Вирус BaiduSdTray

[FedorSai]

Добрый день. В трее постоянно висит программа BaiduSdTray. Активируется когда вставляю флэшки. В браузере при открытии запускаются какие-то левые сайты. Проверка антивирусами Eset NOD и Kaspersky Virus Removal Tool 2011 результатов не дала. При проверке Dr.WebCurelt ноутбук вообще виснет и помогает только перезагрузка.

Помогите решить проблему.

Файл протоколов во вложении.

CollectionLog-2014.12.20-15.48.zip

[mike 1]

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKCU\..\RunOnce: [Adobe Speed Launcher] 1419075365

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[FedorSai]

В HiJackThis все указанные строчки пофиксил.

Лог-файлы в приложении.

Addition.txt

FRST.txt

ClearLNK-20.12.2014_17-03.log

[mike 1]

Важно! Скрипт выполняйте в безопасном режиме.

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:

(????????????????) C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe
(????????????????) C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
(????????????????) C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe
HKLM\...\Run: [baidusdTray] => C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe [2157064 2014-09-28] (????????????????)
SearchScopes: HKU\S-1-5-21-3759607550-3268409237-1072448783-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319434&octid=EB_ORIGINAL_CTID&ISID=MFC50B073-F176-4BCE-80AB-B12B122ED9EE&SearchSource=58&CUI=&UM=6&UP=SP9CDADA3A-8527-4684-B12F-53EE102D6DE0&q={searchTerms}&SSPV=
FF SearchPlugin: C:\Users\Фёдор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\trovi-search.xml
FF Extension: Info Enhancer for Firefox - C:\Users\Фёдор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil@infoenhancer.com.xpi [2014-05-13]
FF Extension: dolkaru - C:\Users\Фёдор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2661A808-1BEB-4BEC-8673-D34EECE955CB}.xpi [2014-02-05]
FF Extension: CinemaLoad - C:\Users\Фёдор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{deb24184-8668-490a-af07-b4fd27016097}.xpi [2014-05-29]
R2 BaiduHips; C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe [64008 2014-09-18] (????????????????)
R2 BDKVRTP; C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe [821768 2014-09-25] (????????????????)
R2 BDSGRTP; C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe [1940072 2014-12-04] (????????????????)
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [70984 2014-09-17] (Baidu)
R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [196424 2014-09-17] (Baidu)
R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [56136 2014-09-10] (Baidu)
R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [185672 2014-12-03] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [140104 2014-12-19] (Baidu Technology)
R2 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [123720 2014-09-23] (Baidu)
R0 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [245576 2014-12-20] (Baidu)
R2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [67656 2014-12-02] (Baidu)
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
2014-12-15 23:24 - 2014-09-23 13:14 - 00123720 _____ (Baidu) C:\Windows\system32\Drivers\BDDefense.sys
2014-12-15 23:24 - 2014-09-17 06:37 - 00196424 _____ (Baidu) C:\Windows\system32\Drivers\bd0002.sys
2014-12-15 23:18 - 2014-12-19 22:30 - 00140104 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.sys
2014-11-26 21:03 - 2014-12-20 12:32 - 00245576 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench.sys
2014-11-26 19:28 - 2014-11-26 19:28 - 00000000 ____D () C:\Users\Public\Documents\Baidu
2014-11-26 11:28 - 2014-12-03 17:03 - 00185672 _____ (Baidu) C:\Windows\system32\Drivers\bd0004.sys
2014-11-26 11:28 - 2014-12-02 11:59 - 00067656 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys
2014-11-26 11:20 - 2014-11-26 20:23 - 00000520 _____ () C:\Windows\system32\an.bat
2014-11-23 20:34 - 2014-11-23 20:34 - 00000000 ____D () C:\Program Files\BaiduAn3.0
2014-11-23 18:56 - 2014-09-17 06:37 - 00070984 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys
2014-11-23 18:56 - 2014-09-10 07:30 - 00056136 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys
2014-11-22 12:21 - 2014-11-26 20:23 - 00000520 _____ () C:\Windows\system32\sd.bat
2014-11-26 21:50 - 2014-11-09 17:15 - 00000000 ____D () C:\Users\Фёдор\AppData\Roaming\eTranslator
2014-11-26 21:07 - 2014-11-09 17:15 - 00000000 ____D () C:\Program Files\BaiduEx
2014-11-26 11:28 - 2014-11-09 17:17 - 00000000 ____D () C:\Users\Все пользователи\Baidu
2014-11-26 11:28 - 2014-11-09 17:17 - 00000000 ____D () C:\ProgramData\Baidu
2014-11-26 11:27 - 2014-11-09 17:21 - 00000000 ____D () C:\Users\Фёдор\AppData\Roaming\Baidu
2014-11-26 11:27 - 2014-11-09 17:17 - 00000000 ____D () C:\Program Files\Common Files\Baidu
EmptyTemp:
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

 

Сделайте новые логи Farbar Recovery Scan Tool из обычного режима.

 

[FedorSai]

Этот скрипт запускать в какой утилите?

Разобрался.

 

Fixlog.txt

FRST.txt

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:

HKU\S-1-5-21-3759607550-3268409237-1072448783-1000\...\RunOnce: [Adobe Speed Launcher] => 1419095717
Toolbar: HKU\S-1-5-21-3759607550-3268409237-1072448783-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-3759607550-3268409237-1072448783-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3759607550-3268409237-1072448783-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S0 BDMWrench; system32\DRIVERS\BDMWrench.sys [X]
Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

 

Сделайте новые логи Автологгером.

[FedorSai]

В безопасном режиме делать?

[mike 1]

Нет, в обычном все делайте. 

[FedorSai]

Всё сделал.

Fixlog.txt

CollectionLog-2014.12.21-01.10.zip

[mike 1]

Эти папки удалите:

2014-11-09 17:17:08 ----D---- C:\Program Files\Baidu
2014-11-09 17:16:52 ----D---- C:\Program Files\Torrent Search

Что с проблемой? 

[FedorSai]

Всё отлично. Больше не появляется. Большое спасибо. Что можете посоветовать для предотвращения подобного?

[mike 1]

• Скачайте DelFix и сохраните утилиту на Рабочем столе

• Запустите DelFix

  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

• В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

• Нажмите на кнопку Run

• После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

• Прикрепите этот отчет в вашей теме.

 

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

 

 

[FedorSai]

Готово.

DelFix.txt

SecurityCheck.txt

[mike 1]

Обновите:

 

Internet Explorer 10.0.9200.17183 Внимание! Скачать обновления

Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Запрос на повышение прав для администраторов отключен

 

Foxit Reader v.5.3.0.423 Внимание! Скачать обновления

Java 7 Update 67 v.7.0.670 Внимание! Скачать обновления

^Скачайте jre-7u72-windows-i586.exe^

Adobe Reader X (10.1.13) v.10.1.13 Внимание! Скачать обновления

 

Советы и рекомендации после лечения компьютера

 

[FedorSai]

Благодарю за помощь!