Вирус_Baidu

[StaDen]

Здравствуйте, прошу помочь разобраться с заразой – подцепили китайский Вирус- Антивирус Baidu.
Сделал скрипт для AVZ, скрип выполняется но данные которые должны быть удалены остались…

[Info_bot]

Уважаемый(ая) StaDen, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[StaDen]

Добавил логи

[mike 1]

Уведомление

Скрипт выполняйте в безопасном режиме!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe
  (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe
  (百度在线网络技术(北京)有限公司) C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe
  (Baidu) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
  HKLM-x32\...\Run: [baidusdTray] => C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdTray.exe [2505224 2014-12-23] (百度在线网络技术(北京)有限公司)
  BHO-x32: WebMonBHO -> {15DEE173-1BE9-4424-81E0-58A87076E9B1} -> C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll (百度在线网络技术(北京)有限公司)
  FF Homepage: hxxp://1kanal.org/?src=hp1
  FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
  R2 BaiduHips; C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe [64008 2014-12-23] (百度在线网络技术(北京)有限公司)
  R2 BDKVRTP; C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdSvc.exe [793096 2014-12-23] (百度在线网络技术(北京)有限公司)
  R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BaiduProtect.exe [1915496 2014-09-11] (百度在线网络技术(北京)有限公司)
  R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-12-23] (Baidu)
  R1 bd0002; C:\Windows\System32\DRIVERS\bd0002.sys [196936 2014-12-30] (Baidu)
  R1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [196936 2014-12-30] (Baidu)
  R1 bd0003; C:\Windows\System32\DRIVERS\bd0003.sys [67400 2014-12-23] (Baidu)
  R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [168776 2014-09-11] (Baidu)
  R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-29] (Baidu Technology)
  R2 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [103240 2014-12-23] (Baidu)
  R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [130888 2014-12-23] (Baidu)
  R2 BDSafeBrowser; C:\Windows\system32\drivers\BDSafeBrowser.sys [49480 2014-10-14] (Baidu)
  S1 BDFileDefend; system32\DRIVERS\BDFileDefend.sys [X]
  S1 BdSandBox; system32\DRIVERS\BdSandBox.sys [X]
  2015-01-12 17:52 - 2014-12-23 19:05 - 00067400 _____ (Baidu) C:\Windows\system32\Drivers\bd0003.sys
  2015-01-12 16:26 - 2015-01-12 16:31 - 00000326 _____ () C:\Users\raf\Desktop\Baidu.txt
  2015-01-12 15:52 - 2014-12-29 13:28 - 00152392 _____ (Baidu Technology) C:\Windows\system32\Drivers\BDArKit.sys
  2014-12-30 19:29 - 2014-12-30 19:29 - 00196936 _____ (Baidu) C:\Windows\SysWOW64\Drivers\bd0002.sys
  Folder: C:\Users\raf\AppData\OICE_15_974FA576_32C1D314_37B6
  2014-12-23 20:03 - 2014-12-23 20:03 - 00000000 ____D () C:\Program Files (x86)\BaiduAn3.0
  2014-12-23 20:03 - 2014-12-23 20:03 - 00000000 ____D () C:\Program Files (x86)\Baidu
  2014-12-23 19:06 - 2014-12-30 19:29 - 00196936 _____ (Baidu) C:\Windows\system32\Drivers\bd0002.sys
  2014-12-23 19:06 - 2014-12-23 19:06 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\百度杀毒
  2014-12-23 19:06 - 2014-12-23 19:05 - 00103240 _____ (Baidu) C:\Windows\system32\Drivers\BDDefense.sys
  2014-12-23 19:05 - 2014-12-23 19:05 - 00000000 ____D () C:\Program Files (x86)\BaiduSd3.0
  2014-12-18 13:01 - 2014-12-23 12:13 - 00130888 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench_x64.sys
  2014-12-18 13:01 - 2014-12-23 12:13 - 00130888 _____ (Baidu) C:\Windows\system32\Drivers\BDMWrench.sys
  2014-12-23 20:02 - 2014-10-14 20:15 - 00000000 ____D () C:\Users\Все пользователи\Baidu
  2014-12-23 20:02 - 2014-10-14 20:15 - 00000000 ____D () C:\ProgramData\Baidu
  2014-12-23 19:05 - 2014-10-17 16:25 - 00181072 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys
  2014-12-18 13:01 - 2014-10-17 16:25 - 00181072 _____ (Baidu) C:\Windows\system32\Drivers\bd0001.sys_
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Сделайте новые логи Farbar из обычного режима.

[StaDen]

Запустил скрипт в безопасном режиме
-выполнение утилиты затянулось во времени – более 15 мин.
-Судя по логу, скрипт “подвис” на первом этапе, во время создания точки восстановления (Error: Restore point can only be created in normal mode)
-Принудительно перезагрузил ПК

- - - - -Добавлено - - - - -

Запустил утилиту в обычном режиме, скрипт полностью отработал и перезагрузил ПК.

- - - - -Добавлено - - - - -

После данной процедуры вирус в трее замечен не был, но судя по AVZ, мусор от вируса остался в системе ( процессах, службах).
Пытаюсь удалить данный мусор с помощью скриптов в AVZ, но пока тщетно…

- - - - -Добавлено - - - - -

Текущие логи

[mike 1]

Еще раз попробуйте выполнить скрипт из 5 сообщения, но из безопасного режима.

[StaDen]

Забыл отметить в предыдущем сообщении, что данный скрипт я выполнял и в безопасном и в обычном режимах.

[mike 1]

Повторите его снова, а потом сделайте новые логи Farbar.

[StaDen]

Спасибо,
Тему пока не закрываю, пока нет доступа к данному ПК, но было интересно разобраться с проблемкой…

[mike 1]

Мы не закрываем обычно такие темы.