Проблема с вирусом Baidu

20 декабря, 2014

После скачивания какой то программы на компьютер устновилась программа Baidu. И с каждым запуском устанавливает три китайских программы удалить не получается пишет необходимы права администратора!

CollectionLog-2014.12.20-15.56.zip

20 декабря, 2014

1. Деинсталлируйте согласно инструкции

????3.0-->C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\uninst.exe
????2.1-->C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\uninst.exe

2.

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

3. Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.doko-search.com/?babsrc=HP_ss_mib2&mntrId=5E7CDC85DE274FE4&affID=120699&tsp=5026
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O4 - HKCU\..\Run: [pcket_x86] C:\Program Files (x86)\BaiduEx\uninit.exe

4. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

27 декабря, 2014

Вот файлы от программ

Addition.txt

ClearLNK-27.12.2014_17-53.log

FRST.txt

27 декабря, 2014

Важно! Скрипт выполняйте в безопасном режиме.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:

(????????????????) C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe
HKLM\...\Run: [baiduAnTray] => "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\baiduAnTray.exe"  -stmd=3
HKLM\...\Run: [BaiduClient] => "c:\users\asus\appdata\local\baidu\baidu\1.3.1.157\Baidu.exe" -noclient
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-952969501-1991158774-1783366751-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-952969501-1991158774-1783366751-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.doko-search.com/?babsrc=HP_ss_mib2mntrId=5E7CDC85DE274FE4&affID=120699&tsp=5026
SearchScopes: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f70796de957aafa5c1d997bd37d3afc4&text={searchTerms}
SearchScopes: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f70796de957aafa5c1d997bd37d3afc4&text={searchTerms}
SearchScopes: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f70796de957aafa5c1d997bd37d3afc4&text=
SearchScopes: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=5E7CDC85DE274FE4&affID=120699&tsp=5026
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe [1940072 2014-12-04] (????????????????)
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-10-21] (Baidu)
R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [169288 2014-12-07] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-26] (Baidu Technology)
R2 BDArKit; C:\Windows\SysWOW64\DRIVERS\BDArKit.sys [152392 2014-12-27] (Baidu Technology)
R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [130888 2014-12-23] (Baidu)
S1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [52040 2014-09-23] (Baidu)
R2 BDSafeBrowser; C:\windows\system32\drivers\BDSafeBrowser.sys [48968 2014-10-20] (Baidu)
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
2014-12-27 17:48 - 2014-12-26 20:22 - 00152392 _____ (Baidu Technology) C:\windows\system32\Drivers\BDArKit.sys
2014-12-27 17:48 - 2014-10-21 06:06 - 00181072 _____ (Baidu) C:\windows\system32\Drivers\bd0001.sys
2014-12-27 17:48 - 2014-10-17 14:08 - 00041800 _____ (Baidu) C:\windows\system32\bd64_x64.dll
2014-12-27 17:48 - 2014-10-17 14:08 - 00039056 _____ (Baidu) C:\windows\system32\bd64_x86.dll
2014-12-27 01:00 - 2014-12-27 00:59 - 00152392 _____ (Baidu Technology) C:\windows\SysWOW64\Drivers\BDArKit.sys
2014-12-23 22:13 - 2014-09-23 10:16 - 00052040 _____ (Baidu) C:\windows\system32\Drivers\BDMWrench_x64.sys
2014-12-20 16:19 - 2014-10-21 06:06 - 00181072 _____ (Baidu) C:\windows\system32\Drivers\bd0001_1.sys
2014-12-11 14:51 - 2014-12-23 22:13 - 00130888 _____ (Baidu) C:\windows\system32\Drivers\BDMWrench.sys
2014-12-08 20:33 - 2014-10-20 04:56 - 00048968 _____ (Baidu) C:\windows\system32\Drivers\BDSafeBrowser.sys
2014-12-07 16:10 - 2014-12-07 16:10 - 00169288 _____ (Baidu) C:\windows\system32\Drivers\bd0004.sys
2014-12-07 16:10 - 2014-12-07 16:04 - 00144712 _____ (Baidu Technology) C:\windows\SysWOW64\Drivers\BDArKit(1).sys
2014-12-27 17:48 - 2014-11-16 00:28 - 00000000 ____D () C:\Users\Все пользователи\Baidu
2014-12-27 17:48 - 2014-11-16 00:28 - 00000000 ____D () C:\ProgramData\Baidu
2014-12-27 17:39 - 2014-11-15 22:36 - 00000000 ____D () C:\Program Files (x86)\BaiduEx
2014-12-27 00:51 - 2014-11-16 00:00 - 00000520 _____ () C:\windows\SysWOW64\an.bat
2014-12-27 00:51 - 2014-11-15 23:59 - 00000520 _____ () C:\windows\SysWOW64\sd.bat
2014-12-27 00:43 - 2013-03-01 22:20 - 00000000 ____D () C:\Users\Asus\AppData\Local\CrashDumps
2014-12-08 21:05 - 2014-11-15 22:38 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
2014-12-08 21:05 - 2014-11-15 22:38 - 00000258 __RSH () C:\ProgramData\ntuser.pol
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Сделайте новые логи Farbar из обычного режима.

1 января, 2015

Файл

Fixlog.txt

1 января, 2015

Boot Mode: Normal

Скрипт просили выполнять в безопасном режиме. Переделывайте.

Проблема с вирусом Baidu

Рекомендуемые сообщения

STENCIL

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

STENCIL

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

STENCIL

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum