Недобитые остатки Байду в системе

[Sandynist]

Добрый вечер!

 

Продолжение предыдущей темы.

 

Выяснилось, что пользователь установил байду намного раньше, чем я предполагал. Частично удалось почистить в реестре отдельные ключи, но многие оказались под защитой драйверов этой программы и не удаляются.

 

 

 

Сделал логи.

 

CollectionLog-2016.07.17-00.34.zip

Изменено 16 июля, 2016 пользователем Sandynist

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
 QuarantineFile('C:\Program Files\PCDApp\start.vbs','');
 DeleteService('BDSafeBrowser');
 DeleteService('BDMWrench_x64');
 DeleteService('BDICx64');
 SetServiceStart('BDSGRTP', 4);
 SetServiceStart('bd0001', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('bd0005', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('BDFileDefend', 4);
 DeleteService('BDFileDefend');
 DeleteService('BDArKit');
 DeleteService('bd0005');
 DeleteService('bd0004');
 DeleteService('bd0001');
 DeleteService('MgAssistService');
 DeleteService('BDMRTP');
 DeleteService('BDKVRTP');
 DeleteService('BaiduHips');
 DeleteService('BDSGRTP');
 TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe');
 DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\ad.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDKitUtils.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDLogicUtils.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMNet.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMReport.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\BaiduRepair.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\plugins\HIPS.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeBrowserDll.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\SafeExplorer.dll','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0005.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDFileDefend.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 DeleteFile('C:\Program Files\PCDApp\start.vbs','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DApp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduSdTray');
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
 DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[Sandynist]

Скрипт выполнил, логи переделал.

 

CollectionLog-2016.07.17-01.38.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

6. Логи, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Sandynist]

сделал

 

Archive.7z

[Sandynist]

KLAN-4695842942

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   

 

InstallAddons.exe

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

С уважением, Лаборатория Касперского

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2731194665-1901529955-1241130754-500\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO-x32: No Name -> {15DEE173-1BE9-4424-81E0-58A87076E9B1} -> No File
Toolbar: HKU\S-1-5-21-2731194665-1901529955-1241130754-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [203280 2015-12-14] (Baidu)
S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [219144 2015-12-14] (Baidu)
R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [168776 2014-09-11] (Baidu)
R1 bd0005; C:\Windows\System32\DRIVERS\bd0005.sys [187912 2015-07-29] (Baidu)
R2 BDArKit; C:\Windows\System32\Drivers\BDArKit.SYS [152392 2015-01-04] (Baidu Technology)
R2 BDMNetMon; C:\Windows\System32\DRIVERS\BDMNetMon.sys [109384 2014-06-19] (Baidu)
S1 bd0003; system32\DRIVERS\bd0003.sys [X]
S1 BDDefense; system32\drivers\BDDefense.sys [X]
S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
S2 BDSafeBrowser; \??\C:\Windows\system32\drivers\BDSafeBrowser.sys [X]
2016-07-17 00:32 - 2016-07-17 01:24 - 00000000 ____D C:\Users\Все пользователи\Baidu
2016-07-17 00:32 - 2016-07-17 01:24 - 00000000 ____D C:\ProgramData\Baidu
Task: {0BE0D3E0-45C7-4566-96BC-0D03EF3A654F} - \Ribble -> No File <==== ATTENTION
Task: {655521F9-2A22-4296-881D-A7C8DE51E3A3} - \WPD\SqmUpload_S-1-5-21-2731194665-1901529955-1241130754-500 -> No File <==== ATTENTION
Task: {A2FBFF59-8DA8-43B2-9E24-F3D907FDB6F1} - \chrome5 -> No File <==== ATTENTION
Task: {E4874D0B-CE3F-478B-8793-9CA896506621} - \chrome5_logon -> No File <==== ATTENTION
Task: {EA924E72-84DD-41B8-AB49-FDF6A3703FB4} - \Microsoft\Windows Defender\MP Scheduled Scan -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Sandynist]

Исполнено

 

Fixlog.txt

Логи ещё раз если нужно:

 

CollectionLog-2016.07.17-12.01.zip

[thyrex]

Сделайте лог AdwCleaner

[Sandynist]

Готово.

 

AdwCleanerS1.txt

[thyrex]

Отметьте и удалите все найденное

[Sandynist]

Сделано.

 

AdwCleanerC1.txt

 

Параметры реестра никак не удаётся снести:

 

реестр.txt

 

Выдаётся вот такое сообщение:

 

[thyrex]

Проверь права на раздел

[Sandynist]

Реестр удалось отредактировать при помощи совета изложенного тут: http://safezone.cc/threads/re-kak-izmenit-prava-dostupa-k-vetke-reestra.19515/

 

Осталась проблема — не работает интернет. Никуда не соединяется.

И ещё — не включается брандмауэр винды.

[thyrex]

Выполните скрипт в AVZ

begin
ExecuteREpair(15); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Проверь доступ в интернет