Китайский вирус BaiduAn, Sd

**masterdobra** · 04.08.2014, 18:15

Готово: https://yadi.sk/i/TpSWXuEJYmCg5

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**mike 1** · 04.08.2014, 18:52

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::

Driver::
65e05e4f550e581db7f991fb26f2c4da

Folder::
c:\users\SAM\AppData\Roaming\360mobilemgr
c:\program files (x86)\GSInput

Registry::

FileLook::

DirLook::
c:\users\SAM\AppData\Roaming\Wandoujia2

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**masterdobra** · 04.08.2014, 19:31

Готово: https://yadi.sk/i/TpSWXuEJYmCg5

**mike 1** · 04.08.2014, 19:42

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::

Driver::

Folder::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\360UDiskGuard Icon Overlay]

FileLook::

DirLook::
c:\users\SAM\AppData\Roaming\WDJConnEngine
c:\users\SAM\AppData\Roaming\Wandoujia2
c:\users\SAM\AppData\Roaming\WandoujiaUsbDriver

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**masterdobra** · 04.08.2014, 21:06

Готово: https://yadi.sk/i/TpSWXuEJYmCg5

**mike 1** · 04.08.2014, 22:21

Эти папки знакомы?

Код:

c:\users\SAM\AppData\Roaming\WDJConnEngine
c:\users\SAM\AppData\Roaming\Wandoujia2
c:\users\SAM\AppData\Roaming\WandoujiaUsbDriver

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
BackupRegKey('HKEY_LOCAL_MACHINE','SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall','111');
end.

В папке AVZ в подпапке Backup появится файл 111 заархивируйте его и прикрепите к сообщению.

**masterdobra** · 04.08.2014, 23:04

c:\users\SAM\AppData\Roaming\WDJConnEngine
c:\users\SAM\AppData\Roaming\Wandoujia2
c:\users\SAM\AppData\Roaming\WandoujiaUsbDriver

Нет, такие не знаю. Что с ними делать?

**mike 1** · 05.08.2014, 00:28

Похоже от какой-то китайской программы.

**masterdobra** · 05.08.2014, 01:04

Скрипт выполнил: https://yadi.sk/d/PqFIcGrhZ6B2z

С папками пока ничего не делал. Их просто удалить нужно?

**mike 1** · 05.08.2014, 01:20

Сообщение от masterdobra

Скрипт выполнил: https://yadi.sk/d/PqFIcGrhZ6B2z

С папками пока ничего не делал. Их просто удалить нужно?

Да думаю их можно удалить. Понаблюдайте пока за проблемой.

**masterdobra** · 05.08.2014, 21:24

Сообщение от mike 1

Да думаю их можно удалить. Понаблюдайте пока за проблемой.

Папки удалил. Пока наблюдая, не появится ли вновь. Спасибо за помощь!

- - - Добавлено - - -

Вирус опять на месте. С завидным постоянством появляется заново.
Где он еще может сидеть?

**mike 1** · 06.08.2014, 01:12

Постарайтесь вспомнить какой софт был недавно установлен.

Подготовьте лог OTL by OldTimer, как описано на этой странице.
Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
Если логи не прикрепляются запакуйте их в архив.

**masterdobra** · 06.08.2014, 02:07

Логи по ссылке: https://yadi.sk/d/Kl0m6eOHZ9Hgy

Какое ПО устанавливал, постарался вспомнить. X-lite, фактически, единственное, которое я устанавливал в это время.
Единственно, я сейчас нахожусь в Болгарии. Вирус появился через пару дней после того, как я сюда приехал. Возможно, здесь есть какая-то зацепка. Выхожу в сеть через кабель.

**mike 1** · 06.08.2014, 15:22

Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

Код:

:Commands
[CREATERESTOREPOINT]

:processes

:OTL
SRV - (UCBrowserSvc) -- C:\Program Files (x86)\UCBrowser\UCService.exe ()
SRV - (ZhuDongFangYu) -- C:\Program Files (x86)\360\360Safe\deepscan\ZhuDongFangYu.exe (360.cn)
SRV - (BDKVRTP) -- C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1196\BaiduSdSvc.exe (百度在线网络技术(北京)有限公司)
SRV - (BDMRTP) -- C:\Program Files (x86)\Baidu\BaiduAn\2.1.0.1154\BaiduAnSvc.exe (百度在线网络技术(北京)有限公司)
SRV - (BDSGRTP) -- C:\Program Files (x86)\Common Files\Baidu\BaiduProtect\1.2.0.46\BaiduProtect.exe (百度在线网络技术(北京)有限公司)
DRV:64bit: - (360Box64) -- C:\Windows\SysNative\drivers\360Box64.sys (360.cn)
DRV:64bit: - (360Hvm) -- C:\Windows\SysNative\drivers\360Hvm64.sys (360安全中心)
DRV:64bit: - (360netmon) -- C:\Windows\SysNative\drivers\360netmon.sys (360.cn)
DRV:64bit: - (360FsFlt) -- C:\Windows\SysNative\drivers\360FsFlt.sys (360.cn)
DRV:64bit: - (360Camera) -- C:\Windows\SysNative\drivers\360Camera64.sys (360.cn)
DRV:64bit: - (360AntiHacker) -- C:\Windows\SysNative\drivers\360AntiHacker64.sys (360.cn)
DRV:64bit: - (BAPIDRV) -- C:\Windows\SysNative\drivers\BAPIDRV64.SYS (360.cn)
DRV:64bit: - (BDArKit) -- C:\Windows\SysNative\drivers\BDArKit.sys (Baidu Technology)
DRV:64bit: - (bd0003) -- C:\Windows\SysNative\drivers\bd0003.sys (Baidu)
DRV:64bit: - (bd0002) -- C:\Windows\SysNative\drivers\bd0002.sys (Baidu)
DRV:64bit: - (bd0001) -- C:\Windows\SysNative\drivers\bd0001.sys (Baidu)
DRV:64bit: - (BDMNetMon) -- C:\Windows\SysNative\drivers\BDMNetMon.sys (Baidu)
DRV:64bit: - (bd0004) -- C:\Windows\SysNative\drivers\bd0004.sys (Baidu)
FF - HKLM\Software\MozillaPlugins\@360.cn/npaxlogin: C:\Program Files (x86)\360\360Safe\Utils\npaxlogin.dll (360.cn)
O2:64bit: - BHO: (SafeMon Class) - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files (x86)\360\360Safe\safemon\safemon64.dll (360.cn)
O2:64bit: - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - No CLSID value found.
O2 - BHO: (SafeMon Class) - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files (x86)\360\360Safe\safemon\safemon.dll (360.cn)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - No CLSID value found.
O3 - HKU\S-1-5-21-2027461091-669919136-238473217-1000\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
O3 - HKU\S-1-5-21-2027461091-669919136-238473217-1000\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
O4 - HKLM..\Run: [360Safetray] C:\Program Files (x86)\360\360Safe\safemon\360tray.exe (360.cn)
O4 - HKLM..\Run: [BaiduAnTray] C:\Program Files (x86)\Baidu\BaiduAn\2.1.0.1154\BaiduAnTray.exe (百度在线网络技术(北京)有限公司)
O4 - HKLM..\Run: [BaiduSdTray] C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1196\BaiduSdTray.exe (百度在线网络技术(北京)有限公司)
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^360safe.exe -  - File not found
MsConfig:64bit - StartUpReg: 360safeuninst - hkey= - key= - Reg Error: Value error. File not found
[2014.08.06 01:26:14 | 000,000,000 | -HSD | C] -- C:\$360Section
[2014.08.06 01:21:24 | 000,064,840 | ---- | C] (Baidu) -- C:\Windows\SysNative\drivers\bd0003.sys
[2014.08.06 01:09:38 | 014,599,504 | ---- | C] (上海展盟网络科技有限公司) -- C:\Windows\gswb_1454_7654_9514.exe
[2014.08.05 21:40:31 | 035,955,159 | ---- | C] (上海展盟网络科技有限公司) -- C:\Windows\360sd_7654_9514.exe
[2014.08.05 21:37:44 | 000,000,000 | ---D | C] -- C:\ProgramData\360safe
[2014.08.05 21:36:55 | 030,411,080 | ---- | C] (上海展盟网络科技有限公司) -- C:\Windows\bdsd_1454_7654_9514.exe
[2014.08.05 21:35:00 | 000,310,856 | ---- | C] (360.cn) -- C:\Windows\SysNative\drivers\360FsFlt.sys
[2014.08.05 21:35:00 | 000,039,496 | ---- | C] (360.cn) -- C:\Windows\SysNative\drivers\360LanProtect.sys
[2014.08.05 21:34:58 | 000,180,808 | ---- | C] (360.cn) -- C:\Windows\SysNative\drivers\BAPIDRV64.SYS
[2014.08.05 21:34:56 | 000,181,320 | ---- | C] (360安全中心) -- C:\Windows\SysNative\drivers\360Hvm64.sys
[2014.08.05 21:34:55 | 000,305,736 | ---- | C] (360.cn) -- C:\Windows\SysNative\drivers\360Box64.sys
[2014.08.05 21:34:55 | 000,100,424 | ---- | C] (360.cn) -- C:\Windows\SysNative\drivers\360AntiHacker64.sys
[2014.08.05 21:34:55 | 000,040,520 | ---- | C] (360.cn) -- C:\Windows\SysNative\drivers\360Camera64.sys
[2014.08.05 21:34:55 | 000,000,000 | RHSD | C] -- C:\360SANDBOX
[2014.08.05 21:34:48 | 000,162,120 | ---- | C] (360.cn) -- C:\Windows\SysWow64\360SoftMgr.cpl
[2014.08.05 21:34:43 | 000,062,024 | ---- | C] (360.cn) -- C:\Windows\SysNative\drivers\360netmon.sys
[2014.08.05 21:34:08 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\360
[2014.08.05 21:33:44 | 029,004,912 | ---- | C] (上海展盟网络科技有限公司) -- C:\Windows\qhse_7654_9514.exe
[2014.08.05 21:23:08 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\UCBrowser
[2014.08.05 21:22:41 | 065,492,592 | ---- | C] (上海展盟网络科技有限公司) -- C:\Windows\qhws_7654_9514.exe
[2014.08.05 21:15:56 | 000,168,264 | ---- | C] (Baidu) -- C:\Windows\SysNative\drivers\bd0004.sys
[2014.08.05 21:15:56 | 000,041,800 | ---- | C] (Baidu) -- C:\Windows\SysNative\bd64_x64.dll
[2014.08.05 21:15:56 | 000,039,056 | ---- | C] (Baidu) -- C:\Windows\SysNative\bd64_x86.dll
[2014.08.05 21:15:48 | 000,072,008 | ---- | C] (Baidu Technology) -- C:\Windows\SysNative\drivers\BDArKit.sys
[2014.08.05 21:15:48 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Baidu
[2014.08.05 21:15:47 | 000,108,872 | ---- | C] (Baidu) -- C:\Windows\SysNative\drivers\BDMNetMon.sys
[2014.08.05 21:15:46 | 000,215,880 | ---- | C] (Baidu) -- C:\Windows\SysNative\drivers\bd0002.sys
[2014.08.05 21:15:45 | 000,160,080 | ---- | C] (Baidu) -- C:\Windows\SysNative\drivers\bd0001.sys
[2014.08.05 21:15:43 | 000,000,000 | ---D | C] -- C:\ProgramData\baidu
[2014.08.05 21:15:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Baidu
[2014.08.05 21:15:33 | 048,441,696 | ---- | C] (上海展盟网络科技有限公司) -- C:\Windows\ucbrowser_7654_9514.exe
[2014.08.05 21:05:49 | 037,769,920 | ---- | C] (上海展盟网络科技有限公司) -- C:\Windows\bdws_1454_7654_9514.exe
[2014.07.28 18:20:17 | 000,000,000 | ---D | C] -- C:\Windows\tasks\360Disabled
[2014.08.06 01:10:16 | 014,599,504 | ---- | M] (上海展盟网络科技有限公司) -- C:\Windows\gswb_1454_7654_9514.exe
[2014.08.06 01:09:54 | 000,000,484 | ---- | M] () -- C:\Windows\tasks\UCBrowserUpdater{f55be20babdf363bc043f47e776f1d97}.job
[2014.08.06 01:09:08 | 035,955,159 | ---- | M] (上海展盟网络科技有限公司) -- C:\Windows\360sd_7654_9514.exe
[2014.08.05 21:40:06 | 030,411,080 | ---- | M] (上海展盟网络科技有限公司) -- C:\Windows\bdsd_1454_7654_9514.exe
[2014.08.05 21:36:45 | 029,004,912 | ---- | M] (上海展盟网络科技有限公司) -- C:\Windows\qhse_7654_9514.exe
[2014.08.05 21:33:26 | 065,492,592 | ---- | M] (上海展盟网络科技有限公司) -- C:\Windows\qhws_7654_9514.exe
[2014.08.05 21:22:27 | 048,441,696 | ---- | M] (上海展盟网络科技有限公司) -- C:\Windows\ucbrowser_7654_9514.exe
[2014.08.05 21:15:07 | 037,769,920 | ---- | M] (上海展盟网络科技有限公司) -- C:\Windows\bdws_1454_7654_9514.exe
[2014.08.05 21:23:25 | 000,000,484 | ---- | C] () -- C:\Windows\tasks\UCBrowserUpdater{f55be20babdf363bc043f47e776f1d97}.job
[2014.07.28 15:50:42 | 000,000,001 | ---- | C] () -- C:\Windows\SysNative\drivers\360Hvm64.dat
[2014.08.05 21:23:24 | 000,000,000 | ---D | C](C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC???) -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
[2014.08.05 21:23:18 | 000,000,959 | ---- | M] ()(C:\Users\Public\Desktop\UC???.lnk) -- C:\Users\Public\Desktop\UC浏览器.lnk
[2014.08.05 21:23:18 | 000,000,959 | ---- | C] ()(C:\Users\Public\Desktop\UC???.lnk) -- C:\Users\Public\Desktop\UC浏览器.lnk
[2014.08.05 21:15:55 | 000,001,152 | ---- | M] ()(C:\Users\Public\Desktop\????.lnk) -- C:\Users\Public\Desktop\百度卫士.lnk
[2014.08.05 21:15:55 | 000,001,152 | ---- | C] ()(C:\Users\Public\Desktop\????.lnk) -- C:\Users\Public\Desktop\百度卫士.lnk
[2014.08.04 01:52:25 | 000,000,000 | ---D | C](C:\ProgramData\Microsoft\Windows\Start Menu\Programs\?????) -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\光速输入法
[2014.07.28 15:56:29 | 000,000,000 | ---D | C](C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????) -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度杀毒
[2014.07.28 15:50:16 | 000,000,000 | ---D | C](C:\ProgramData\Microsoft\Windows\Start Menu\Programs\360????) -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\360安全中心
[2014.07.28 15:41:52 | 000,000,000 | ---D | C](C:\ProgramData\Microsoft\Windows\Start Menu\Programs\????) -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度卫士

:Services
360Hvm
360AntiHacker
360Box64
360Camera
360FsFlt
360netmon
BAPIDRV
bd0001
bd0002
bd0003
bd0004
BDArKit
BDKVRTP
BDMNetMon
BDMRTP
BDSGRTP
UCBrowserSvc
ZhuDongFangYu

:Files

:Reg

:Commands
[EMPTYTEMP]
[purity]
[Reboot]

Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.

**masterdobra** · 06.08.2014, 16:55

Готово: https://yadi.sk/i/2Kiba2fWZBE8c

**mike 1** · 06.08.2014, 17:14

Сделайте новые логи OTL

**masterdobra** · 06.08.2014, 18:17

готово: https://yadi.sk/i/fNgcwfpZZBV2Q
https://yadi.sk/i/HWpnS61mZBVCd

**mike 1** · 06.08.2014, 20:44

OTL не справляется. Сделайте новый лог Combofix. + Посмотрите в панели управления => Установка и удаление программ нет ли там:

Baidu
UC Browser
360

Если что нибудь найдете из этого списка деинсталлируйте.

**masterdobra** · 06.08.2014, 22:09

Готово: https://yadi.sk/i/TpSWXuEJYmCg5

Деинсталировал несколько программ через Панель управления - 360 и UC

**mike 1** · 06.08.2014, 23:51

Перед выполнением скрипта поищите в этой c:\program files (x86)\Baidu папке деинсталлятор Baidu если найдете его деинсталлируйте его, а потом выполните скрипт.

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\system32\DRIVERS\bd0004.sys
c:\windows\SYSNATIVE\DRIVERS\BDMNetMon.sys
c:\program files (x86)\Baidu\BaiduAn\2.1.0.1154\BaiduAnSvc.exe

Driver::
bd0004
BDMNetMon
BDMRTP


Folder::
c:\program files (x86)\Baidu

Registry::

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Китайский вирус BaiduAn, Sd (заявка № 163505)

Опции темы

Похожие темы

Китайский вирус

Китайский вирус

Загадочный китайский вирус или QQey6H.exe

Китайский вирус

1026 и 1027 - китайский Ip-спам или вирус?

Метки для этой темы

Ваши права в разделе