Добрый день.
Тоже поймал китайский вирус Baidu. Теперь тормозит комп и лезет везде реклама.
Ничем не удаляется и никто его не видит как вирус.
Помогите пожалуйста избавиться от этой гадости.
Добрый день.
Тоже поймал китайский вирус Baidu. Теперь тормозит комп и лезет везде реклама.
Ничем не удаляется и никто его не видит как вирус.
Помогите пожалуйста избавиться от этой гадости.
Уважаемый(ая) arnonan, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin BC_DeleteFile('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduansvc.exe'); BC_DeleteFile('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduantray.exe'); BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe'); BC_DeleteFile('c:\program files (x86)\baidu\baidusd\2.1.0.3086\baidusdsvc.exe'); BC_DeleteFile('c:\program files (x86)\baidu\baidusd\2.1.0.3086\baidusdtray.exe'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\ad.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDLogicUtils.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDKitUtils.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVCached.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVEng.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\bduf.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMCommon.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMDbSqlite.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMSOCleanerTrayPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\Plugins\BDMTrayPlugins\BDMSusPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\Plugins\bdmtrayplugins\BDMTrayTipsPlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\app_core_meta.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\app_core_legacy.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\am_meta.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\ad.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\acassembler.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDKitUtils.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVCached.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVEng.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\cab.ppl'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\crpthlpr.ppl'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\dmap.ppl'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\ichecker.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\instrumental_meta.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\kave8.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\msoe.ppl'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\nfio.ppl'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\qb.ppl'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\procmon.ppl'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\prloader.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\thpimpl.ppl'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\threats_disinfection.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\ThreatsManager.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\timer.ppl'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\ad.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\winreg.ppl'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\WebSafePlugin.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsBusiness.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsCore.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduPrevUIn.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDConfig.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BDLogicUtils.dll'); BC_DeleteSvc('BaiduHips'); BC_DeleteSvc('BDKVRTP'); BC_DeleteSvc('BDMRTP'); BC_DeleteSvc('bd0001'); BC_DeleteSvc('bd0002'); BC_DeleteSvc('bd0003'); BC_DeleteSvc('BDArKit'); BC_DeleteSvc('BDDefense'); BC_DeleteSvc('BDMNetMon'); BC_DeleteSvc('BDMWrench_x64'); BC_DeleteSvc('BDAntiExp'); BC_DeleteSvc('BDEnhanceBoost'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt64.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe'); BC_DeleteFile('C:\Program Files\BaiduEx\uninit.exe'); BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll'); BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логиКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c40a95b5a9c1c74dc32f602a3d4dfa89&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c40a95b5a9c1c74dc32f602a3d4dfa89&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c40a95b5a9c1c74dc32f602a3d4dfa89&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c40a95b5a9c1c74dc32f602a3d4dfa89&text= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9050 O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=c40a95b5a9c1c74dc32f602a3d4dfa89&text=
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил скрипт в AVZ
Прислать карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы не смог. Написало что "ошибка загрузки". Не пойму почему.
По ошибке пофиксил в HiJack всё, вместо данных которые вы прислали. Сразу не понял как правильно. Что делать?
Сделал новые логи
Сделал лог ComboFix
Все что надо переделать я переделаю.
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\windows\system32\drivers\BDMWrench_x64.sys c:\windows\system32\drivers\BDDefense.sys c:\windows\SysWow64\drivers\BDArKit.sys c:\windows\SysWow64\an.bat c:\windows\SysWow64\sd.bat c:\windows\SysWow64\drivers\bd0001.sys c:\windows\system32\drivers\BDMNetMon.sys c:\windows\system32\drivers\bd0003.sys c:\windows\system32\drivers\BDArKit.sys c:\windows\system32\drivers\bd0002.sys c:\windows\system32\drivers\bd0001.sys Driver:: Folder:: c:\program files (x86)\Common Files\Baidu c:\programdata\Baidu c:\program files (x86)\Baidu c:\users\Администратор\AppData\Roaming\Baidu Registry:: FileLook:: c:\windows\SysWow64\cr3.exe DirLook:: C:\acroldr
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
высылаю новый лог ComboFix
удалите вручную, что найдетеc:\windows\system32\drivers\BDMWrench_x64.sys
c:\windows\system32\drivers\BDDefense.sys
c:\windows\SysWow64\drivers\BDArKit.sys
c:\windows\SysWow64\an.bat
c:\windows\SysWow64\sd.bat
c:\windows\SysWow64\drivers\bd0001.sys
c:\windows\system32\drivers\BDMNetMon.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0002.sys
c:\windows\system32\drivers\bd0001.sys
c:\program files (x86)\BaiduEx
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
удалил все, что дальше?
заметил что не запускается программа после логов, а она мне очень нужна
Пишет в окне после попытки запуска:
c:\Program Files\CTS\T4ClientSim\bin\T4Screen.exe
Присоединенное к системе устройство не работает.
Пробовал переустанавливать программу, не помогло.
Что посоветуете? Спасибо.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
удалил через меню пуск
или надо еще и программой ОТС удалять?
- - - - -Добавлено - - - - -
и ОТС сделал
- - - - -Добавлено - - - - -
BAIDU вроди не выскакивает
и прога запустилась))) щастье
- - - - -Добавлено - - - - -
хм но реклама всеравно лезет
- - - - -Добавлено - - - - -
вот картинка http://screencast.com/t/migHoC66vBp
что нужно сделать что бы реклама не вылезала? подскажите пожалуйста
Реклама стала вылезать одновременно с BAIDU, просто отовсюду, даже там где ее не должно быть,по углам и внизу отдельными всплывающими окнами. Иногда не открываются ссылки пока не загрузится новое окно с рекламой. Думал при удалении BAIDU, исчезнет и реклама. Но не исчезла.
Список установленных расширений для браузеров напишите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
вот такие стоят
Adblock Plus
Instant Translate
и вот сегодня недавно поставил это ScriptSafe
вроди бы реклама не появляется но очень сложно работать
это расширение буквально все блокирует и оно на английском
не понимаю кому чего разрешать
- - - - -Добавлено - - - - -
рекламу похоже блокирует он - ScriptSafe
Отключите все расширения и проверьте наличие проблемы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
без расширений рекламы нет
их теперь не включать?
посоветуйте фрии антивирус, я когда сносил BAIDU, пришлось снести антивирус от майкрософта, может что то вместо него лучше поставить?
Включайте по одному и найдете проблемное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
все подключал по очереди, не вылезла реклама
я вспомнил, было какое то подозрительное расширение. я его сегодня удалил. может оно мешало.
пока все работает
большое спасибо
счастью нет предедла
буду смотреть еще пару дней
а что с антивирусом? какой поставить, а то я сейчас без него
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
скрипт ничего не обнаружил
но есть еще одна проблема
при загрузке браузера Chrome стартует страница
на форумах нашел метод через удаления этой записи в свойствах ярлыка Google Chrome - объект- после chrome.exe
http://clip2net.com/s/jfCiLs
но удалить не смог тк пишет что нужны права администратора
помогите пожалуйста
- - - - -Добавлено - - - - -
хм.. создал новый ярлык, с него хром запускается нормально
а что делать с этим: C:\Users\Администратор\AppData\Local\Google\Chrome \Application\chrome.exe "http://path13search.ru"
В панели "Пуск" остался зараженный ярлык, удаление и перезагрузка не помогает
Последний раз редактировалось mike 1; 10.11.2014 в 18:11. Причина: Вирусная ссылка
- Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите FixerBro
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- В главном окне программы нажмите на кнопку "Проверить"
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
- По окончанию сканирования нажмите на кнопку "Отчет".
- Сохраните лог утилиты
- Прикрепите сохраненный отчет в вашей теме.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Уважаемый(ая) arnonan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.