Китайский вирус Baidu

@Congroo · Регистрация: 29.07.2015

Студворк — интернет-сервис помощи студентам

Висят несколько процессов. Через службы не убивается и при удалении восстанавливается.

@Sandor · 30.07.2015, 09:09

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Congroo. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

VKMusic 4

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Мария\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\Users\Мария\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 DeleteFile('C:\Users\Мария\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\Мария\AppData\Roaming\Browsers\exe.erolpxei.bat','');
BC_ImportALL;
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Congroo · 30.07.2015, 10:57 **[ТС]**

Спасибо за ответ. Сделано

@Sandor · 30.07.2015, 10:58

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подготовьте лог uVS.

@Congroo · 30.07.2015, 12:03 **[ТС]**

Сделано

@Sandor · 30.07.2015, 12:51

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление, нажав кнопку: Да.

Следующую рекомендацию выполняйте в безопасном режиме:

Скачайте вложенный script.zip, распакуйте его,
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт из файла..." и укажите script.txt
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

@Sandor · 30.07.2015, 12:52

В обычном режиме повторите лог uVS.

@Congroo · 30.07.2015, 13:40 **[ТС]**

Пишет, что скрипт содержит ошибки или не содержит команд UVS

@Sandor · 30.07.2015, 13:51

Чуть изменил

@Congroo · 30.07.2015, 14:33 **[ТС]**

Скрипт запустился только из буфера. Из txt не работал. Архив отправлен.
Ниже логи.

@Sandor · 30.07.2015, 14:49

Уже лучше)

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:

Driver Booster 2.4

2. Снова в безопасном режиме:

Выполните скрипт в UVS.

Code
;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
SREG
zoo %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\4.0.0.6697\DESKTOPTOAST.EXE
bl 23E5FBDC96D55DFB9A26E36081A5569F 103360
addsgn 1A55669A5583338CF42B95BC3488530550880F3560BF067885964E50015B34B0737FDFB57E55F749D495207F0616CC3A09C88046B79AB0D3588B5B3A6FE66273 8 baidu
 
zoo %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\4.0.0.6697\BAIDUSDREPAIR.EXE
bl 913AEE296C3F35FAE5A52E576D3E7645 547848
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\4.0.0.6697\BAIDUSDREPAIR.EXE
zoo %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\4.0.0.6697\BDMBUGRPT.EXE
bl D7F19B0FD6515A46B719412EC3F30262 322056
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\4.0.0.6697\BDMBUGRPT.EXE
zoo %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\4.0.0.6697\KLIFPP.DLL
bl D68E8EE978E63EA292232BBEC067CA82 1122912
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\4.0.0.6697\KLIFPP.DLL
zoo %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\4.0.0.6697\PROCESSMONITOR.DLL
bl A8A8A50ADC0AD3F2F89BABBC0FA05715 546912
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\4.0.0.6697\PROCESSMONITOR.DLL
 
chklst
delvir
 
deldir %SystemDrive%\PROGRAM FILES\BAIDU\
 
deltmp
czoo
areg

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

3. И еще один контрольный лог uVS из обычного режима.

@Congroo · 30.07.2015, 15:27 **[ТС]**

Лог

@Sandor · 30.07.2015, 15:29

По логу следов не видно. Как внешне?

@Congroo · 30.07.2015, 15:33 **[ТС]**

В трее нет. В диспетчере тоже.
Большое спасибо за помощь.

@Sandor · 30.07.2015, 15:48

В завершение -

Выполните скрипт в AVZ при наличии доступа в интернет:

Code
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Новые блоги и статьи Все статьи Все блоги /
делаю науч статью по влиянию грибов на сукцессию anaschu 13.03.2026 прикрепляю статью	SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .
Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .	Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .

@Sandor 22469 / 15922 / 3081 Регистрация: 08.10.2012 Сообщений: 64,858
	30.07.2015, 10:58
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Подготовьте лог uVS. 1

@Sandor 22469 / 15922 / 3081 Регистрация: 08.10.2012 Сообщений: 64,858
	30.07.2015, 12:52
	В обычном режиме повторите лог uVS. 1

@Congroo 0 / 0 / 0 Регистрация: 29.07.2015 Сообщений: 7
	30.07.2015, 13:40 [ТС]
	Пишет, что скрипт содержит ошибки или не содержит команд UVS 0

@Sandor 22469 / 15922 / 3081 Регистрация: 08.10.2012 Сообщений: 64,858
	30.07.2015, 15:29
	По логу следов не видно. Как внешне? 1

@Congroo 0 / 0 / 0 Регистрация: 29.07.2015 Сообщений: 7
	30.07.2015, 15:33 [ТС]
	В трее нет. В диспетчере тоже. Большое спасибо за помощь. 0

@Sandor 22469 / 15922 / 3081 Регистрация: 08.10.2012 Сообщений: 64,858
	30.07.2015, 15:48
	В завершение - Выполните скрипт в AVZ при наличии доступа в интернет: Code var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. 1