Появилось ПО Baidu,не запускаются программы, не открываются папки [not-a-virus:RemoteAdmin.Win32.Ammyy.hq ]

[SashaSS]

Помогите, пожалуйста, удалить ПО Baidu

[Info_bot]

Уважаемый(ая) SashaSS, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SashaSS]

Сразу Lnk log

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\docume~1\admin\locals~1\temp\kpoxpes7.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\clszeptu.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\eTranslator\eTranslator.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Alneic\veeh.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Alneic\veeh.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{B9B42B66-5DF8-C9F2-569F-4FD83E1A2FB9}','command');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\eTranslator\eTranslator.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Taskhost','command');
 DeleteFile('C:\Documents and Settings\Admin\clszeptu.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x64');
 DeleteFile('c:\docume~1\admin\locals~1\temp\kpoxpes7.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\explorer','command');
 BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\documents and settings\admin\appdata\local\baidu\baidu\1.3.1.157\baidu.exe');
 BC_DeleteFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduansvc.exe');
 BC_DeleteFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduantray.exe');
 BC_DeleteFile('c:\program files\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe');
 BC_DeleteFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdsvc.exe');
 BC_DeleteFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdtray.exe');
 BC_DeleteFile('c:\program files\baiduex\uninit.exe');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\Base.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\BDMSkin.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\BrowserCore.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\BrowserFrame.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\Heartbeat.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\Protocol.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\MSVCR100.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\MSVCP100.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\Report.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\UIHandler.dll');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\Utils.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\ad.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDLogicUtils.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDKitUtils.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVCached.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\bduf.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMCommon.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMProcessRunningTime.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccDataMgr.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccEngine.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccStrategyMgr.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\SysAccMgrDll.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\libcurl.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\RTPPlugins\HipsClient.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\ad.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavCommon.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavEngine.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavFrame.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavScanH.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebSafePlugin.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\websafe.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\DllInject.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\Plugins\bdkvtrayplugins\BDKVTrayTipsPlugin.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\Plugins\bdkvtrayplugins\BDKVRmvDevPlugin.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\Plugins\bdkvtrayplugins\BDDownLoadProtectPlugin.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\TrustAndIso.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\DriverManager.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMTinyXml.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMStringUtils.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMReport.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMNet.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMFrameWork.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMBase.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVEng.dll');
 BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVCached.dll');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0003.sys');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\BDDefense.sys');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMNetMon.sys');
 BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys');
 BC_DeleteSvc('BaiduHips');
 BC_DeleteSvc('BDKVRTP');
 BC_DeleteSvc('BDMRTP');
 BC_DeleteSvc('bd0001');
 BC_DeleteSvc('bd0002');
 BC_DeleteSvc('bd0003');
 BC_DeleteSvc('BDArKit');
 BC_DeleteSvc('BDDefense');
 BC_DeleteSvc('BDMNetMon');
 BC_DeleteSvc('BDMWrench');
 BC_DeleteFile('C:\Documents and Settings\Admin\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe');
 BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll');
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте такой лог
Сделайте лог ComboFix

[SashaSS]

Вложение

- - - - -Добавлено - - - - -

Файл карантина отправил,по другому логу зарегистрировался на сайте, перехожу по ссылке - пишет, недостаточно прав для выполнения действий

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код:

KillAll::

File::
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\documents and settings\Admin\an.bat
c:\documents and settings\Admin\sd.bat

Driver::
BDAntiExp
BDEnhanceBoost

Folder::
c:\documents and settings\Admin\Application Data\eTranslator
c:\documents and settings\Admin\Local Settings\Application Data\Amigo
c:\program files\Common Files\Baidu
c:\documents and settings\All Users\Application Data\Baidu
c:\documents and settings\LocalService\Application Data\Baidu
c:\documents and settings\Admin\Application Data\Baidu
c:\windows\system32\config\systemprofile\Application Data\Baidu
c:\program files\Baidu

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amigo"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Common Files\\Baidu\\BDDownload\\108\\bddownloader.exe"=-
"c:\\Documents and Settings\\Admin\\AppData\\Local\\Baidu\\Baidu\\1.3.1.157\\BaiduUpdate.exe"=-
"c:\\Documents and Settings\\Admin\\AppData\\Local\\Baidu\\Baidu\\1.3.1.157\\BaiduBugRpt.exe"=-
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSd.exe"=-
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSdUpdate.exe"=-
"c:\\Program Files\\Baidu\\BaiduSd\\2.1.0.3086\\BaiduSdBugRpt.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAn.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAnUpdate.exe"=-
"c:\\Program Files\\Baidu\\BaiduAn\\3.0.0.3971\\BaiduAnBugRpt.exe"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[SashaSS]

Файл-отчет

[thyrex]

Проблема решена?

[SashaSS]

ярлыки на рабочем столе все еще есть, их удалить вручную?

[thyrex]

Какие ярлыки?

[SashaSS]

с каракулями в наименовании)) в свойствах путь на Baidu

[thyrex]

Удаляйте, конечно. Проблема решена?

[SashaSS]

сейчас нареканий нет, спасибо!

[thyrex]

Удалите ComboFix

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 126
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\admin\application data\etranslator\etranslator.exe - not-a-virus:Downloader.Win32.Agent.cpwb ( DrWEB: archive:, AVAST4: Win32:Malware-gen )
  2. c:\documents and settings\admin\clszeptu.exe - Trojan-Downloader.Win32.Andromeda.aliy ( AVAST4: Win32:VB-AIKV [Trj] )
  3. c:\documents and settings\admin\рабочий стол\aa_v3.5.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.hq ( DrWEB: Program.RemoteAdmin.745 )
  4. c:\program files\baiduex\uninit.exe - not-a-virus:Downloader.Win32.Bavload.a ( BitDefender: Trojan.Generic.12207482 )