12-11 12:03 - 2014-12-11 19:09 - 00000000 ____D () C:\Users\Все пользователи\Baidu

2014-12-11 12:03 - 2014-12-11 19:09 - 00000000 ____D () C:\ProgramData\Baidu

2014-12-11 12:03 - 2014-12-11 13:31 - 00140104 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.sys

2014-12-11 12:03 - 2014-12-11 12:09 - 00000000 ____D () C:\Program Files\Common Files\Baidu

2014-12-11 12:03 - 2014-12-09 09:05 - 00337520 ____H (Mozilla Corporation) C:\firеfох.bаt.exe

2014-12-11 12:03 - 2014-09-17 05:37 - 00196424 _____ (Baidu) C:\Windows\system32\Drivers\bd0002.sys

2014-12-11 12:03 - 2014-09-17 05:37 - 00070984 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys

2014-12-11 12:03 - 2014-09-10 06:30 - 00056136 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys

2014-12-11 12:03 - 2011-04-19 10:35 - 00748336 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe

2014-12-11 12:02 - 2014-12-11 18:56 - 00000000 ____D () C:\Program Files\baidu

2014-12-11 18:49 - 2012-01-11 09:45 - 00000000 ____D () C:\Program Files\StartNow Toolbar

2014-12-11 16:30 - 2013-03-14 09:20 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol

2014-12-11 16:30 - 2013-03-14 09:20 - 00000258 __RSH () C:\ProgramData\ntuser.pol

EmptyTemp:

Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

 

 

Важно! Если после фикса пропадет интернет откройте AVZ => Файл => Восстановление системы => Отметьте 15 пункт и нажмите "Выполнить". Перезагрузите компьютер.

 

Сделайте новые логи Farbar Recovery Scan Tool из обычного режима.

 

[Gerych_com]

Добрый день, mike 1!

После выполнения указанных выше действий, при следующем включении видимых следов "Baidu" не обнаружил. Огромное спасибо за помощь!

В приложении требуемые логи.

FRST.txt

Fixlog.txt

[mike 1]

C:\Windows\system32\???????????????????????????????????????????????

Этот файл удалите. 

 

Сделайте новые логи Автологгером.

[Gerych_com]

Файл удален, новый лог в приложении.

CollectionLog-2014.12.18-17.57.zip

[mike 1]

Все выписываем Логи в порядке.

 

 

• Скачайте DelFix и сохраните утилиту на Рабочем столе

• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

• Нажмите на кнопку Run

• После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

• Прикрепите этот отчет в вашей теме.

 

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt