Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее
Вложений: 4
Одна из проблем на форумах безопасности - нашествие полчищ китайских антивирусов: baidu, baiduAn, BaiduSD, 360safe с цифровыми подписями от Qihoo 360 Software (Beijing) Company Limited, Beijing baidu Netcom science and technology co.ltd, и др. Избавиться от нежелательных защитников системы в отличие от их установки бывает не так просто. Через "установку_удаление программ", как правило проблема не решается. В итоге пользователь пускает в ход самые разные способы удалений с использованием различного набора программ (Combofix, malwarebytes, hj, AdwCleaner, AVZ, OTL, cureit и другие) пытаясь избавиться от густо населенной популяции модулей этого антивируса из безопасного или нормального режима работы системы. Казалось бы наступило долгожданное избавление, ан, нет, baidu жив, baidu воскрес, baidu продолжает нагружать систему под потолок.
Прежде всего один из выводов, полученных в ходе очистки системы: - не надо пытаться удалить все и вся одним скриптом, одной чисткой. 1. Необходимо исключить модули, сервисы, драйвера этого антивируса из автозапуска. Для этого используем Universal Virus Sniffer. И создаем полный образ автозапуска. (Пример такого файла во вложении) Используем в uVS для исключения защищенных ссылок реестра метод безопасной виртуализации Вложение 204377 Вложение 204378 Вложение 204379 итак, исключаем скриптом указанные сервисы, драйвера и модули из автозапуска. Код:
;uVS v3.85 [http://dsrt.dyndns.org] 2. удаляем все (многочисленные) файлы данного антивируса вторым скриптом уже без виртуализации. Вложение 204380 Код:
;uVS v3.85 [http://dsrt.dyndns.org] |
Здравствуйте, подскажите, пожалуйста, что значит фраза: "исключаем скриптом указанные сервисы, драйвера и модули из автозапуска"
Куда конкретно нужно нажимать? |
что означает метод безопасной виртуализации, куда нажимать?
|
1. необходимо на зараженной байду системе создать полный образ автозапуска в uVS, чтобы затем используя полученный образ, написать скрипт, т.е. программу для решения проблемы.
http://www.tehnari.ru/f150/t81269/ пример образа файла, для системы зараженной baidu я привел в теме. можно скачать к себе этот образ и поучиться создавать скрипт самостоятельно, для тех кто умеет пользоваться uVS 2. открываем в uVS образ, 2.1 включаем режим безопасной виртуализации --- меню-реестр- безопасная виртуализация реестра. (команда sreg) 2.2 заходим в сервисы, находим файлы байду (указано в столбце "производитель"), вызываем контекстное меню по ПКМ, и выбираем функцию "удалить ссылки на объект". при этом uVS в режиме работы с образом автоматически создаст команду удаления ссылок (delref obj) и так по всем объектам байду в секциях "сервисы", "драйвера" и "основной автозапуск". 2.3. включаем режим актуализации реестра (команда areg) 3. нажимаем alt+S, сохраняем скрипт в файл. 4. затем запускаем еще uVS но уже не в режиме работы с образом, а в режиме работы с реальной системой. заходим в меню - скрипты - выполнить скрипт из файла. (выбираем в диалоге созданный вами скрипт) ---------- скрипт выполняем, естественно в зараженной байду системе. |
спасибо большое, получилось )
|
если вы первым скриптом удалили все ссылки в автозапуске на байду,
то после перезагрузки, необходимо сделать новый полный образ автозапуска, и продолжить работать с новым образом. теперь вторым скриптом можно удалять все файлы байду, удобнее это делать через удаление каталога с исполняемыми файлами (команда deldirex) а драйвера удалять отдельной командой по каждому файлу. (del или delall) |
Вложений: 1
Добрый день.
Вчера всё сделала как тут написано , но не удалился анивирус. |
давайте еще раз проверим.
----- выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
---------- + добавьте новый образ автозапуска (для зачистки системы) |
Байдень вообще злая штука. А ювиси в реестре грохает ветки где BD0001.SYS и пр. прописаны? Вручную их не удалить. Ещё 100% помогает откат(восстановление) системы. Заметил, что на тех компах куда залезла байда, есть браузер амиго, хотя пользователи мамой клянуться, что его не ставили. Это с амигой байда пролезает или наоборот?
|
Цитата:
Цитата:
1. На днях то-то скачивал и подцепил себе на комп вирусы Baidu Sd и Baidu An. 2. При установке программы так же залетели и вирусы Baidu An и Baidu Sd 3. После скачивание каких то файлов запустился программа BAIDU An Baidu Sd. 4. Во время скачивания музыки с одного из сайтов проскочил вирус Baidu. Стал устанавливать свои файлы. и т.д. |
Часовой пояс GMT +4, время: 19:27. |
Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.