Китайский вирус Baidu

[WebDeveloper]

Здравствуйте, я на ноутбуке, по невнимательности, подцепил вирус Baidu. Как открываю браузер, то постоянно открываются разные сайты, и на большинстве сайтов присутствует реклама. Причем, если в Google Chrome реклама ещё не на всех сайтах, то в Firefox абсолютно на всех.
Также с недавнего времени на ноутбуке вышла сенсорная мышь из строя ( подозреваю, что это от какого-либо вируса, правда не знаю, возможно ли это от Baidu ), мышь, которую я подключаю через USB-порт работает, вроде, исправно, но все же например: если нажимаю правую кнопку мыши, то иногда выделяется область (так что, думаю это от вируса ).

[Info_bot]

Уважаемый(ая) WebDeveloper, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.



Сделайте полный образ автозапуска uVS только программу скачайте отсюда

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

- - - - -Добавлено - - - - -

+ - сделайте лог Check Browsers' LNK

[WebDeveloper]

http://virusinfo.info/showthread.php?t=173558
После сканирования AdwCleaner файлы не удалял.

[regist]

- выполните такой скрипт в AVZ

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EgisTec\MyWinLocker\МyWinLоckеr.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EgisTec\MyWinLocker\МyWinLосker.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gоogle Chrоmе.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gоoglе Сhrоmе.lnk','');
 QuarantineFile('C:\Users\Public\Desktop\Gоogle Chrоme.lnk','');
 QuarantineFile('C:\Users\Public\Desktop\Gоoglе Сhrome.lnk','');
 QuarantineFile('C:\Users\Public\Desktop\Мozilla Firefоx.lnk','');
 QuarantineFile('C:\Users\Public\Desktop\Мozillа Firеfох.lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozilla Firefоx (2).lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozilla Firefоx.lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozillа Firefoх.lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozillа Firеfох.lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxрlorеr (Nо Аdd-ons).lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlorer (Nо Add-ons).lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Explorer (64-bit).lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Еxplorеr.lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorеr (64-bit).lnk','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Browsers\exe.rehcnuaLiniM.bat','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Browsers\exe.xoferif.bat','');
 QuarantineFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 DeleteFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozilla Firefоx (2).lnk');
 DeleteFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozillа Firеfох.lnk');
 DeleteFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozillа Firefoх.lnk');
 DeleteFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk');
 DeleteFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gоoglе Сhrоmе.lnk');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EgisTec\MyWinLocker\МyWinLосker.lnk');
 DeleteFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Browsers\exe.rehcnuaLiniM.bat','');
 DeleteFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Browsers\exe.xoferif.bat','');
 DeleteFile('C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Browsers\exe.erolpxei.bat','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EgisTec\MyWinLocker\МyWinLоckеr.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EgisTec\MyWinLocker\МyWinLосker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gоogle Chrоmе.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gоoglе Сhrоmе.lnk
C:\Users\Public\Desktop\Gоogle Chrоme.lnk
C:\Users\Public\Desktop\Gоoglе Сhrome.lnk
C:\Users\Public\Desktop\Мozilla Firefоx.lnk
C:\Users\Public\Desktop\Мozillа Firеfох.lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе (2).lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozilla Firefоx (2).lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozilla Firefоx.lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozillа Firefoх.lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozillа Firеfох.lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxрlorеr (Nо Аdd-ons).lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlorer (Nо Add-ons).lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Explorer (64-bit).lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Еxplorеr.lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхplorеr.lnk
C:\Users\СЕРГЕЙ ПЕТРОВИЧ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorеr (64-bit).lnk

Выполните скрипт в uVS

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
regt 28
regt 29
delall %Sys32%\DRIVERS\BD0001.SYS
zoo %Sys32%\DRIVERS\BD0002.SYS
bl D1895F7555FFF550E20BBF92146E17CF 190280
delall %Sys32%\DRIVERS\BD0002.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
zoo %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
bl 3D8B42ECAF1F07A676FAABBB7B2024C1 48968
delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
czoo
restart

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


сделайте новый образ автозапуска.

[WebDeveloper]

И ещё, появилась проблема с интернетом: у меня интернет по трафику(30г - месяц), так вот при подключении 3G очень много расходуется мб, за 3 минуты около 50мб, до этого при обычном серфинге по интернету за 3 часа столько не расходовалось.

[regist]

Уведомление

Карантин надо загружать по по красной ссылке Прислать запрошенный карантин вверху темы. К сообщению его прикреплять запрещено. ZOO_2014-12-27_03-04-33.zip - это карантин.

- - - - -Добавлено - - - - -

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delref HTTP:\\10KANAL.ORG\?SRC=HP2&SUBID1=DEC
delall %Sys32%\DRIVERS\BD0001.SYS
zoo %Sys32%\DRIVERS\BD0002.SYS
bl D1895F7555FFF550E20BBF92146E17CF 190280
delall %Sys32%\DRIVERS\BD0002.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
zoo %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
bl 3D8B42ECAF1F07A676FAABBB7B2024C1 48968
delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
zoo %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
bl 15A6BD7D96654531D31D5319CF70A07E 97
delall %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
bl 91D504420445E7D3C2FB756C042D1F21 85
delall %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALINIM.BAT
bl 06661BFFB1B0213A2CF80308E83CB12E 98
delall %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALINIM.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
bl DAFBC6F7A98DC8F046728A0669B456B3 84
delall %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
delall %SystemDrive%\USERS\D965~1\APPDATA\ROAMING\UPDATE~1\UPDATE~1\UPDATE~1.EXE
regt 28
regt 29
czoo
restart

сделайте новый образ автозапуска.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

где отчёт???

+ свежий лог Check_Browsers_LNK.log сделайте и прикрепите.

[WebDeveloper]

Все выполнил, если что, проблемы все те же - остались.

[regist]

Выполните скрипт в uVS из безопасного режима и пришлите карантин

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
zoo %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALINIM.BAT
bl 06661BFFB1B0213A2CF80308E83CB12E 98
delall %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALINIM.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
bl 91D504420445E7D3C2FB756C042D1F21 85
delall %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
bl DAFBC6F7A98DC8F046728A0669B456B3 84
delall %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
zoo %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
bl 15A6BD7D96654531D31D5319CF70A07E 97
delall %SystemDrive%\USERS\СЕРГЕЙ ПЕТРОВИЧ\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
delall HTTP:\\10KANAL.ORG\?SRC=HP2&SUBID1=DEC
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall HTTP://10KANAL.ORG/?SRC=HP2&SUBID1=DEC
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL
deldir %SystemDrive%\PROGRAM FILES (X86)\BAIDU\
deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\
regt 28
regt 29
czoo
restart

сделайте новый образ автозапуска.

[WebDeveloper]

Все выполнил. Проблемы с мышью и рекламой, вроде, прошли. За это огромное спасибо!
Но вот трафик все также очень быстро расходуется.

- - - - -Добавлено - - - - -

Поспешил с выводами, реклама все также присутствует (но не повсюду), мышь также неисправно работает.
Трафик быстро расходовался из-за загрузки обновления системы (её я отключил ), но и сейчас все равно много (обычный серфинг: 1мб-1мин, при 3G ). Подскажите пожалуйста решение проблем.

[regist]

Свежий лог AdwCleaner сделайте.

мышь также неисправно работает.

попробуйте другую мышку.

[WebDeveloper]

Некорректно работает мышь на ноутбуке, причем, как сенсорная, так и мышь через USB ( поэтому думаю, что из-за вируса ). Другой нет.
Ещё решил сделать скан в SpyHunter, он обнаружил 118 угроз.
- Antivirus Blocking Rules ( 1 инфекция )
- Trojan. Generic (1 инфекция)
- Adware.EntelDigital (8 инфекций)
- Adware.MintcastNetworks (102 инфекций)
- Adware.SiteMatcherPro (2 инфекции)
- Adware.SuperWeb (4 инфекции)

[regist]

WebDeveloper, я просил только просканировать, а не удалять. В итоге легальную запись удалили .

скан в SpyHunter, он обнаружил 118 угроз.

лог прикрепите.

[WebDeveloper]

Если что, то с помощью SpyHunter не смогу удалить (так как нет аккаунта).

[regist]

Удалите спай хантер.

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[WebDeveloper]

Все выполнил.

[regist]

Поместите в карантин MBAM всё кроме

Код:

D:\проги\Zoner Photo Studio v14 Build 5 PRO Final + Portable RUS\Keymaker-CORE 14.x\CORE10k.EXE (PUP.Keygen.Intro) -> Действие не было предпринято.
D:\проги\прошивка модема\Новая папка\v4mpire-unlocker.rar_45118808_10_letF.exe (Trojan.Onlinegames) -> Действие не было предпринято.

Что с проблемой?

[WebDeveloper]

Все те же проблемы. И в SpyHunter сделал скан, все также и осталось.
Еще хочу спросить от чего может так сильно расходоваться трафик? В простое вроде не сильно расходуется, а вот чтобы прогрузился сайт тратится от 2 до 5мб.

[regist]

Все те же проблемы.

какие те же предлагаете погадать на картах?
Попробуйте переставить браузеры с удалением папок с личными настройками.

[WebDeveloper]

Выше отписывал. 1) Проблема с мышью 2)Реклама в интернете ( ну это я как понял - Adware )
3)Проблема с большим расходом трафика, обновлений никаких нет, не ясно почему при обычном серфинге в интернете расходуется от 1мб в минуту.
И вот эти вирусы, которые обнаружил SpyHunter.
- Antivirus Blocking Rules ( 1 инфекция )
- Trojan. Generic (1 инфекция)
- Adware.EntelDigital (8 инфекций)
- Adware.MintcastNetworks (102 инфекций)
- Adware.SiteMatcherPro (2 инфекции)
- Adware.SuperWeb (4 инфекции)