20.11.2014, 13:04 | #1 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее
Прежде всего один из выводов, полученных в ходе очистки системы: - не надо пытаться удалить все и вся одним скриптом, одной чисткой. 1. Необходимо исключить модули, сервисы, драйвера этого антивируса из автозапуска. Для этого используем Universal Virus Sniffer. И создаем полный образ автозапуска. (Пример такого файла во вложении) Используем в uVS для исключения защищенных ссылок реестра метод безопасной виртуализации итак, исключаем скриптом указанные сервисы, драйвера и модули из автозапуска. Код:
;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE sreg delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANSVC.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733\BAIDUHIPS.EXE delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDSVC.EXE delref %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\DRIVERS\BD0003.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDDEFENSE.SYS delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS delref %Sys32%\DRIVERS\BDMNETMON.SYS delref %Sys32%\DRIVERS\BDMWRENCH.SYS delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANTRAY.EXE delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDTRAY.EXE areg 2. удаляем все (многочисленные) файлы данного антивируса вторым скриптом уже без виртуализации. Код:
;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225 deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971 deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086 deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733 deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108 deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN del %Sys32%\DRIVERS\BD0001.SYS del %Sys32%\DRIVERS\BD0002.SYS del %Sys32%\DRIVERS\BD0003.SYS del %Sys32%\DRIVERS\BDARKIT.SYS del %Sys32%\DRIVERS\BDDEFENSE.SYS del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS del %Sys32%\DRIVERS\BDMNETMON.SYS del %Sys32%\DRIVERS\BDMWRENCH.SYS deltmp delnfr restart |
7 пользователя(ей) сказали cпасибо: | AlexZir (21.12.2014), Daniellos (20.11.2014), gidron (20.11.2014), MrSTEP (04.12.2014), Ваня (04.12.2014), ИгорьМ (04.12.2014), Николай_С (20.11.2014) |
20.11.2014, 13:04 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Нужная для вас информация должна быть тут Удаляем неотключаемое расширение Media Player Удаляем порнобаннеры Пропало восстановление системы и прочее. Продам системник+монитор+прочее. Спам удаляем? Сервис-мануалы и прочее |
04.12.2014, 11:57 | #2 (permalink) |
Новичок
Регистрация: 04.12.2014
Сообщений: 3
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Здравствуйте, подскажите, пожалуйста, что значит фраза: "исключаем скриптом указанные сервисы, драйвера и модули из автозапуска"
Куда конкретно нужно нажимать? |
04.12.2014, 12:39 | #4 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
1. необходимо на зараженной байду системе создать полный образ автозапуска в uVS, чтобы затем используя полученный образ, написать скрипт, т.е. программу для решения проблемы.
http://www.tehnari.ru/f150/t81269/ пример образа файла, для системы зараженной baidu я привел в теме. можно скачать к себе этот образ и поучиться создавать скрипт самостоятельно, для тех кто умеет пользоваться uVS 2. открываем в uVS образ, 2.1 включаем режим безопасной виртуализации --- меню-реестр- безопасная виртуализация реестра. (команда sreg) 2.2 заходим в сервисы, находим файлы байду (указано в столбце "производитель"), вызываем контекстное меню по ПКМ, и выбираем функцию "удалить ссылки на объект". при этом uVS в режиме работы с образом автоматически создаст команду удаления ссылок (delref obj) и так по всем объектам байду в секциях "сервисы", "драйвера" и "основной автозапуск". 2.3. включаем режим актуализации реестра (команда areg) 3. нажимаем alt+S, сохраняем скрипт в файл. 4. затем запускаем еще uVS но уже не в режиме работы с образом, а в режиме работы с реальной системой. заходим в меню - скрипты - выполнить скрипт из файла. (выбираем в диалоге созданный вами скрипт) ---------- скрипт выполняем, естественно в зараженной байду системе. |
04.12.2014, 15:09 | #5 (permalink) |
Новичок
Регистрация: 04.12.2014
Сообщений: 3
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
спасибо большое, получилось )
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
04.12.2014, 17:13 | #6 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
если вы первым скриптом удалили все ссылки в автозапуске на байду,
то после перезагрузки, необходимо сделать новый полный образ автозапуска, и продолжить работать с новым образом. теперь вторым скриптом можно удалять все файлы байду, удобнее это делать через удаление каталога с исполняемыми файлами (команда deldirex) а драйвера удалять отдельной командой по каждому файлу. (del или delall) |
08.12.2014, 06:54 | #8 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
давайте еще раз проверим.
----- выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE sreg delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751\BAIDUHIPS.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE delref %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\DRIVERS\BD0003.SYS delref %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDDEFENSE.SYS delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS delref %Sys32%\DRIVERS\BDSANDBOX.SYS delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C3CE4C3D66875DA0F9C334A3874C8BA5&TEXT={SEARCHTERMS} del %SystemDrive%\DOCUMENTS AND SETTINGS\COMP\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT regt 28 regt 29 areg ---------- + добавьте новый образ автозапуска (для зачистки системы) Последний раз редактировалось safety; 08.12.2014 в 07:00 |
08.12.2014, 17:35 | #9 (permalink) |
Member
Регистрация: 15.02.2009
Сообщений: 1,188
Сказал(а) спасибо: 1
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 1956
|
Байдень вообще злая штука. А ювиси в реестре грохает ветки где BD0001.SYS и пр. прописаны? Вручную их не удалить. Ещё 100% помогает откат(восстановление) системы. Заметил, что на тех компах куда залезла байда, есть браузер амиго, хотя пользователи мамой клянуться, что его не ставили. Это с амигой байда пролезает или наоборот?
|
08.12.2014, 18:33 | #10 (permalink) | ||
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Цитата:
Цитата:
1. На днях то-то скачивал и подцепил себе на комп вирусы Baidu Sd и Baidu An. 2. При установке программы так же залетели и вирусы Baidu An и Baidu Sd 3. После скачивание каких то файлов запустился программа BAIDU An Baidu Sd. 4. Во время скачивания музыки с одного из сайтов проскочил вирус Baidu. Стал устанавливать свои файлы. и т.д. |
||
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|