Удаление программы Baidu

@Engy · Регистрация: 24.11.2014

Студворк — интернет-сервис помощи студентам

Добрый день.
Выполняли обновление системы и после этого (хотя может еще что-то было и совпало), вылезла китайская программа Baidu. Куча проблем теперь

@Sandor · 24.11.2014, 15:24

Здравствуйте!

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ____

1. Через Панель управления - Удаление программ - попробуйте удалить нежелательное ПО:

百度-->C:\Users\Julia\AppData\Local\Baidu\Baid u\1.3.1.157\uninst.exe
百度卫士3.0-->C:\Program Files\Baidu\BaiduAn\3.0.0.3971\uninst.ex e
百度杀毒2.1-->C:\Program Files\Baidu\BaiduSd\2.1.0.3086\uninst.ex e

2. Подготовьте лог AdwCleaner.

@Engy · 24.11.2014, 16:00 **[ТС]**

Сделано

@Sandor · 24.11.2014, 16:08

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@Engy · 24.11.2014, 18:35 **[ТС]**

Autologger запустила два раза. Первый полный, второй с шифтом. Но архив только один есть. Если что не так - переделаю.

@Sandor · 25.11.2014, 09:52

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\baiduex\uninit.exe');
 TerminateProcessByName('c:\program files\baidu\baidusd\2.1.0.3086\baidusdtray.exe');
 TerminateProcessByName('c:\program files\baidu\baidusd\2.1.0.3086\baidusdsvc.exe');
 TerminateProcessByName('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.619\baiduprotect.exe');
 TerminateProcessByName('c:\program files\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe');
 TerminateProcessByName('c:\program files\baidu\baiduan\3.0.0.3971\baiduantray.exe');
 TerminateProcessByName('c:\program files\baidu\baiduan\3.0.0.3971\baiduansvc.exe');
 StopService('BDSafeBrowser');
 StopService('BDMWrench');
 StopService('BDDefense');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('bd0003');
 StopService('bd0002');
 StopService('bd0001');
 StopService('BDSGRTP');
 StopService('BDMRTP');
 StopService('BDKVRTP');
 StopService('BaiduHips');
 QuarantineFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll','');
 QuarantineFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','');
 QuarantineFile('C:\windows\system32\DRIVERS\BDMNetMon.sys','');
 QuarantineFile('C:\windows\system32\DRIVERS\BDAntiExp.sys','');
 QuarantineFile('C:\windows\system32\drivers\BDSafeBrowser.sys','');
 QuarantineFile('C:\windows\system32\DRIVERS\BDMWrench.sys','');
 QuarantineFile('C:\windows\system32\drivers\BDDefense.sys','');
 QuarantineFile('C:\windows\system32\DRIVERS\BDArKit.sys','');
 QuarantineFile('C:\windows\system32\DRIVERS\bd0004.sys','');
 QuarantineFile('C:\windows\system32\DRIVERS\bd0003.sys','');
 QuarantineFile('C:\windows\system32\DRIVERS\bd0002.sys','');
 QuarantineFile('C:\windows\system32\DRIVERS\bd0001.sys','');
 QuarantineFile('c:\program files\baiduex\uninit.exe','');
 QuarantineFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdtray.exe','');
 QuarantineFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdsvc.exe','');
 QuarantineFile('c:\program files\common files\baidu\baiduprotect1.3\1.3.0.619\baiduprotect.exe','');
 QuarantineFile('c:\program files\common files\baidu\baiduhips\1.1.0.733\baiduhips.exe','');
 QuarantineFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduantray.exe','');
 QuarantineFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduansvc.exe','');
 DeleteFile('c:\program files\baidu\baiduan\3.0.0.3971\baiduantray.exe','32');
 DeleteFile('c:\program files\baidu\baidusd\2.1.0.3086\baidusdtray.exe','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe','32');
 DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe','32');
 DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe','32');
 DeleteFile('C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe','32');
 DeleteFile('C:\windows\system32\DRIVERS\bd0001.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\bd0003.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\windows\system32\drivers\BDDefense.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFile('C:\windows\system32\drivers\BDSafeBrowser.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\BDAntiExp.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\BDMNetMon.sys','32');
 DeleteFile('C:\Program Files\BaiduEx\uninit.exe','32');
 DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
 DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll','32');
 DeleteService('BDMNetMon');
 DeleteService('BDAntiExp');
 DeleteService('BDSafeBrowser');
 DeleteService('BDMWrench');
 DeleteService('BDDefense');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('bd0003');
 DeleteService('bd0002');
 DeleteService('bd0001');
 DeleteService('BDSGRTP');
 DeleteService('BDMRTP');
 DeleteService('BDKVRTP');
 DeleteService('BaiduHips');
 DeleteFileMask('C:\Program Files\Baidu\', '*', true);
 DeleteFileMask('C:\Program Files\Common Files\Baidu\', '*', true);
 DeleteFileMask('C:\Program Files\BaiduEx\', '*', true);
 DeleteDirectory('C:\Program Files\Baidu\');
 DeleteDirectory('C:\Program Files\Common Files\Baidu\');
 DeleteDirectory('C:\Program Files\BaiduEx\');
 DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x86');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(2);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки выполните такой скрипт:

Code
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@Engy · 25.11.2014, 11:58 **[ТС]**

Архив отправила на почту.

@Sandor · 25.11.2014, 12:02

Подготовьте лог uVS.

@Engy · 25.11.2014, 12:29 **[ТС]**

Готово

@Sandor · 25.11.2014, 12:43

Выполните скрипт в UVS.

Code
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUAN.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANSVC.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANTRAY.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733\BAIDUHIPS.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.619\BAIDUPROTECT.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSD.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDSVC.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDTRAY.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BDASOFTMGR.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BDKVDESKBAND.DLL
addsgn 71905392541F499A045DAEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB340234248BBB310851941807BEA52E93CEA82AAE48D20D2585EFB885BAC031E7FB0 64 baidu
 
zoo %SystemDrive%\PROGRAMDATA\BAIDU\SDWS\TMPFILES\BDLOGICUTILS.DLL
bl 44EDFF85D12E091F0B129F05A3F2A042 924496
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BDSHELLEXT.DLL
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BDSWSHELLEXT.DLL
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\UNINST.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\UNINST.EXE
delall %Sys32%\DRIVERS\BD0001.SYS
delall %Sys32%\DRIVERS\BD0002.SYS
delall %Sys32%\DRIVERS\BD0003.SYS
delall %Sys32%\DRIVERS\BD0004.SYS
delall %Sys32%\DRIVERS\BDANTIEXP.SYS
delall %Sys32%\DRIVERS\BDARKIT.SYS
delall %Sys32%\DRIVERS\BDDEFENSE.SYS
delall %Sys32%\DRIVERS\BDMNETMON.SYS
delall %Sys32%\DRIVERS\BDMWRENCH.SYS
delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
chklst
delvir
 
deltmp
 
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите лог uVS для контроля.

@Engy · 25.11.2014, 16:39 **[ТС]**

сделано

@Sandor · 25.11.2014, 16:42

Чисто. Если проблема решена:

Выполните скрипт в AVZ при наличии доступа в интернет:

Code
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО

@Engy · 25.11.2014, 17:16 **[ТС]**

Просто огромное спасибо!!! Все чисто, компьютер теперь летает

@Sandor · 25.11.2014, 17:30

Удачи!

Новые блоги и статьи Все статьи Все блоги /
Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определенном условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .
Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .

Удаление программы Baidu

Решение

Решение

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,978
	24.11.2014, 16:08
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 1

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,978
	25.11.2014, 12:02
	Подготовьте лог uVS. 1

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,978
	25.11.2014, 16:42
	Чисто. Если проблема решена: Выполните скрипт в AVZ при наличии доступа в интернет: Code var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО 1

@Engy 0 / 0 / 1 Регистрация: 24.11.2014 Сообщений: 14
	25.11.2014, 17:16 [ТС]
	Сообщение было отмечено akok как решение Решение Просто огромное спасибо!!! Все чисто, компьютер теперь летает 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,978
	25.11.2014, 17:30
	Сообщение было отмечено akok как решение Решение Удачи! 2