Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

вирус baidu

Langenails

Автор Langenails
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Деинсталлируйте что сможете:

Software Version Updater-->C:\Users\User\AppData\Local\8974\Updater.exe /uninstall
Stronghold AntiMalware-->"C:\Program Files\Stronghold AntiMalware\unins000.exe"
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O2 - BHO: CrossriderApp0060804 - {11111111-1111-1111-1111-110611081104} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - (no file)
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
 
 

Скачайте Farbar Recovery Scan Tool  FRST_canned.png?dl=1 и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
FRST.png?dl=1
 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Важно! Скрипт выполняйте в безопасном режиме.

 

 

  •  
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
(????????????????) C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe
(????????????????) C:\Program Files\baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
(????????????????) C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe
HKLM\...\Run: [] => [X]
HKLM\...\Run: [baidusdTray] => "C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\User\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2014-12-11]
CHR Extension: (Adobe DTM Switch) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk [2014-11-23]
CHR HKLM\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - No Path
CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
R2 BaiduHips; C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe [64008 2014-09-18] (????????????????)
R2 BDKVRTP; C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe [821768 2014-09-25] (????????????????)
R2 BDSGRTP; C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe [1931880 2014-11-23] (????????????????)
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [70984 2014-09-17] (Baidu)
R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [196424 2014-09-17] (Baidu)
R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [56136 2014-09-10] (Baidu)
R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [183112 2014-11-23] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [145224 2014-12-28] (Baidu Technology)
R2 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [123720 2014-09-23] (Baidu)
R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [229712 2014-12-09] (Baidu)
R2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [67016 2014-11-29] (Baidu)
S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
2014-12-09 20:12 - 2014-12-29 00:14 - 00000000 ____D () C:\Program Files\Stronghold AntiMalware
2014-12-09 20:12 - 2014-12-29 00:12 - 00000000 ____D () C:\Users\Public\Documents\Stronghold AntiMalware
2014-12-09 22:38 - 2014-11-24 16:51 - 00229712 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench.sys
2014-11-29 15:03 - 2014-11-23 23:52 - 00067016 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys
Folder: C:\Users\User\AppData\Local\{E4C19AB6-0D40-4061-A526-49D80CCF75B7}
C:\Program Files\Common Files\Baidu
C:\Program Files\Baidu
EmptyTemp:
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Сделайте новые логи Farbar из обычного режима.
Ссылка на комментарий
Поделиться на другие сайты
Langenails Новичок

Langenails

Опубликовано
  • Автор
Опубликовано

простите, это приложение Farbar Recovery Scan Tool  FRST_canned.png?dl=1, и оно сразу запускается, когда его открываю, и блокноты

  • txt.gif  FRST.txt   51,77К   txt.gif  Addition.txt   23,15К которые я прикрепляла ранее, были сразу на рабочем столе, а не в папке,вопрос: как выпонить это действие -Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:_     сохранить этот этот файл на рабочий стол?
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Деинсталлируйте:

Rising Software Deployment System-->"C:\Program Files\Rising\RSD\Setup.exe" /UNINSTALL /PRODUCT=RSD
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
C:\Windows\system32\drivers\BDArKit.sys
C:\Program Files\Rising
C:\ProgramData\Rising
C:\Windows\system32\drivers\BDDefense.sys
C:\supermegabest
C:\Users\User\AppData\Roaming\Baidu
C:\Windows\system32\drivers\bd0003.sys
C:\Windows\system32\drivers\bd0002.sys
C:\Windows\system32\drivers\bd0001.sys
C:\ProgramData\Baidu
C:\Program Files\globalUpdate
Folder: C:\Users\User\AppData\Roaming\Installer
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Сделайте новые логи Автологгером.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
  • Скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да


В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

Прикрепите этот отчет в вашей теме.


 

 


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt


 

Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
Langenails Новичок

Langenails

Опубликовано
  • Автор
Опубликовано

когда открылся блокнос с delfix.txt я решила его закрыть, чтоы прикрепить здесь,но он вовсе исчез с компа,так что пришлось вновь скачать и сделать run,  не знаю правилно или нет,но прикрепляю


вот,прикрепляю еще

DelFix.txt

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...