Китайский вирус BaiduAn, Sd

[masterdobra]

Добрый день!

На прошлой неделе вдруг на компьютере появилось стороннее программное обеспечение. Да не одно, а сразу несколько - BaiduAn, Sd, 360safe и UC. Все на китайском языке.
Удалить их не получилось. Удалял из безопасного режима с помощью CCleaner. Первые 2 дня было все гуд. А потом все ПО появилось вновь.
Пока из видимых проблем только то, что данные программы полностью загружают процессор - на 100% и система ужасно тормозит. Но, видимо, в программы содержат в себе и какие-то трояны.
Хотя установленные антивирусы - касперский, ничего не выдает.
DR. web тоже ничего не показал.

Помогите, пожалуйста, решить данную проблему и удалить этих китайских захватчиков с моего компьютера. hijackthis.logvirusinfo_syscheck.zip

[Info_bot]

Уважаемый(ая) masterdobra, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Сделайте полный образ автозапуска uVS только программу скачайте отсюда

[masterdobra]

Все процедуры провел.
Результаты по карантину по ссылке: http://virusinfo.info/virusdetector/...281064DBFF1BCF

Автозапуск в приложении.
Жду дальнейших инструкций.

MASTERDOBRA_2014-07-22_12-54-03.7z

[mike 1]

Выполните скрипт в uVS:

Код:

;uVS v3.83 BETA 4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
breg

exec C:\Program Files (x86)\360\360Safe\uninst.exe
exec "C:\ProgramData\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe" /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /su=603134e98d886d74 /um
exec C:\Program Files (x86)\Baidu\BaiduAn\2.1.0.1214\uninst.exe
exec C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\uninst.exe
delref HTTP://WWW1.DELTA-SEARCH.COM/?AFFID=119781&TT=GC_&BABSRC=NT_SS&MNTRID=8446C0F8DAC6BE5F
delall %SystemDrive%\PROGRAM FILES (X86)\360\360SD\360SDRUN.EXE
deltmp
delnfr
restart

На запросы удаления программ соглашайтесь. Компьютер перезагрузиться.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[masterdobra]

Спасибо, все операции произвел.
Отчет прилагаю. AdwCleaner[R0].txt

Однако, у меня еще остался на рабочем столе китайский ярлык: UC浏览器. Это насколько я понимаю программа UCBrowser.
Также остался их антивирус - 360Safe.
Все это лежит в папке Program Files (x86).
Наверняка и с ними надо что-то делать.

[mike 1]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
• По окончанию сканирования снимите галочки со следующих строк:
  
  Код:

  Папка Найдено : C:\Program Files (x86)\Mail.Ru
  Папка Найдено : C:\Users\SAM\AppData\Local\Mail.Ru
  Папка Найдено : C:\Users\SAM\AppData\LocalLow\Mail.Ru

• Нажмите кнопку "Clean" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

[masterdobra]

Все готово
AdwCleaner[S0].txt

[mike 1]

1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите sitlog.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
6. Прикрепите эти отчеты в вашей теме.

[masterdobra]

Готово.
Единственно, не могу вложения загрузить - форум говорит, что превышен лимит.
Поэтому загрузил на Яндекс: https://yadi.sk/d/D_KxWqvsXBw6o

[mike 1]

Добавьте лог AVZ. (Выберите стандартный скрипт №9)

[masterdobra]

Готово: https://yadi.sk/d/V7blHwHZXCR2z

[mike 1]

1. Деинсталлируйте:

UC浏览器 [1.0.739.0] ---> "C:\Program Files (x86)\UCBrowser\Uninstall.exe" " -Registry "

2. Создайте точку восстановления системы

3. Загрузитесь в безопасном режиме и выполните от имени Администратора скрипт в AVZ:

Код:

begin
 ExecuteAVUpdate;
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('bd0001', 4);
 SetServiceStart('UCBrowserSvc', 4);
 SetServiceStart('BDSGRTP', 4);     
 StopService('BDArKit');
 StopService('bd0004');
 StopService('bd0001');
 StopService('UCBrowserSvc');
 DeleteFile('C:\Program Files (x86)\UCBrowser\UCService.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect\1.2.0.46\BaiduProtect.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\System32\drivers\bd0001_1.sys','32');
 DeleteFile('C:\Windows\System32\drivers\iSafeKrnlBoot.sys','32');
 DeleteFile('C:\Windows\SysWOW64\drivers\bd0002.sys','32');
 DeleteFile('C:\Windows\gswb_1454_7654_9514.exe','32');
 DeleteFile('C:\Windows\360sd_7654_9514.exe','32');
 DeleteFile('C:\Windows\bdsd_1454_7654_9514.exe','32');
 DeleteFile('C:\Windows\qhse_7654_9514.exe','32');
 DeleteFile('C:\Windows\qhws_7654_9514.exe','32');
 DeleteFile('C:\Windows\System32\bd64_x64.dll','32');
 DeleteFile('C:\Windows\System32\bd64_x86.dll','32');     
 DeleteFile('C:\Windows\ucbrowser_7654_9514.exe','32');
 DeleteFile('C:\Windows\bdws_1454_7654_9514.exe','32');     
 DeleteFile('C:\Users\SAM\AppData\Local\Temp\remove360.bat','32');
 DeleteFile('C:\Windows\Tasks\UCBrowserUpdater{f55be20babdf363bc043f47e776f1d97}.job','64');
 DeleteFile('C:\Program Files (x86)\UCBrowser\update_task.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\UCBrowserUpdater{f55be20babdf363bc043f47e776f1d97}','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\360safeuninst','command');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0001');
 DeleteService('BDSGRTP');
 DeleteService('UCBrowserSvc');
 DeleteFileMask('C:\Program Files (x86)\360', '*', true, ' ');
 DeleteFileMask('C:\Program Files (x86)\UCBrowser', '*', true, ' ');
 DeleteFileMask('C:\Program Files (x86)\Common Files\Baidu', '*', true, ' ');
 DeleteFileMask('C:\Users\SAM\AppData\Roaming\360Login', '*', true, ' ');
 DeleteFileMask('C:\Users\SAM\AppData\Roaming\360SuperKiller', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\360safe', '*', true, ' ');
 DeleteFileMask('C:\ProgramData\Baidu', '*', true, ' ');
 DeleteDirectory('C:\ProgramData\Baidu');     
 DeleteDirectory('C:\ProgramData\360safe');     
 DeleteDirectory('C:\Users\SAM\AppData\Roaming\360Login');     
 DeleteDirectory('C:\Users\SAM\AppData\Roaming\360SuperKiller');     
 DeleteDirectory('C:\Program Files (x86)\360');     
 DeleteDirectory('C:\Program Files (x86)\UCBrowser');     
 DeleteDirectory('C:\Program Files (x86)\Common Files\Baidu');            
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
 ExecuteRepair(10);
RebootWindows(false);
end.

4. Сделайте новые SITLog

[masterdobra]

2. Создайте точку восстановления системы

Подскажите, а как это сделать?

[mike 1]

http://windows.microsoft.com/ru-ru/w...-restore-point

[masterdobra]

Готово: https://yadi.sk/d/rIuSRiRaXDfWT

[mike 1]

В безопасном режиме удалите вручную следующие файлы:

Код:

17.07.2014 12:20:50 ----A---- C:\Windows\System32\drivers\iSafeKrnlBoot.sys
19.07.2014 19:36:21 ----A---- C:\Windows\System32\drivers\bd0004.sys
19.07.2014 19:36:06 ----A---- C:\Windows\System32\drivers\bd0001_1.sys
23.07.2014 14:03:15 ----A---- C:\Windows\System32\bd64_x64.dll
23.07.2014 14:03:15 ----A---- C:\Windows\System32\drivers\bd0001.sys
23.07.2014 14:03:15 ----A---- C:\Windows\System32\drivers\BDArKit.sys
23.07.2014 14:03:15 ----A---- C:\Windows\System32\bd64_x86.dll

Потом сделайте новые логи SITLog.

[masterdobra]

удалите вручную следующие файлы
т.е. без юнинстала, просто нажать del?

[mike 1]

т.е. без юнинстала, просто нажать del?

Да.

[masterdobra]

Готово: https://yadi.sk/d/TIJpPIsiXEBsP