вирус Baidu

**Иван Дроздовский** · 27.12.2014, 12:01

Здравствуйте!

Несколько дней назад при распаковке zip-архива на компьютер попал какой-то вирус, который стал сам устанавливать какие то программы на китайском языке, поменял главные страницы в браузерах и при каждом клике мышкой в браузере переадресовывает на какой то спам. Также диспетчер задач показывает огромную загрузку оперативной памяти( с момента запуска компьютера начинает постепенно увеличиваться). Насколько я понял, название вируса или программы с ним связанной - Baidu. Как раз файлов и папок с таким названием огромное множество на диске С. Проверял Касперским и Dr.Web-ом - ничего не нашло. Система 64-битная, поэтому, как я понял из инструкции, отправляю только два лога.
Помогите пожалуйста избавиться от этой заразы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.12.2014, 12:03

Уважаемый(ая) Иван Дроздовский, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 27.12.2014, 12:42

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\Browsers', '*', true, ' ');
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\Browsers');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;    
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://api.youqian.baidu.com/v1/nav?soft=12&uid=160442&guid=5b9f7529a6bc55dc1e957d4441d73462&vd=3418823848
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://api.youqian.baidu.com/v1/nav?soft=12&uid=160442&guid=5b9f7529a6bc55dc1e957d4441d73462&vd=3418823848
O4 - HKCU\..\Run: [baidu] C:\Program Files (x86)\baidu\baidus.exe

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
Прикрепите этот отчет в вашей теме.

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Иван Дроздовский** · 27.12.2014, 13:07

Все сделал, выкладываю логи. Только при сканировании последней программой почему-то не создался addition.txt

**mike 1** · 27.12.2014, 13:29

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Уведомление

Скрипт выполняйте в безопасном режиме!

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:

Код:

FF Plugin-x32: @baidu.com/BaiduExpert-npplugin -> C:\Program Files (x86)\Common Files\Baidu\BDWebAdapter\2.0.175.0\npBDExNP.dll No File
S2 BDSGRTP; "C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.1.674\BaiduProtect.exe" -r [X]
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-11-12] (Baidu)
R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [168776 2014-12-25] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [148808 2014-12-10] (Baidu Technology)
R2 BDArKit; C:\Windows\SysWOW64\DRIVERS\BDArKit.sys [151368 2014-12-25] (Baidu Technology)
R2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-11-12] (Baidu)
2014-12-25 22:47 - 2014-11-12 15:18 - 00181072 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys
2014-12-25 22:42 - 2014-12-10 04:28 - 00148808 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.sys
2014-12-25 22:42 - 2014-04-30 08:29 - 00041800 _____ (Baidu) C:\Windows\system32\bd64_x64.dll
2014-12-25 22:42 - 2014-04-30 08:29 - 00039056 _____ (Baidu) C:\Windows\system32\bd64_x86.dll
2014-12-25 22:38 - 2014-12-25 22:38 - 00151368 _____ (Baidu Technology) C:\Windows\SysWOW64\Drivers\BDArKit.sys
2014-12-25 22:34 - 2014-12-25 22:34 - 00000000 ____D () C:\Program Files (x86)\DituiSafe
2014-12-25 22:30 - 2014-12-25 22:30 - 00168776 _____ (Baidu) C:\Windows\system32\Drivers\bd0004.sys
2014-12-25 22:30 - 2014-11-12 15:18 - 00048968 _____ (Baidu) C:\Windows\system32\Drivers\BDSafeBrowser.sys
2014-12-25 22:28 - 2014-12-25 22:28 - 00181072 _____ (Baidu) C:\Windows\system32\Drivers\bd0001_1.sys
Folder: C:\Program Files (x86)\2e7b13cf
C:\MagicPlusMini
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Сделайте новые логи Farbar.

**Иван Дроздовский** · 27.12.2014, 13:45

Готово

**mike 1** · 27.12.2014, 16:48

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
Код:
```
C:\Users\Администратор\AppData\Roaming\SPI
C:\Program Files (x86)\2e7b13cf
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

**Иван Дроздовский** · 27.12.2014, 19:48

Сделал

**mike 1** · 28.12.2014, 01:01

Что с проблемой?

**Иван Дроздовский** · 28.12.2014, 01:04

Вроде все нормально, спасибо огромное за помощь!

**mike 1** · 28.12.2014, 02:02

Скачайте DelFix и сохраните утилиту на Рабочем столе
Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
Нажмите на кнопку Run
После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
Прикрепите этот отчет в вашей теме.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

**Иван Дроздовский** · 28.12.2014, 17:01

Вот

**mike 1** · 28.12.2014, 18:45

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Обновите:

Java 7 Update 51 (64-bit) v.7.0.510 Внимание! Скачать обновления
^Скачайте jre-7u72-windows-x64.exe^
Java 7 Update 51 v.7.0.510 Внимание! Скачать обновления
^Скачайте jre-7u72-windows-i586.exe^
Visual Studio Extensions for Windows Library for JavaScript v.1.0.8514.0
-------------AdobeProduction----------------------
Adobe Flash Player 13 ActiveX v.13.0.0.214 Внимание! Скачать обновления
Adobe Flash Player 13 Plugin v.13.0.0.214 Внимание! Скачать обновления

Советы и рекомендации после лечения компьютера

**CyberHelper** · 28.12.2014, 18:55

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

вирус Baidu (заявка № 173567)

Опции темы