Китайский вирус Baidu

[foxrou]

Добрый день! Прошлой ночью по усталости и неосмотрительности скачала и запустила самораспаковывающийся экзешный архив, после чего начали устанавливаться всякие приблуды, а именно браузер Амиго, ярлыки Одноклассников и ВКонтакте в панель быстрого запуска, какие-то тулбары и виджеты от Mail.ru в браузеры. Это все я поудаляла и деинсталлировала, но вскоре выскочило оранжевое окошко с китайскими иероглифами, какими-то кнопками и таймером на 30 секунд. В общем, установился ко мне вирус Baidu. Окошко его я закрывала, но оно выскакивало где-то раз в минуту снова и снова. Антивирус (у меня DrWeb) выловил его файлы и папки, опознал но действия к ним применить не смог. Утилита CureIt угроз не обнаружила. После ребута программы вируса встроились в меню Пуск и в трей (синяя и зеленая иконки) + на рабочем столе появилось что-то типа виджета с зеленой кнопкой в виде галочки, некой шкалой (то прибывает, то убывает) и показателями какой-то скорости в k/s (показатели всегда по нулям). В Firefox стоит NoScript - с появлением вируса он стал блокировать некий скрипт obnovlenie.eu - возможно, тоже от вируса стучится. Деинсталляторы компонентов вируса открываются на китайском - боюсь не угадать кнопку, не трогаю их. Сразу после загрузки из трея всплывает какое-то окошко с иероглифами и цифрами (цифры всегда разные). И вирус явно повышает активность при подключении к интернету. До обращения к Вам я предприняла следующие действия: 1. Загрузилась в безопасном режиме и попробовала вытащить вирус из автозагрузки через msconfig. Результат: отключилось только 2 компонента из 4-х, а 2 загружаются каждый раз и благополучно сидят в трее. 2. Проверила Kaspersky Virus Removal Tool. Результат: в процессе проверки обнаружил опасную угрозу, запросил ребут, после загрузки выдал ошибку, что ничего не смог, и закрылся. При следующей проверке угроз не обнаружил. 3. Kaspersky System Scan установиться не смог - выдал ошибку. 4. AVZ при проверке находила файлы вируса (выделяла их красным как подозрительные), но в итоге угроз не обнаружила. Есть лог. 5. Выполняла в AVZ скрипт на удаление процессов вируса, его файлов и директорий. Результат: все на месте, ничего не удалилось. 6. Фиксила ключи, содержащие название вируса, в HJT. Результат: ключи на месте, вирусные процессы тоже, но переместились в очереди загрузки в конец. Есть лог. 7. Прогоняла через FixerBro. Ломаных ярлыков не найдено. Есть лог. 8. Прогоняла через ComboFix. Результат: убилось всплывающее оранжевое окошко (и на том спасибо!), и после ребута вирус запросил разрешение на внесение изменений в систему. Изменения не разрешила. Вирус на месте - в трее, с виджетом, но уже не выскакивает каждую минуту. Ребят, помогите, пожалуйста! Я знаю, что Вы большие умнички и обязательно сочините волшебный скрипт, который поможет выкорчевать китайца с корнем. =) Прикладываю логи по инструкции. Очень жду! P.S: Извините, если сильно подробно.

[Info_bot]

Уважаемый(ая) foxrou, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Перечитайте правила и пришлите нужные логи AVZ

[foxrou]

Ой, извините. Исправляюсь. =) Кстати, у Вас в инструкции нет про вторую галочку - не сразу понятно, откуда получить файл syscure. Прикладываю.

[foxrou]

Еще раз прошу прощения - кажется, вместо "Ответ" нажала "Ответить в теме". На всякий случай дублирую.

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[foxrou]

Прикладываю отчеты FRST64.

[mike 1]

Деинсталлируйте что сможете:

百度
百度卫士3.0
百度杀毒2.1

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
  
  Код:

  R2 BaiduHips; C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe [64008 2014-09-18] (百度在线网络技术(北京)有限公司)
  R2 BDKVRTP; C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe [821768 2014-09-25] (百度在线网络技术(北京)有限公司)
  R2 BDMRTP; C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe [1047048 2014-10-10] (百度在线网络技术(北京)有限公司)
  R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [174416 2014-09-17] (Baidu)
  R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [190280 2014-09-17] (Baidu)
  R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [65864 2014-09-10] (Baidu)
  R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [144712 2014-11-28] (Baidu Technology)
  R2 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [103240 2014-09-22] (Baidu)
  R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [52040 2014-09-23] (Baidu)
  R2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-11-17] (Baidu)
  S1 bd0004; system32\DRIVERS\bd0004.sys [X]
  S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
  S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
  S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
  (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe
  (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe
  (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe
  (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe
  (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe
  (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\baidu\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
  HKLM\...\Run: [baiduAnTray] => C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\baiduAnTray.exe [2087432 2014-10-10] (百度在线网络技术(北京)有限公司)
  HKLM-x32\...\Run: [baidusdTray] => C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe [2157064 2014-09-28] (百度在线网络技术(北京)有限公司)
  HKLM-x32\...\Run: [BaiduAnTray] => C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe [2087432 2014-10-10] (百度在线网络技术(北京)有限公司)
  FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File
  FF Extension: Adobe Flash Player - C:\Users\Евгения\AppData\Roaming\Mozilla\Firefox\Profiles\w2vhqtwx.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2014-11-28]
  2014-11-28 21:49 - 2014-09-23 10:16 - 00052040 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench_x64.sys
  2014-11-28 20:18 - 2014-11-28 03:46 - 00144712 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.SYS
  2014-11-28 20:18 - 2014-09-17 05:37 - 00174416 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys
  2014-11-28 19:08 - 2014-11-28 23:01 - 00000000 ____D () C:\Users\赔沐龛\AppData\Roaming\Baidu
  2014-11-28 19:08 - 2014-11-28 19:08 - 00000000 ____D () C:\Users\赔沐龛
  2014-11-28 03:56 - 2014-11-17 06:15 - 00048968 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys
  2014-11-28 03:55 - 2014-11-28 03:55 - 00000000 ____D () C:\Users\Евгения\AppData\Local\Baidu
  2014-11-28 03:32 - 2014-11-28 03:32 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度卫士
  2014-11-28 03:32 - 2014-09-22 10:34 - 00103240 _____ (Baidu) C:\Windows\system32\Drivers\BDDefense.sys
  2014-11-28 03:30 - 2014-11-29 00:38 - 00000000 ____D () C:\Users\Все пользователи\Baidu
  2014-11-28 03:30 - 2014-11-29 00:38 - 00000000 ____D () C:\ProgramData\Baidu
  2014-11-28 03:30 - 2014-11-28 18:44 - 00000000 ____D () C:\Users\Евгения\AppData\Roaming\Baidu
  2014-11-28 03:30 - 2014-11-28 03:30 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度杀毒
  2014-11-28 03:30 - 2014-09-17 05:37 - 00190280 _____ (Baidu) C:\Windows\system32\Drivers\bd0002.sys
  2014-11-28 03:30 - 2014-09-10 15:41 - 00174416 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys_
  2014-11-28 03:30 - 2014-09-10 06:30 - 00065864 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys
  2014-11-28 03:28 - 2014-11-28 21:13 - 00000000 ____D () C:\Program Files (x86)\baidu
  C:\Windows\System32\DRIVERS\bd0001.sys
  C:\Windows\System32\DRIVERS\bd0002.sys
  C:\Windows\System32\DRIVERS\bd0003.sys
  C:\Windows\System32\DRIVERS\BDArKit.sys
  C:\Windows\System32\drivers\BDDefense.sys
  C:\Windows\System32\DRIVERS\BDMWrench_x64.sys
  C:\Windows\System32\DRIVERS\BDSafeBrowser.sys
  Task: {631C7E5E-D66E-4FEA-B671-1A12F2D7620C} - \SystemScript No Task File <==== ATTENTION
  2014-11-28 03:30 - 2014-09-10 06:30 - 00122760 _____ () C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BDKVDeskBand64.dll
  2014-08-28 10:58 - 2014-08-28 10:58 - 00316232 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMFrameWork.dll
  2014-08-28 10:57 - 2014-08-28 10:57 - 00279368 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMCommon.dll
  2014-08-28 10:58 - 2014-08-28 10:58 - 00295752 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMSOLiveAccDataMgr.dll
  2014-08-28 10:58 - 2014-08-28 10:58 - 00062280 _____ () C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMNetMonMgrDll.dll
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[foxrou]

А как деинсталлировать эти три? Через панель управления запускаются их собственные деинсталляторы, а в них все по-китайски - есть возможность выбирать какие-то галочки и 1-2 кнопки с иероглифами. Я боюсь нажимать наугад - вдруг он начнет не удаляться, а устанавливать или обновлять что-нибудь? Через какую программу их удалить по-другому?

[mike 1]

Если не получается их удалить тогда пропускайте этот шаг.

[foxrou]

Прикладываю лог. Все видимые проявления вируса исчезли! Его нет в трее, нет его виджета, NoScript в браузере перестал отбиваться от скрипта obnovlenie.eu Папок вируса через поиск тоже, вроде, не нахожу. Какая-то китайщина еще осталась в меню Пуск самой верхней строкой (могу приложить скрин, если надо) и названия 2-х процессов отображаются в списке автозапуска, но на них нет галочек (в смысле отключены как бы). А так ничего больше нет.

- - - - -Добавлено - - - - -

Мне нужно еще чем-то сканировать или то, что осталось, - это уже не вирус?

[mike 1]

Сделайте новые логи Farbar Recovery Scan Tool

[foxrou]

Сделала, прикладываю.

[mike 1]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
  
  Код:

  HKLM\...\Run: [baiduAnTray] => "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\baiduAnTray.exe"  -stmd=3
  HKLM-x32\...\Run: [baidusdTray] => "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
  HKLM-x32\...\Run: [BaiduAnTray] => "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
  S2 BDKVRTP; "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe" -r [X]
  S2 BDMRTP; "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe" -r [X]
  S1 bd0001; system32\DRIVERS\bd0001.sys [X]
  S1 bd0002; system32\DRIVERS\bd0002.sys [X]
  S1 bd0003; system32\DRIVERS\bd0003.sys [X]
  S1 bd0004; system32\DRIVERS\bd0004.sys [X]
  S1 BDAntiExp; system32\DRIVERS\BDAntiExp.sys [X]
  S2 BDArKit; system32\DRIVERS\BDArKit.sys [X]
  S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X]
  S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
  S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
  2014-11-23 21:48 - 2014-11-23 21:48 - 00000000 __SHD () C:\Users\Евгения\AppData\Local\EmieBrowserModeList
  2014-11-12 23:05 - 2014-11-12 23:05 - 00000000 __SHD () C:\Users\Евгения\AppData\Local\EmieUserList
  2014-11-12 23:05 - 2014-11-12 23:05 - 00000000 __SHD () C:\Users\Евгения\AppData\Local\EmieSiteList
  2014-11-12 23:05 - 2014-11-12 23:05 - 00000000 ____D () C:\tmp
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите FixerBro
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы нажмите на кнопку "Проверить"
5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
6. По окончанию сканирования нажмите на кнопку "Отчет".
7. Сохраните лог утилиты
8. Прикрепите сохраненный отчет в вашей теме.

[foxrou]

Сделала, прикладываю.

[mike 1]

Прикрепите этот C:\ComboFix.txt отчет. + Что с проблемой?

[foxrou]

Прикладываю. С проблемой пока все то же самое - в меню Пуск верхней строкой торчит иконка с иероглифами, если на нее нажать, выскакивает запрос на внесение изменений в систему от программы Baidu. В списке автозапуска (смотрю через инструменты Revo) по-прежнему отображаются 2 вирусных процесса, но они отключены, не запускаются.

[mike 1]

в меню Пуск верхней строкой торчит иконка с иероглифами

А она не удаляется?

1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите sitlog.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
6. Прикрепите эти отчеты в вашей теме.

[foxrou]

Нажала "Изъять из меню Пуск" - иконка с иероглифами пропала. Меня смущает только то, что был запрос на внесение изменений при нажатии на нее - это означает, что где-то сидят куски программы? Или такой запрос будет в любом случае - независимо от того, есть сама программа или ее уже нет? Прикладываю логи.

[mike 1]

Это Adobe DTM Switch расширение из браузера удалите в остальном больше плохого не видно.