Технический форум - Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее

Технический форум (http://www.tehnari.ru/index.php)

- FAQ (http://www.tehnari.ru/forumdisplay.php?f=150)

- - Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее (http://www.tehnari.ru/showthread.php?t=99625)

Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее

Одна из проблем на форумах безопасности - нашествие полчищ китайских антивирусов: baidu, baiduAn, BaiduSD, 360safe с цифровыми подписями от Qihoo 360 Software (Beijing) Company Limited, Beijing baidu Netcom science and technology co.ltd, и др. Избавиться от нежелательных защитников системы в отличие от их установки бывает не так просто. Через "установку_удаление программ", как правило проблема не решается. В итоге пользователь пускает в ход самые разные способы удалений с использованием различного набора программ (Combofix, malwarebytes, hj, AdwCleaner, AVZ, OTL, cureit и другие) пытаясь избавиться от густо населенной популяции модулей этого антивируса из безопасного или нормального режима работы системы. Казалось бы наступило долгожданное избавление, ан, нет, baidu жив, baidu воскрес, baidu продолжает нагружать систему под потолок.
Прежде всего один из выводов, полученных в ходе очистки системы:
- не надо пытаться удалить все и вся одним скриптом, одной чисткой.
1. Необходимо исключить модули, сервисы, драйвера этого антивируса из автозапуска.
Для этого используем Universal Virus Sniffer. И создаем полный образ автозапуска.
(Пример такого файла во вложении)
Используем в uVS для исключения защищенных ссылок реестра метод безопасной виртуализации
Вложение 204377
Вложение 204378
Вложение 204379
итак, исключаем скриптом указанные сервисы, драйвера и модули из автозапуска.

Код:

;uVS v3.85 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v385c

OFFSGNSAVE

 

sreg

 

delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANSVC.EXE

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733\BAIDUHIPS.EXE

delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDSVC.EXE

delref %Sys32%\DRIVERS\BD0001.SYS

delref %Sys32%\DRIVERS\BD0002.SYS

delref %Sys32%\DRIVERS\BD0003.SYS

delref %Sys32%\DRIVERS\BDARKIT.SYS

delref %Sys32%\DRIVERS\BDDEFENSE.SYS

delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS

delref %Sys32%\DRIVERS\BDMNETMON.SYS

delref %Sys32%\DRIVERS\BDMWRENCH.SYS

delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANTRAY.EXE

delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDTRAY.EXE

areg

после перезагрузки системы, активность данного продукта должна быть исключена.

2. удаляем все (многочисленные) файлы данного антивируса вторым скриптом уже без виртуализации.
Вложение 204380

Код:

;uVS v3.85 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v385c

OFFSGNSAVE

 

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN

del %Sys32%\DRIVERS\BD0001.SYS

del %Sys32%\DRIVERS\BD0002.SYS

del %Sys32%\DRIVERS\BD0003.SYS

del %Sys32%\DRIVERS\BDARKIT.SYS

del %Sys32%\DRIVERS\BDDEFENSE.SYS

del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS

del %Sys32%\DRIVERS\BDMNETMON.SYS

del %Sys32%\DRIVERS\BDMWRENCH.SYS

deltmp

delnfr

restart

(c), chklst.ru

Здравствуйте, подскажите, пожалуйста, что значит фраза: "исключаем скриптом указанные сервисы, драйвера и модули из автозапуска"
Куда конкретно нужно нажимать?

что означает метод безопасной виртуализации, куда нажимать?

1. необходимо на зараженной байду системе создать полный образ автозапуска в uVS, чтобы затем используя полученный образ, написать скрипт, т.е. программу для решения проблемы.
http://www.tehnari.ru/f150/t81269/

пример образа файла, для системы зараженной baidu я привел в теме.
можно скачать к себе этот образ и поучиться создавать скрипт самостоятельно, для тех кто умеет пользоваться uVS

2. открываем в uVS образ,
2.1 включаем режим безопасной виртуализации --- меню-реестр- безопасная виртуализация реестра. (команда sreg)
2.2 заходим в сервисы, находим файлы байду (указано в столбце "производитель"), вызываем контекстное меню по ПКМ, и выбираем функцию "удалить ссылки на объект".

при этом uVS в режиме работы с образом автоматически создаст команду удаления ссылок (delref obj)

и так по всем объектам байду в секциях "сервисы", "драйвера" и "основной автозапуск".

2.3. включаем режим актуализации реестра (команда areg)

3. нажимаем alt+S, сохраняем скрипт в файл.

4. затем запускаем еще uVS но уже не в режиме работы с образом, а в режиме работы с реальной системой.

заходим в меню - скрипты - выполнить скрипт из файла. (выбираем в диалоге созданный вами скрипт)
----------
скрипт выполняем, естественно в зараженной байду системе.

спасибо большое, получилось )

если вы первым скриптом удалили все ссылки в автозапуске на байду,

то после перезагрузки, необходимо сделать новый полный образ автозапуска,
и продолжить работать с новым образом.

теперь вторым скриптом можно удалять все файлы байду,

удобнее это делать через удаление каталога с исполняемыми файлами (команда deldirex)
а драйвера удалять отдельной командой по каждому файлу. (del или delall)

Добрый день.
Вчера всё сделала как тут написано , но не удалился анивирус.

давайте еще раз проверим.
-----

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:



;uVS v3.85.3 [http://dsrt.dyndns.org]

;Target OS: NTv5.1

v385c

OFFSGNSAVE





sreg



delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751\BAIDUHIPS.EXE

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE

delref %Sys32%\DRIVERS\BD0001.SYS

delref %Sys32%\DRIVERS\BD0002.SYS

delref %Sys32%\DRIVERS\BD0003.SYS

delref %Sys32%\DRIVERS\BD0004.SYS

delref %Sys32%\DRIVERS\BDARKIT.SYS

delref %Sys32%\DRIVERS\BDDEFENSE.SYS

delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

delref %Sys32%\DRIVERS\BDSANDBOX.SYS

delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C3CE4C3D66875DA0F9C334A3874C8BA5&TEXT={SEARCHTERMS}

del %SystemDrive%\DOCUMENTS AND SETTINGS\COMP\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT

regt 28

regt 29



areg

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска
(для зачистки системы)

Байдень вообще злая штука. А ювиси в реестре грохает ветки где BD0001.SYS и пр. прописаны? Вручную их не удалить. Ещё 100% помогает откат(восстановление) системы. Заметил, что на тех компах куда залезла байда, есть браузер амиго, хотя пользователи мамой клянуться, что его не ставили. Это с амигой байда пролезает или наоборот?

Цитата:

А ювиси в реестре грохает ветки где BD0001.SYS и пр. прописаны?

да, в реестре, но используя метод виртуализации реестра. Напрямую из реестра удалить ссылки на активные драйвера не получится, у антивируса есть модуль самозащиты.

Цитата:

Это с амигой байда пролезает или наоборот?

здесь надо посмотреть темы с байду на форумах, что предшествовало заражению.

1. На днях то-то скачивал и подцепил себе на комп вирусы Baidu Sd и Baidu An.
2. При установке программы так же залетели и вирусы Baidu An и Baidu Sd
3. После скачивание каких то файлов запустился программа BAIDU An Baidu Sd.
4. Во время скачивания музыки с одного из сайтов проскочил вирус Baidu. Стал устанавливать свои файлы.
и т.д.