Junior Member
Вес репутации
35
Вирус Baidu, не удаляется, после перезапуска восстанавливается.
Здравствуйте, пытался скачать ворд архивом, получил этот вирус.С первого раза он даже весь удалился utool'ом принудительно, после перезагрузки полностью восстановился и теперь в программах по удалению его не видно. Заблочил его фаерволом что бы не запускался, пытался удалить папки - нет прав.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Roma_ , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
BC_DeleteFile('c:\program files (x86)\baidu\baiduan\3.0.0.3971\baiduansvc.exe');
BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe');
BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.521\baiduprotect.exe');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\ad.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\bdmantivirus\bduf.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMDbSqlite.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMFrameWork.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMNet.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMReport.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMSkin.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDMUpdate.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\DriverManager.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\EnhanceBoost.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\FTSOManager\BDMProcessRunningTime.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\plugins\RTPPlugins\BDMSOAccServicePlugin.dll');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\plugins\RTPPlugins\HipsClient.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\ad.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsBusiness.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsCore.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduPrevUIn.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDConfig.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\bdmantivirus\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMBase.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMFrameWork.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMNet.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMReport.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMStringUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BDMTinyXml.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\DriverManager.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\TrustAndIso.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\ad.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDMNet.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDMReport.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\DriverManager.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\plugins\BaiduRepair.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\plugins\HIPS.dll');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\SafeBrowserDll.dll');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\Windows\system32\drivers\BDDefense.sys');
BC_DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys');
BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe');
BC_DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe');
BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BaiduProtect.exe');
BC_DeleteSvc('BaiduHips');
BC_DeleteSvc('BDMRTP');
BC_DeleteSvc('BDSGRTP');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0002');
BC_DeleteSvc('bd0003');
BC_DeleteSvc('bd0004');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDDefense');
BC_DeleteSvc('BDMWrench_x64');
BC_DeleteSvc('BDSafeBrowser');
BC_DeleteSvc('BDEnhanceBoost');
BC_DeleteSvc('BDMNetMon');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0d0a89fe39258a357df50acd580e1309&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0d0a89fe39258a357df50acd580e1309&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0d0a89fe39258a357df50acd580e1309&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0d0a89fe39258a357df50acd580e1309&text=
O2 - BHO: DefaultTabBHO - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Users\Roma\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabBHO.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdTray.exe" -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe" -stmd=3
O4 - HKCU\..\RunOnce: [Adobe Speed Launcher] 1418647235
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0d0a89fe39258a357df50acd580e1309&text=
Сделайте новые логи
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Вложения
Junior Member
Вес репутации
35
Baidu, начал в фоновом режиме грузить процессор на 100%, зависает все, что запускаю.
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
Код:
KillAll::
File::
C:\Windows\system32\drivers\BDMWrench.sys
C:\Windows\system32\drivers\BDMWrench_x64.sys
C:\Windows\SysWow64\drivers\BDArKit.sys
C:\Windows\system32\drivers\BDSafeBrowser.sys
C:\Windows\system32\drivers\bd0003.sys
C:\Windows\system32\drivers\bd0002.sys
C:\Windows\system32\drivers\bd0001.sys
C:\Ваttlе.nеt Lаunсhеr.bаt.exe
C:\Diаblо III Lаunсhеr.bаt.exe
C:\Program Files (x86)\Uplаy.bаt.exe
C:\Program Files (x86)\SkyrimLаunсhеr.bаt.exe
Driver::
BDEnhanceBoost
BDMNetMon
BDSafeBrowser
bd0001
bd0002
bd0003
bd0004
BDMWrench_x64
BaiduHips
BDArKit
BDDefense
BDKVRTP
BDMRTP
BDSGRTP
Folder::
C:\Users\Roma\AppData\Roaming\Baidu
C:\ProgramData\Baidu
C:\Program Files (x86)\Common Files\Baidu
C:\Program Files (x86)\BaiduSd2.1
C:\Program Files (x86)\baidu
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Adobe Speed Launcher"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"baidusdTray"=-
"BaiduAnTray"=-
FileLook::
DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Junior Member
Вес репутации
35
Вложения
Удалите вручную
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0004.sys
c:\program files (x86)\SkyrimLauncher.bat
C:\Battle.net Launcher.bat
C:\Diablo III Launcher.bat
c:\program files (x86)\Uplay.bat
c:\windows\system32\drivers\BDDefense.sys
c:\windows\system32\drivers\BDArKit.sys
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Спасибо вам большое, удалил все, кроме файлов bat. в указанном пути их нет.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Я не умею делать их видимыми
У меня семерка, не знаю как выполнить (attrib C:\SkyrimLauncher.bat -h /S)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5" . Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Junior Member
Вес репутации
35
Вложения
Junior Member
Вес репутации
35
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
Код:
SearchScopes: HKU\S-1-5-21-4096802399-3566324216-3851333893-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0d0a89fe39258a357df50acd580e1309&text={searchTerms}
SearchScopes: HKU\S-1-5-21-4096802399-3566324216-3851333893-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0d0a89fe39258a357df50acd580e1309&text=
Toolbar: HKU\S-1-5-21-4096802399-3566324216-3851333893-1000 -> No Name - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
Toolbar: HKU\S-1-5-21-4096802399-3566324216-3851333893-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
2014-12-14 13:05 - 2014-12-14 13:05 - 00000132 ____H () C:\Program Files (x86)\SkyrimLauncher.bat
2014-12-14 13:05 - 2014-12-14 13:05 - 00000113 ____H () C:\Program Files (x86)\Uplay.bat
2014-12-14 13:05 - 2014-12-14 13:05 - 00000104 ____H () C:\Battle.net Launcher.bat
2014-12-14 13:05 - 2014-12-14 13:05 - 00000100 ____H () C:\Diablo III Launcher.bat
EmptyTemp:
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Junior Member
Вес репутации
35
Вложения
Junior Member
Вес репутации
35
Спасибо за помощь, вы крутые
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall , нажмите кнопку "ОК "
Скачайте OTCleanIt , запустите, нажмите Clean up
Скачайте DelFix и сохраните утилиту на Рабочем столе Запустите DelFix Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да
В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup Нажмите на кнопку Run После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt Прикрепите этот отчет в вашей теме.
Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP ) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7 ) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt ; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck , например C:\SecurityCheck\SecurityCheck.txt