Junior Member
Вес репутации
35
Baidu китайский вирус
В programm files появились папки baidu, baidu ex, bonys berry...Они не удаляются, пишет снять защиту от записи. При запуске открываются программы с китайскими иероглифами, интернет да и сам компьютер начинают медленно работать. Все сделал как написано в инструкции по оформлению запроса о помощи... Файлы прилагаю.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kazakx , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}');
DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
SetServiceStart('Update Service for BonusBerry', 4);
DeleteService('Update Service for BonusBerry');
TerminateProcessByName('c:\program files\bonusberry\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files\bonusberry\basement\extensionupdaterservice.exe','');
DeleteFile('c:\program files\bonusberry\basement\extensionupdaterservice.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x86');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduansvc.exe');
BC_DeleteFile('c:\program files\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe');
BC_DeleteFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdsvc.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\ad.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\bduf.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMDbSqlite.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMFrameWork.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMNet.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMReport.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDMSkin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\DriverManager.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\EnhanceBoost.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMProcessRunningTime.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\RTPPlugins\BDMSOAccServicePlugin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\plugins\RTPPlugins\HipsClient.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\ad.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavCommon.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavEngine.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavFrame.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavScanH.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavScanM.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavScanS.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BAV\BavScanV.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDConfig.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\BDMPerfMon.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\bduf.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\bdmantivirus\TrustAndIso.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDMAVE.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDMDbSqlite.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDMFrameWork.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDMNet.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDMReport.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDMSkin.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\DriverManager.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\plugins\bdkvrtpplugins\FileMon.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\plugins\bdkvrtpplugins\HIPSClient.dll');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\plugins\bdkvrtpplugins\PrivacyProtect.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\ad.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsBusiness.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHipsCore.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduPrevUIn.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\bd0001.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDConfig.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\bdmantivirus\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMBase.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMFrameWork.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMNet.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMReport.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMStringUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BDMTinyXml.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\DriverManager.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\TrustAndIso.dll');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0002');
BC_DeleteSvc('bd0003');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDDefense');
BC_DeleteSvc('BDMWrench');
BC_DeleteSvc('BDAntiExp');
BC_DeleteSvc('BDMNetMon');
BC_DeleteFile('C:\Program Files\BaiduEx\uninit.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логи
Сделайте лог ComboFix
Сделайте такой лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Вложения
Исправляйте ярлыки
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Дмитрий\AppData\Roaming\Microsoft\Interne t Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Дмитрий\AppData\Roaming\Microsoft\Interne t Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Дмитрий\AppData\Roaming\Microsoft\Interne t Explorer\Quick Launch\User Pinned\TaskBar\Opera11.51 1087.lnk
C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Internet Explorer.lnk
C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Яндекс.Диск\Скриншоты в Яндекс.Диске.lnk
C:\Users\Дмитрий\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Яндекс.Диск\Яндекс.Диск.lnk
C:\Users\Дмитрий\Desktop\Google Chrome.lnk
C:\Users\Дмитрий\Desktop\Яндекс.Диск.lnk
Лог CоmboFix неполный - переделывайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Все сделал. Ярлыки исправил. комбуху переделал, прилагаю.
Вложения
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\an.bat
c:\windows\system32\sd.bat
Driver::
BaiduHips
BDKVRTP
BDMRTP
Rerun service for BonusBerry
BDEnhanceBoost
Folder::
c:\users\Дмитрий\AppData\Roaming\Baidu
c:\users\Дмитрий\AppData\Local\Baidu
c:\program files\Common Files\Baidu
c:\programdata\Baidu
c:\program files\Baidu
c:\program files\BonusBerry
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Из program files папки с байду вроде как удалились, осталась одна BaiduEx...но вот через касперыча проверив сетевой трафик обнаружил там этих байду тьма тьмущую!!
все сделал как написано, отчет прилагаю
Вложения
Running from: d:\ўєь\Keys\ComboFix.exe
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
Код:
KillAll::
File::
c:\windows\system32\drivers\BDEnhanceBoost.sys
c:\windows\system32\an.bat
c:\windows\system32\sd.bat
Driver::
Folder::
c:\users\Дмитрий\AppData\Roaming\Baidu
c:\users\Дмитрий\AppData\Local\Baidu
c:\program files\BaiduEx
Registry::
FileLook::
DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Junior Member
Вес репутации
35
Все сделал, из программ файлс байду ушло, а вот в папке юзерс остались папки с китайскими иероглифами.
Отчет прилагаю.
И еще гадасть какаето сидит либо в браузере опера либо в самом компе...когда в интернете сидиш щелкаешь по ссылке и в новой вкладке открывается сайт каждый раз разный...потом второй раз по ссылке щелкаешь и уже проходишь куда надо.
Вложения
Последний раз редактировалось kazakx; 28.11.2014 в 20:01 .
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5" . Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Junior Member
Вес репутации
35
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в C:\Users\Дмитрий\Desktop:
Код:
SearchScopes: HKU\S-1-5-21-3772788895-716554711-1183542044-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e688d6e54a9a8217999da9925d0f3a0&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3772788895-716554711-1183542044-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=9e688d6e54a9a8217999da9925d0f3a0&text=
FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File
FF Extension: BonusBerry - C:\Users\Дмитрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{A06E9184-65B3-490A-AF63-E1EC0C4A3307} [2014-11-18]
CHR Extension: (Переводчик для Chrome 2) - C:\Users\Дмитрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpngackimfmofbokmjmljamhdncknpmg [2014-10-17]
2014-11-21 17:36 - 2014-11-21 17:36 - 00000000 ____D () C:\Users\Дмитрий\AppData\Roaming\Baidu
2014-11-21 17:36 - 2014-11-21 17:36 - 00000000 ____D () C:\Users\Дмитрий\AppData\Local\Baidu
2014-11-21 17:36 - 2014-11-21 17:36 - 00000000 ____D () C:\Users\Public\Documents\Baidu
2014-11-21 17:23 - 2014-11-21 17:23 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度卫士
2014-11-21 17:23 - 2014-09-19 19:02 - 00061256 _____ (Baidu) C:\Windows\system32\Drivers\BDEnhanceBoost.sys
2014-11-21 17:22 - 2014-11-21 17:22 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度杀毒
2014-11-18 11:30 - 2014-11-21 17:24 - 00000520 _____ () C:\Windows\system32\an.bat
2014-11-18 11:29 - 2014-11-21 17:21 - 00000520 _____ () C:\Windows\system32\sd.bat
EmptyTemp:
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Junior Member
Вес репутации
35
Вложения
Junior Member
Вес репутации
35
Байду почистило, в программ файлс его нет. Но вот проблема различных сайтов открывающихся от кликов по ссылкам, осталась...тоесть гадасть какаето сидит либо в браузере опера либо в самом компе...когда в интернете сидиш щелкаешь по ссылке и в новой вкладке открывается сайт каждый раз разный...потом второй раз по ссылке щелкаешь и уже проходишь куда надо.
В браузере отключите все расширения. Проверьте проблему.
Junior Member
Вес репутации
35
Нервы мои не выдержали...и я просто удалил браузер опера!! Теперь пользую гугл хром, пока все ок!! Спасибо за помощь!!
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall , нажмите кнопку "ОК "
Скачайте OTCleanIt , запустите, нажмите Clean up
Скачайте DelFix и сохраните утилиту на Рабочем столе Запустите DelFix Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да
В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup Нажмите на кнопку Run После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt Прикрепите этот отчет в вашей теме.
Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP ) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7 ) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt ; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck , например C:\SecurityCheck\SecurityCheck.txt
Junior Member
Вес репутации
35
извиняюсь за поздноту ответа. все сделал.
Вложения