Перейти к содержанию
Правила раздела

Проблема с вирусом Baidu

STENCIL

Автор STENCIL
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

STENCIL

STENCIL

Опубликовано
Опубликовано

После скачивания какой то программы на компьютер устновилась программа Baidu. И с каждым запуском устанавливает три китайских программы удалить не получается пишет необходимы права администратора!

CollectionLog-2014.12.20-15.56.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

1. Деинсталлируйте согласно инструкции

????3.0-->C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\uninst.exe
????2.1-->C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\uninst.exe

2.

 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
     
  • Распакуйте архив с утилитой в отдельную папку.
     
  • Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке
     
    move.gif
     
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
     
  • Прикрепите этот отчет к своему следующему сообщению.
     

 

3.  Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.doko-search.com/?babsrc=HP_ss_mib2&mntrId=5E7CDC85DE274FE4&affID=120699&tsp=5026
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O4 - HKCU\..\Run: [pcket_x86] C:\Program Files (x86)\BaiduEx\uninit.exe
 

 

4. Скачайте Farbar Recovery Scan Tool  FRST_canned.png?dl=1 и сохраните на Рабочем столе.

 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
FRST.png?dl=1
 
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Важно! Скрипт выполняйте в безопасном режиме.
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
(????????????????) C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe
HKLM\...\Run: [baiduAnTray] => "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\baiduAnTray.exe"  -stmd=3
HKLM\...\Run: [BaiduClient] => "c:\users\asus\appdata\local\baidu\baidu\1.3.1.157\Baidu.exe" -noclient
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-952969501-1991158774-1783366751-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-952969501-1991158774-1783366751-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.doko-search.com/?babsrc=HP_ss_mib2mntrId=5E7CDC85DE274FE4&affID=120699&tsp=5026
SearchScopes: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f70796de957aafa5c1d997bd37d3afc4&text={searchTerms}
SearchScopes: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f70796de957aafa5c1d997bd37d3afc4&text={searchTerms}
SearchScopes: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f70796de957aafa5c1d997bd37d3afc4&text=
SearchScopes: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=5E7CDC85DE274FE4&affID=120699&tsp=5026
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-952969501-1991158774-1783366751-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.645\BaiduProtect.exe [1940072 2014-12-04] (????????????????)
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-10-21] (Baidu)
R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [169288 2014-12-07] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-26] (Baidu Technology)
R2 BDArKit; C:\Windows\SysWOW64\DRIVERS\BDArKit.sys [152392 2014-12-27] (Baidu Technology)
R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [130888 2014-12-23] (Baidu)
S1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [52040 2014-09-23] (Baidu)
R2 BDSafeBrowser; C:\windows\system32\drivers\BDSafeBrowser.sys [48968 2014-10-20] (Baidu)
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
2014-12-27 17:48 - 2014-12-26 20:22 - 00152392 _____ (Baidu Technology) C:\windows\system32\Drivers\BDArKit.sys
2014-12-27 17:48 - 2014-10-21 06:06 - 00181072 _____ (Baidu) C:\windows\system32\Drivers\bd0001.sys
2014-12-27 17:48 - 2014-10-17 14:08 - 00041800 _____ (Baidu) C:\windows\system32\bd64_x64.dll
2014-12-27 17:48 - 2014-10-17 14:08 - 00039056 _____ (Baidu) C:\windows\system32\bd64_x86.dll
2014-12-27 01:00 - 2014-12-27 00:59 - 00152392 _____ (Baidu Technology) C:\windows\SysWOW64\Drivers\BDArKit.sys
2014-12-23 22:13 - 2014-09-23 10:16 - 00052040 _____ (Baidu) C:\windows\system32\Drivers\BDMWrench_x64.sys
2014-12-20 16:19 - 2014-10-21 06:06 - 00181072 _____ (Baidu) C:\windows\system32\Drivers\bd0001_1.sys
2014-12-11 14:51 - 2014-12-23 22:13 - 00130888 _____ (Baidu) C:\windows\system32\Drivers\BDMWrench.sys
2014-12-08 20:33 - 2014-10-20 04:56 - 00048968 _____ (Baidu) C:\windows\system32\Drivers\BDSafeBrowser.sys
2014-12-07 16:10 - 2014-12-07 16:10 - 00169288 _____ (Baidu) C:\windows\system32\Drivers\bd0004.sys
2014-12-07 16:10 - 2014-12-07 16:04 - 00144712 _____ (Baidu Technology) C:\windows\SysWOW64\Drivers\BDArKit(1).sys
2014-12-27 17:48 - 2014-11-16 00:28 - 00000000 ____D () C:\Users\Все пользователи\Baidu
2014-12-27 17:48 - 2014-11-16 00:28 - 00000000 ____D () C:\ProgramData\Baidu
2014-12-27 17:39 - 2014-11-15 22:36 - 00000000 ____D () C:\Program Files (x86)\BaiduEx
2014-12-27 00:51 - 2014-11-16 00:00 - 00000520 _____ () C:\windows\SysWOW64\an.bat
2014-12-27 00:51 - 2014-11-15 23:59 - 00000520 _____ () C:\windows\SysWOW64\sd.bat
2014-12-27 00:43 - 2013-03-01 22:20 - 00000000 ____D () C:\Users\Asus\AppData\Local\CrashDumps
2014-12-08 21:05 - 2014-11-15 22:38 - 00000258 __RSH () C:\Users\Все пользователи\ntuser.pol
2014-12-08 21:05 - 2014-11-15 22:38 - 00000258 __RSH () C:\ProgramData\ntuser.pol
EmptyTemp:
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
 
Сделайте новые логи Farbar из обычного режима.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • Greengo
      Проблема с центром обновления windows, возможно связанная с вирусами
      Автор Greengo
      Здравствуйте. У меня перестал работать центр обновлений windows. При попытке в него зайти либо просто закрывается окно, либо идёт очень долгая загрузка и выдаёт ошибку "что-то пошло не так". Также заметил, что в службах появились подозрительные дубликаты с припиской _bkp у той службы которая отвечает за центр обновления windows и ещё у нескольких: wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. При этом ни одна из этих служб не запускается выдавая ошибку. Сканировал пк через kvrt, тот обнаружил несколько троянских угроз которые он вылечил/удалил, но проблема осталась.
      CollectionLog-2025.06.20-14.17.zip
    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • monstr878
      Непонятный вирус!
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
×
×
  • Создать...