-
Junior Member
- Вес репутации
- 35
Китайский вирус Baidu
Добрый день! Прошлой ночью по усталости и неосмотрительности скачала и запустила самораспаковывающийся экзешный архив, после чего начали устанавливаться всякие приблуды, а именно браузер Амиго, ярлыки Одноклассников и ВКонтакте в панель быстрого запуска, какие-то тулбары и виджеты от Mail.ru в браузеры. Это все я поудаляла и деинсталлировала, но вскоре выскочило оранжевое окошко с китайскими иероглифами, какими-то кнопками и таймером на 30 секунд. В общем, установился ко мне вирус Baidu. Окошко его я закрывала, но оно выскакивало где-то раз в минуту снова и снова. Антивирус (у меня DrWeb) выловил его файлы и папки, опознал но действия к ним применить не смог. Утилита CureIt угроз не обнаружила. После ребута программы вируса встроились в меню Пуск и в трей (синяя и зеленая иконки) + на рабочем столе появилось что-то типа виджета с зеленой кнопкой в виде галочки, некой шкалой (то прибывает, то убывает) и показателями какой-то скорости в k/s (показатели всегда по нулям). В Firefox стоит NoScript - с появлением вируса он стал блокировать некий скрипт obnovlenie.eu - возможно, тоже от вируса стучится. Деинсталляторы компонентов вируса открываются на китайском - боюсь не угадать кнопку, не трогаю их. Сразу после загрузки из трея всплывает какое-то окошко с иероглифами и цифрами (цифры всегда разные). И вирус явно повышает активность при подключении к интернету. До обращения к Вам я предприняла следующие действия: 1. Загрузилась в безопасном режиме и попробовала вытащить вирус из автозагрузки через msconfig. Результат: отключилось только 2 компонента из 4-х, а 2 загружаются каждый раз и благополучно сидят в трее. 2. Проверила Kaspersky Virus Removal Tool. Результат: в процессе проверки обнаружил опасную угрозу, запросил ребут, после загрузки выдал ошибку, что ничего не смог, и закрылся. При следующей проверке угроз не обнаружил. 3. Kaspersky System Scan установиться не смог - выдал ошибку. 4. AVZ при проверке находила файлы вируса (выделяла их красным как подозрительные), но в итоге угроз не обнаружила. Есть лог. 5. Выполняла в AVZ скрипт на удаление процессов вируса, его файлов и директорий. Результат: все на месте, ничего не удалилось. 6. Фиксила ключи, содержащие название вируса, в HJT. Результат: ключи на месте, вирусные процессы тоже, но переместились в очереди загрузки в конец. Есть лог. 7. Прогоняла через FixerBro. Ломаных ярлыков не найдено. Есть лог. 8. Прогоняла через ComboFix. Результат: убилось всплывающее оранжевое окошко (и на том спасибо!), и после ребута вирус запросил разрешение на внесение изменений в систему. Изменения не разрешила. Вирус на месте - в трее, с виджетом, но уже не выскакивает каждую минуту. Ребят, помогите, пожалуйста! Я знаю, что Вы большие умнички и обязательно сочините волшебный скрипт, который поможет выкорчевать китайца с корнем. =) Прикладываю логи по инструкции. Очень жду! P.S: Извините, если сильно подробно.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) foxrou, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Перечитайте правила и пришлите нужные логи AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 35
Ой, извините. Исправляюсь. =) Кстати, у Вас в инструкции нет про вторую галочку - не сразу понятно, откуда получить файл syscure. Прикладываю.
-
Junior Member
- Вес репутации
- 35
Еще раз прошу прощения - кажется, вместо "Ответ" нажала "Ответить в теме". На всякий случай дублирую.
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
-
-
Junior Member
- Вес репутации
- 35
Прикладываю отчеты FRST64.
-
Деинсталлируйте что сможете:
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
Код:
R2 BaiduHips; C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe [64008 2014-09-18] (百度在线网络技术(北京)有限公司)
R2 BDKVRTP; C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe [821768 2014-09-25] (百度在线网络技术(北京)有限公司)
R2 BDMRTP; C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe [1047048 2014-10-10] (百度在线网络技术(北京)有限公司)
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [174416 2014-09-17] (Baidu)
R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [190280 2014-09-17] (Baidu)
R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [65864 2014-09-10] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [144712 2014-11-28] (Baidu Technology)
R2 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [103240 2014-09-22] (Baidu)
R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [52040 2014-09-23] (Baidu)
R2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-11-17] (Baidu)
S1 bd0004; system32\DRIVERS\bd0004.sys [X]
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
(百度在线网络技术(北京)有限公司) C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe
(百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
(百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe
(百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe
(百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
(百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
HKLM\...\Run: [baiduAnTray] => C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\baiduAnTray.exe [2087432 2014-10-10] (百度在线网络技术(北京)有限公司)
HKLM-x32\...\Run: [baidusdTray] => C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe [2157064 2014-09-28] (百度在线网络技术(北京)有限公司)
HKLM-x32\...\Run: [BaiduAnTray] => C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe [2087432 2014-10-10] (百度在线网络技术(北京)有限公司)
FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File
FF Extension: Adobe Flash Player - C:\Users\Евгения\AppData\Roaming\Mozilla\Firefox\Profiles\w2vhqtwx.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2014-11-28]
2014-11-28 21:49 - 2014-09-23 10:16 - 00052040 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench_x64.sys
2014-11-28 20:18 - 2014-11-28 03:46 - 00144712 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.SYS
2014-11-28 20:18 - 2014-09-17 05:37 - 00174416 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys
2014-11-28 19:08 - 2014-11-28 23:01 - 00000000 ____D () C:\Users\赔沐龛\AppData\Roaming\Baidu
2014-11-28 19:08 - 2014-11-28 19:08 - 00000000 ____D () C:\Users\赔沐龛
2014-11-28 03:56 - 2014-11-17 06:15 - 00048968 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys
2014-11-28 03:55 - 2014-11-28 03:55 - 00000000 ____D () C:\Users\Евгения\AppData\Local\Baidu
2014-11-28 03:32 - 2014-11-28 03:32 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度卫士
2014-11-28 03:32 - 2014-09-22 10:34 - 00103240 _____ (Baidu) C:\Windows\system32\Drivers\BDDefense.sys
2014-11-28 03:30 - 2014-11-29 00:38 - 00000000 ____D () C:\Users\Все пользователи\Baidu
2014-11-28 03:30 - 2014-11-29 00:38 - 00000000 ____D () C:\ProgramData\Baidu
2014-11-28 03:30 - 2014-11-28 18:44 - 00000000 ____D () C:\Users\Евгения\AppData\Roaming\Baidu
2014-11-28 03:30 - 2014-11-28 03:30 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度杀毒
2014-11-28 03:30 - 2014-09-17 05:37 - 00190280 _____ (Baidu) C:\Windows\system32\Drivers\bd0002.sys
2014-11-28 03:30 - 2014-09-10 15:41 - 00174416 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys_
2014-11-28 03:30 - 2014-09-10 06:30 - 00065864 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys
2014-11-28 03:28 - 2014-11-28 21:13 - 00000000 ____D () C:\Program Files (x86)\baidu
C:\Windows\System32\DRIVERS\bd0001.sys
C:\Windows\System32\DRIVERS\bd0002.sys
C:\Windows\System32\DRIVERS\bd0003.sys
C:\Windows\System32\DRIVERS\BDArKit.sys
C:\Windows\System32\drivers\BDDefense.sys
C:\Windows\System32\DRIVERS\BDMWrench_x64.sys
C:\Windows\System32\DRIVERS\BDSafeBrowser.sys
Task: {631C7E5E-D66E-4FEA-B671-1A12F2D7620C} - \SystemScript No Task File <==== ATTENTION
2014-11-28 03:30 - 2014-09-10 06:30 - 00122760 _____ () C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BDKVDeskBand64.dll
2014-08-28 10:58 - 2014-08-28 10:58 - 00316232 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMFrameWork.dll
2014-08-28 10:57 - 2014-08-28 10:57 - 00279368 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMCommon.dll
2014-08-28 10:58 - 2014-08-28 10:58 - 00295752 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccDataMgr.dll
2014-08-28 10:58 - 2014-08-28 10:58 - 00062280 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMNetMonMgrDll.dll
EmptyTemp:
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
-
-
Junior Member
- Вес репутации
- 35
А как деинсталлировать эти три? Через панель управления запускаются их собственные деинсталляторы, а в них все по-китайски - есть возможность выбирать какие-то галочки и 1-2 кнопки с иероглифами. Я боюсь нажимать наугад - вдруг он начнет не удаляться, а устанавливать или обновлять что-нибудь? Через какую программу их удалить по-другому?
-
Если не получается их удалить тогда пропускайте этот шаг.
-
-
Junior Member
- Вес репутации
- 35
Прикладываю лог. Все видимые проявления вируса исчезли! Его нет в трее, нет его виджета, NoScript в браузере перестал отбиваться от скрипта obnovlenie.eu Папок вируса через поиск тоже, вроде, не нахожу. Какая-то китайщина еще осталась в меню Пуск самой верхней строкой (могу приложить скрин, если надо) и названия 2-х процессов отображаются в списке автозапуска, но на них нет галочек (в смысле отключены как бы). А так ничего больше нет.
- - - - -Добавлено - - - - -
Мне нужно еще чем-то сканировать или то, что осталось, - это уже не вирус?
-
Сделайте новые логи Farbar Recovery Scan Tool
-
-
Junior Member
- Вес репутации
- 35
-
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
Код:
HKLM\...\Run: [baiduAnTray] => "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\baiduAnTray.exe" -stmd=3
HKLM-x32\...\Run: [baidusdTray] => "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe" -stmd=3
HKLM-x32\...\Run: [BaiduAnTray] => "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe" -stmd=3
S2 BDKVRTP; "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe" -r [X]
S2 BDMRTP; "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe" -r [X]
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 bd0003; system32\DRIVERS\bd0003.sys [X]
S1 bd0004; system32\DRIVERS\bd0004.sys [X]
S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
S2 BDArKit; system32\DRIVERS\BDArKit.sys [X]
S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
2014-11-23 21:48 - 2014-11-23 21:48 - 00000000 __SHD () C:\Users\Евгения\AppData\Local\EmieBrowserModeList
2014-11-12 23:05 - 2014-11-12 23:05 - 00000000 __SHD () C:\Users\Евгения\AppData\Local\EmieUserList
2014-11-12 23:05 - 2014-11-12 23:05 - 00000000 __SHD () C:\Users\Евгения\AppData\Local\EmieSiteList
2014-11-12 23:05 - 2014-11-12 23:05 - 00000000 ____D () C:\tmp
EmptyTemp:
Reboot:
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите FixerBro
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В главном окне программы нажмите на кнопку "Проверить"
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
- По окончанию сканирования нажмите на кнопку "Отчет".
- Сохраните лог утилиты
- Прикрепите сохраненный отчет в вашей теме.
-
-
Junior Member
- Вес репутации
- 35
-
Прикрепите этот C:\ComboFix.txt отчет. + Что с проблемой?
-
-
Junior Member
- Вес репутации
- 35
Прикладываю. С проблемой пока все то же самое - в меню Пуск верхней строкой торчит иконка с иероглифами, если на нее нажать, выскакивает запрос на внесение изменений в систему от программы Baidu. В списке автозапуска (смотрю через инструменты Revo) по-прежнему отображаются 2 вирусных процесса, но они отключены, не запускаются.
-
в меню Пуск верхней строкой торчит иконка с иероглифами
А она не удаляется?
- Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
- В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
- По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
- Прикрепите эти отчеты в вашей теме.
-
-
Junior Member
- Вес репутации
- 35
Нажала "Изъять из меню Пуск" - иконка с иероглифами пропала. Меня смущает только то, что был запрос на внесение изменений при нажатии на нее - это означает, что где-то сидят куски программы? Или такой запрос будет в любом случае - независимо от того, есть сама программа или ее уже нет? Прикладываю логи.
-
Это Adobe DTM Switch расширение из браузера удалите в остальном больше плохого не видно.
-