Junior Member
Вес репутации
35
Вирус BaiduSd2.1
На днях заразила компьютер вирусом BaiduSd2.1. Самостоятельно запускается. Пыталась отключить в автозапуске, вирус дублируется. В списке программ вижу его как папочку с пустыми окошечками. Реагирует на загрузки и съемные носители. При попытке удалить- пишет нет прав доступа.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Tatjana13 , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Click Caption 1.10.0.2 удалите через Установку программ
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\8554\Updater.exe','');
QuarantineFile('C:\launcher.bat','');
QuarantineFile('C:\firefox.bat','');
QuarantineFile('C:\Program Files\Google\chrome.bat','');
DeleteService('ccnfd_1_10_0_2');
QuarantineFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_2.sys','');
QuarantineFile('C:\Program Files\ClickCaption_1.10.0.2\Service\ccsvc.exe','');
DeleteService('ccsvc_1.10.0.2');
DeleteFile('C:\Program Files\ClickCaption_1.10.0.2\Service\ccsvc.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\ccnfd_1_10_0_2.sys','32');
DeleteFile('C:\Program Files\Google\chrome.bat','32');
DeleteFile('C:\firefox.bat','32');
DeleteFile('C:\launcher.bat','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\8554\Updater.exe','32');
DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\program files\common files\baidu\baiduhips\1.2.0.751\baiduhips.exe');
BC_DeleteFile('c:\program files\baidusd2.1\baidusd\2.1.0.3086\baidusdsvc.exe');
BC_DeleteFile('c:\program files\baidusd2.1\baidusd\2.1.0.3086\baidusdtray.exe');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\ad.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BAV\BavCommon.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BAV\BavEngine.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BAV\BavFrame.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BAV\BavScanH.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BAV\BavScanM.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BAV\BavScanS.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BAV\BavScanV.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BDConfig.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BDKVDeskBand.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\bdmantivirus\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\bdmantivirus\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\bdmantivirus\BDMPerfMon.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\bdmantivirus\BDUDiskGuard.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\bdmantivirus\bduf.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\bdmantivirus\TrustAndIso.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BDMAVE.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BDMDbSqlite.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BDMFrameWork.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BDMNet.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BDMReport.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BDMSkin.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\DriverManager.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\plugins\bdkvrtpplugins\FileMon.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\plugins\bdkvrtpplugins\HIPSClient.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\plugins\bdkvrtpplugins\PrivacyProtect.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\Plugins\bdkvtrayplugins\BDDownLoadProtectPlugin.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\Plugins\bdkvtrayplugins\BDKVRmvDevPlugin.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\Plugins\bdkvtrayplugins\BDKVTrayTipsPlugin.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\websafe\DllInject.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\websafe\websafe.dll');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\websafe\WebSafePlugin.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\ad.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsBusiness.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHipsCore.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduPrevUIn.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\bd0001.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDConfig.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDLogicUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\bdmantivirus\BDKitUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVCached.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMAVEng.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMBase.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMFrameWork.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMNet.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMReport.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMStringUtils.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BDMTinyXml.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\DriverManager.dll');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\TrustAndIso.dll');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0001.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0002.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\bd0003.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDArKit.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\BDDefense.sys');
BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\BDMWrench.sys');
BC_DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdSvc.exe');
BC_DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe');
BC_DeleteSvc('BDMRTP');
BC_DeleteSvc('BDKVRTP');
BC_DeleteSvc('BaiduHips');
BC_DeleteSvc('bd0001');
BC_DeleteSvc('bd0002');
BC_DeleteSvc('bd0003');
BC_DeleteSvc('BDArKit');
BC_DeleteSvc('BDDefense');
BC_DeleteSvc('BDMWrench');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdTray.exe');
BC_DeleteFile('C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll');
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e0fbcd90f571e0545b59cff03f2d54d4&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e0fbcd90f571e0545b59cff03f2d54d4&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e0fbcd90f571e0545b59cff03f2d54d4&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e0fbcd90f571e0545b59cff03f2d54d4&text=
O2 - BHO: ClickCaption - {A18EA34C-6D33-4298-8A54-7F16499904C0} - (no file)
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdTray.exe" -stmd=3
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e0fbcd90f571e0545b59cff03f2d54d4&text=
Сделайте новые логи
Сделайте такой лог
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
в пуске вируса нет, а на диске С в папке так и болтается. И браузер с рекламами открывается, и вот эту бяку Click Caption 1.10.0.2 я через установку и удаление не нашла, и через Uninstall Tool то же нету
Вложения
Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG . Прикрепите этот отчет к своему следующему сообщению.
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
C:\lаunсhеr.bаt.exe
C:\IEXPLORE.bat
C:\Program Files\Common Files\Baidu
C:\Documents and Settings\All Users\Application Data\Baidu
C:\Program Files\BaiduSd2.1
C:\Program Files\ClickCaption_1.10.0.2
Driver::
Folder::
C:\Documents and Settings\All Users\Baidu
C:\Documents and Settings\Admin\Application Data\Baidu
C:\Documents and Settings\Admin\Application Data\VOPackage
C:\Documents and Settings\LocalService\Application Data\Baidu
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Вот логи. По моему все. Больше нигде видимых признаков не вижу.
Вложения
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С
Код:
KillAll::
File::
C:\lаunсhеr.bаt.exe
C:\IEXPLORE.bat
Driver::
Folder::
C:\Program Files\Common Files\Baidu
C:\Documents and Settings\All Users\Application Data\Baidu
C:\Program Files\BaiduSd2.1
C:\Program Files\ClickCaption_1.10.0.2
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Вложения
Удалите вручную
C:\lаunсhеr.bаt.exe
C:\IEXPLORE.bat
c:\program files\Common Files\Baidu
c:\documents and settings\All Users\Application Data\Baidu
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
А проблема разве не решена?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
35
Да конечно, все уже хорошо. Я просто уточнила. На всякий случай. Спасибо Вам огромное. Вы просто волшебник.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения вредоносные программы в карантинах не обнаружены