Китайский вирус BaiduAn, Sd

**masterdobra** · 01.08.2014, 14:31

Не успели мы долечить, как вирус опять тут как тут. У меня опять появились все файлы этого вируса. Есть одно подозрение: для он-лайн отчетности я использую ключ (флешка). Вот она несколько дней вставлена в компьютер. Может оттуда лезет вирус? Второе подозрение - диск Е:. Там у меня вставлена SD-карта. Может эти штуки тоже как-то проверить? Вот только бы ключ не убить для отчетности.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**mike 1** · 01.08.2014, 14:36

Выполняйте пока предыдущий скрипт. Включите контроль учетных записей UAC. Антивирус Касперского переведите в интерактивный режим принятия решений.

**masterdobra** · 01.08.2014, 14:47

Сообщение от mike 1

Включите контроль учетных записей UAC.

А это что такое и как делается?

**mike 1** · 01.08.2014, 14:54

Сообщение от masterdobra

А это что такое и как делается?

http://windows.microsoft.com/ru-ru/w...#1TC=windows-7

**masterdobra** · 01.08.2014, 16:28

Готово: https://yadi.sk/i/TpSWXuEJYmCg5
Все настроил по-максимуму

**mike 1** · 01.08.2014, 16:46

Это c:\program files (x86)\GSInput\3.0.1.0512\uninst.exe деинсталлируйте

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\360sd_7654_9514.exe
c:\windows\qhws_7654_9514.exe
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\BDMNetMon.sys
c:\windows\system32\drivers\bd0002.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\ucbrowser_7654_9514.exe
c:\windows\bdws_1454_7654_9514.exe
c:\windows\Tasks\UCBrowserUpdater{f55be20babdf363bc043f47e776f1d97}.job
c:\program files (x86)\UCBrowser\update_task.exe

Driver::
360Hvm
360AntiHacker
360Box64
360Camera
360FsFlt
360netmon
BAPIDRV
bd0001
bd0002
bd0003
bd0004
BDArKit
BDKVRTP
BDMNetMon
BDMRTP
BDSGRTP
UCBrowserSvc
ZhuDongFangYu


Folder::
c:\users\SAM\AppData\Roaming\360mobilemgr
c:\users\SAM\AppData\Roaming\Baidu
c:\users\SAM\AppData\Roaming\360safe
C:\$360Section
c:\programdata\360safe
c:\program files (x86)\UCBrowser
c:\program files (x86)\Common Files\Baidu
c:\programdata\baidu
c:\program files (x86)\Baidu
c:\users\SAM\AppData\Roaming\ahelper

Registry::
[-HKEY_CLASSES_ROOT\CLSID\{CC00F81D-5262-450A-B1FA-D6BEE3406263}]

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**masterdobra** · 01.08.2014, 21:48

готово: https://yadi.sk/i/TpSWXuEJYmCg5

**mike 1** · 01.08.2014, 22:03

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\gswb_1454_7654_9514.exe

Driver::

Folder::
c:\program files (x86)\Common Files\GSInput
c:\program files (x86)\360

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"360Safetray"=-

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**masterdobra** · 02.08.2014, 12:02

Готово: https://yadi.sk/i/TpSWXuEJYmCg5

**mike 1** · 02.08.2014, 12:24

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\bdsd_1454_7654_9514.exe
c:\windows\system32\drivers\360LanProtect.sys
c:\windows\system32\drivers\360FsFlt.sys
c:\windows\system32\drivers\BAPIDRV64.SYS
c:\windows\system32\drivers\360Hvm64.sys
c:\windows\system32\drivers\360Camera64.sys
c:\windows\system32\drivers\360AntiHacker64.sys
c:\windows\system32\drivers\360Box64.sys
c:\windows\SysWow64\360SoftMgr.cpl
c:\windows\system32\drivers\360netmon.sys
c:\windows\qhse_7654_9514.exe

Driver::

Folder::
c:\users\SAM\AppData\Roaming\360safe
C:\360SANDBOX
c:\program files (x86)\360

Registry::

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**masterdobra** · 02.08.2014, 22:44

готово: https://yadi.sk/i/TpSWXuEJYmCg5

**mike 1** · 02.08.2014, 23:11

Запустите редактор реестра, верните права на ветку реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Windows\CurrentVersion\Uninstall]

Потом удалите параметр U*C*OmИ‰hV.

Сделайте новый лог Combofix.

**masterdobra** · 03.08.2014, 11:41

Сообщение от mike 1

Запустите редактор реестра, верните права на ветку реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Windows\CurrentVersion\Uninstall]

Потом удалите параметр U*C*OmИ‰hV.

Сделайте новый лог Combofix.

Попробовал права в реестре поставить. У меня там все серое, но галочка в Полных правах стоит. Серое убрать не удалось даже поставив Владельцем другого пользователя.
И вопрос: что это за параметр, откуда его нужно удалить. Если по той же ветке, то я такого параметра там вообще не вижу

**mike 1** · 03.08.2014, 12:35

Сделайте скриншот этой ветки реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ Windows\CurrentVersion\Uninstall]

**masterdobra** · 04.08.2014, 10:12

Скрин по ссылке: https://yadi.sk/i/UXQHHZyTYz83H

Вирус появился вновь в полном составе. Причем еще в языковой панели постоянно прописывает китайский язык по умолчанию. После удаления, язык опять появляется там.

**mike 1** · 04.08.2014, 10:43

Вирус появился вновь в полном составе. Причем еще в языковой панели постоянно прописывает китайский язык по умолчанию. После удаления, язык опять появляется там.

Значит какой-то из недавно установленного софта подгружает вам китайский антивирус. Какой софт был недавно установлен на этом компьютере?

**masterdobra** · 04.08.2014, 10:54

Сообщение от mike 1

Значит какой-то из недавно установленного софта подгружает вам китайский антивирус. Какой софт был недавно установлен на этом компьютере?

да честно говоря все то не вспомню, не много.
но из последнего перед тем, как появился вирус устанавливал x-lite.
Возможно есть способ проверить последние даты установки программ. Если да, подскажите, пожалуйста, как это сделать?

**mike 1** · 04.08.2014, 11:34

Сообщение от masterdobra

да честно говоря все то не вспомню, не много.
но из последнего перед тем, как появился вирус устанавливал x-lite.
Возможно есть способ проверить последние даты установки программ. Если да, подскажите, пожалуйста, как это сделать?

Да это похоже на правду. Временно деинсталлируйте эту программу. Потом сделайте новый лог Combofix.

**masterdobra** · 04.08.2014, 14:56

Готово. Программу удалил. Логи: https://yadi.sk/i/TpSWXuEJYmCg5

**mike 1** · 04.08.2014, 15:26

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\SysWow64\gswb.ime
c:\windows\system32\gswb.ime
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\360LanProtect.sys
c:\windows\system32\drivers\360FsFlt.sys
c:\windows\system32\drivers\BAPIDRV64.SYS
c:\windows\system32\drivers\360Hvm64.sys
c:\windows\system32\drivers\360AntiHacker64.sys
c:\windows\system32\drivers\360Camera64.sys
c:\windows\system32\drivers\360Box64.sys
c:\windows\SysWow64\360SoftMgr.cpl
c:\windows\system32\drivers\360netmon.sys
c:\windows\gswb_1454_7654_9514.exe
c:\windows\360sd_7654_9514.exe
c:\windows\bdsd_1454_7654_9514.exe
c:\windows\qhse_7654_9514.exe
c:\windows\qhws_7654_9514.exe
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\BDMNetMon.sys
c:\windows\system32\drivers\bd0002.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\ucbrowser_7654_9514.exe
c:\windows\bdws_1454_7654_9514.exe
c:\windows\Tasks\UCBrowserUpdater{f55be20babdf363bc043f47e776f1d97}.job

Driver::
360Hvm
360AntiHacker
360Box64
360Camera
360FsFlt
360netmon
BAPIDRV
bd0001
bd0002
bd0003
bd0004
BDArKit
BDKVRTP
BDMNetMon
BDMRTP
BDSGRTP
UCBrowserSvc
ZhuDongFangYu

Folder::
c:\users\SAM\AppData\Roaming\360safe
c:\users\SAM\AppData\Roaming\Baidu
c:\programdata\360safe
c:\program files (x86)\Common Files\GSInput
c:\program files (x86)\GSInput
C:\360SANDBOX
c:\program files (x86)\360
c:\program files (x86)\UCBrowser
c:\program files (x86)\Common Files\Baidu
c:\programdata\baidu
c:\program files (x86)\Baidu

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"BaiduAnTray"=-
"360Safetray"=-
"BaiduSdTray"=-

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Китайский вирус BaiduAn, Sd (заявка № 163505)

Опции темы

Похожие темы

Китайский вирус

Китайский вирус

Загадочный китайский вирус или QQey6H.exe

Китайский вирус

1026 и 1027 - китайский Ip-спам или вирус?

Метки для этой темы

Ваши права в разделе