Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее

safety · 20.11.2014, 13:04

Одна из проблем на форумах безопасности - нашествие полчищ китайских антивирусов: baidu, baiduAn, BaiduSD, 360safe с цифровыми подписями от Qihoo 360 Software (Beijing) Company Limited, Beijing baidu Netcom science and technology co.ltd, и др. Избавиться от нежелательных защитников системы в отличие от их установки бывает не так просто. Через "установку_удаление программ", как правило проблема не решается. В итоге пользователь пускает в ход самые разные способы удалений с использованием различного набора программ (Combofix, malwarebytes, hj, AdwCleaner, AVZ, OTL, cureit и другие) пытаясь избавиться от густо населенной популяции модулей этого антивируса из безопасного или нормального режима работы системы. Казалось бы наступило долгожданное избавление, ан, нет, baidu жив, baidu воскрес, baidu продолжает нагружать систему под потолок.
Прежде всего один из выводов, полученных в ходе очистки системы:
- не надо пытаться удалить все и вся одним скриптом, одной чисткой.
1. Необходимо исключить модули, сервисы, драйвера этого антивируса из автозапуска.
Для этого используем Universal Virus Sniffer. И создаем полный образ автозапуска.
(Пример такого файла во вложении)
Используем в uVS для исключения защищенных ссылок реестра метод безопасной виртуализации

Нажмите на изображение для увеличения
Название: baidu1.jpg
Просмотров: 3136
Размер: 55.4 Кб
ID: 204377

Нажмите на изображение для увеличения
Название: baidu2.jpg
Просмотров: 2487
Размер: 67.4 Кб
ID: 204378

Нажмите на изображение для увеличения
Название: baidu3.jpg
Просмотров: 2027
Размер: 72.2 Кб
ID: 204379

итак, исключаем скриптом указанные сервисы, драйвера и модули из автозапуска.

Код:

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
 
sreg
 
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANSVC.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733\BAIDUHIPS.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDSVC.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delref %Sys32%\DRIVERS\BDMNETMON.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANTRAY.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDTRAY.EXE
areg

после перезагрузки системы, активность данного продукта должна быть исключена.

2. удаляем все (многочисленные) файлы данного антивируса вторым скриптом уже без виртуализации.

Нажмите на изображение для увеличения
Название: baidu4.jpg
Просмотров: 1985
Размер: 95.3 Кб
ID: 204380

Код:

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
 
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN
del %Sys32%\DRIVERS\BD0001.SYS
del %Sys32%\DRIVERS\BD0002.SYS
del %Sys32%\DRIVERS\BD0003.SYS
del %Sys32%\DRIVERS\BDARKIT.SYS
del %Sys32%\DRIVERS\BDDEFENSE.SYS
del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
del %Sys32%\DRIVERS\BDMNETMON.SYS
del %Sys32%\DRIVERS\BDMWRENCH.SYS
deltmp
delnfr
restart

(c), chklst.ru

Роман84 · 04.12.2014, 11:57

Здравствуйте, подскажите, пожалуйста, что значит фраза: "исключаем скриптом указанные сервисы, драйвера и модули из автозапуска"
Куда конкретно нужно нажимать?

Роман84 · 04.12.2014, 12:21

что означает метод безопасной виртуализации, куда нажимать?

safety · 04.12.2014, 12:39

1. необходимо на зараженной байду системе создать полный образ автозапуска в uVS, чтобы затем используя полученный образ, написать скрипт, т.е. программу для решения проблемы.
http://www.tehnari.ru/f150/t81269/

пример образа файла, для системы зараженной baidu я привел в теме.
можно скачать к себе этот образ и поучиться создавать скрипт самостоятельно, для тех кто умеет пользоваться uVS

2. открываем в uVS образ,
2.1 включаем режим безопасной виртуализации --- меню-реестр- безопасная виртуализация реестра. (команда sreg)
2.2 заходим в сервисы, находим файлы байду (указано в столбце "производитель"), вызываем контекстное меню по ПКМ, и выбираем функцию "удалить ссылки на объект".

при этом uVS в режиме работы с образом автоматически создаст команду удаления ссылок (delref obj)

и так по всем объектам байду в секциях "сервисы", "драйвера" и "основной автозапуск".

2.3. включаем режим актуализации реестра (команда areg)

3. нажимаем alt+S, сохраняем скрипт в файл.

4. затем запускаем еще uVS но уже не в режиме работы с образом, а в режиме работы с реальной системой.

заходим в меню - скрипты - выполнить скрипт из файла. (выбираем в диалоге созданный вами скрипт)
----------
скрипт выполняем, естественно в зараженной байду системе.

Роман84 · 04.12.2014, 15:09

спасибо большое, получилось )

safety · 04.12.2014, 17:13

если вы первым скриптом удалили все ссылки в автозапуске на байду,

то после перезагрузки, необходимо сделать новый полный образ автозапуска,
и продолжить работать с новым образом.

теперь вторым скриптом можно удалять все файлы байду,

удобнее это делать через удаление каталога с исполняемыми файлами (команда deldirex)
а драйвера удалять отдельной командой по каждому файлу. (del или delall)

Alla · 07.12.2014, 22:20

Добрый день.
Вчера всё сделала как тут написано , но не удалился анивирус.

safety · 08.12.2014, 06:54

давайте еще раз проверим.
-----

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE


sreg

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751\BAIDUHIPS.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %Sys32%\DRIVERS\BDSANDBOX.SYS
delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C3CE4C3D66875DA0F9C334A3874C8BA5&TEXT={SEARCHTERMS}
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMP\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT
regt 28
regt 29

areg

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска
(для зачистки системы)

ilevar · 08.12.2014, 17:35

Байдень вообще злая штука. А ювиси в реестре грохает ветки где BD0001.SYS и пр. прописаны? Вручную их не удалить. Ещё 100% помогает откат(восстановление) системы. Заметил, что на тех компах куда залезла байда, есть браузер амиго, хотя пользователи мамой клянуться, что его не ставили. Это с амигой байда пролезает или наоборот?

safety · 08.12.2014, 18:33

Цитата:

А ювиси в реестре грохает ветки где BD0001.SYS и пр. прописаны?

да, в реестре, но используя метод виртуализации реестра. Напрямую из реестра удалить ссылки на активные драйвера не получится, у антивируса есть модуль самозащиты.

Цитата:

Это с амигой байда пролезает или наоборот?

здесь надо посмотреть темы с байду на форумах, что предшествовало заражению.

1. На днях то-то скачивал и подцепил себе на комп вирусы Baidu Sd и Baidu An.
2. При установке программы так же залетели и вирусы Baidu An и Baidu Sd
3. После скачивание каких то файлов запустился программа BAIDU An Baidu Sd.
4. Во время скачивания музыки с одного из сайтов проскочил вирус Baidu. Стал устанавливать свои файлы.
и т.д.

20.11.2014, 13:04	#1 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее Одна из проблем на форумах безопасности - нашествие полчищ китайских антивирусов: baidu, baiduAn, BaiduSD, 360safe с цифровыми подписями от Qihoo 360 Software (Beijing) Company Limited, Beijing baidu Netcom science and technology co.ltd, и др. Избавиться от нежелательных защитников системы в отличие от их установки бывает не так просто. Через "установку_удаление программ", как правило проблема не решается. В итоге пользователь пускает в ход самые разные способы удалений с использованием различного набора программ (Combofix, malwarebytes, hj, AdwCleaner, AVZ, OTL, cureit и другие) пытаясь избавиться от густо населенной популяции модулей этого антивируса из безопасного или нормального режима работы системы. Казалось бы наступило долгожданное избавление, ан, нет, baidu жив, baidu воскрес, baidu продолжает нагружать систему под потолок. Прежде всего один из выводов, полученных в ходе очистки системы: - не надо пытаться удалить все и вся одним скриптом, одной чисткой. 1. Необходимо исключить модули, сервисы, драйвера этого антивируса из автозапуска. Для этого используем Universal Virus Sniffer. И создаем полный образ автозапуска. (Пример такого файла во вложении) Используем в uVS для исключения защищенных ссылок реестра метод безопасной виртуализации итак, исключаем скриптом указанные сервисы, драйвера и модули из автозапуска. Код: ;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE sreg delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANSVC.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733\BAIDUHIPS.EXE delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDSVC.EXE delref %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\DRIVERS\BD0003.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDDEFENSE.SYS delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS delref %Sys32%\DRIVERS\BDMNETMON.SYS delref %Sys32%\DRIVERS\BDMWRENCH.SYS delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANTRAY.EXE delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDTRAY.EXE areg после перезагрузки системы, активность данного продукта должна быть исключена. 2. удаляем все (многочисленные) файлы данного антивируса вторым скриптом уже без виртуализации. Код: ;uVS v3.85 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225 deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971 deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086 deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733 deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108 deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN del %Sys32%\DRIVERS\BD0001.SYS del %Sys32%\DRIVERS\BD0002.SYS del %Sys32%\DRIVERS\BD0003.SYS del %Sys32%\DRIVERS\BDARKIT.SYS del %Sys32%\DRIVERS\BDDEFENSE.SYS del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS del %Sys32%\DRIVERS\BDMNETMON.SYS del %Sys32%\DRIVERS\BDMWRENCH.SYS deltmp delnfr restart (c), chklst.ru

08.12.2014, 06:54	#8 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	давайте еще раз проверим. ----- выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE sreg delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751\BAIDUHIPS.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE delref %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\DRIVERS\BD0003.SYS delref %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDDEFENSE.SYS delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS delref %Sys32%\DRIVERS\BDSANDBOX.SYS delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C3CE4C3D66875DA0F9C334A3874C8BA5&TEXT={SEARCHTERMS} del %SystemDrive%\DOCUMENTS AND SETTINGS\COMP\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT regt 28 regt 29 areg перезагрузка, пишем о старых и новых проблемах. ---------- + добавьте новый образ автозапуска (для зачистки системы) Последний раз редактировалось safety; 08.12.2014 в 07:00

20.11.2014, 13:04
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Нужная для вас информация должна быть тут Удаляем неотключаемое расширение Media Player Удаляем порнобаннеры Пропало восстановление системы и прочее. Продам системник+монитор+прочее. Спам удаляем? Сервис-мануалы и прочее

04.12.2014, 11:57	#2 (permalink)
Роман84 Новичок Регистрация: 04.12.2014 Сообщений: 3 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Здравствуйте, подскажите, пожалуйста, что значит фраза: "исключаем скриптом указанные сервисы, драйвера и модули из автозапуска" Куда конкретно нужно нажимать?

04.12.2014, 12:21	#3 (permalink)
Роман84 Новичок Регистрация: 04.12.2014 Сообщений: 3 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	что означает метод безопасной виртуализации, куда нажимать?

04.12.2014, 12:39	#4 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	1. необходимо на зараженной байду системе создать полный образ автозапуска в uVS, чтобы затем используя полученный образ, написать скрипт, т.е. программу для решения проблемы. http://www.tehnari.ru/f150/t81269/ пример образа файла, для системы зараженной baidu я привел в теме. можно скачать к себе этот образ и поучиться создавать скрипт самостоятельно, для тех кто умеет пользоваться uVS 2. открываем в uVS образ, 2.1 включаем режим безопасной виртуализации --- меню-реестр- безопасная виртуализация реестра. (команда sreg) 2.2 заходим в сервисы, находим файлы байду (указано в столбце "производитель"), вызываем контекстное меню по ПКМ, и выбираем функцию "удалить ссылки на объект". при этом uVS в режиме работы с образом автоматически создаст команду удаления ссылок (delref obj) и так по всем объектам байду в секциях "сервисы", "драйвера" и "основной автозапуск". 2.3. включаем режим актуализации реестра (команда areg) 3. нажимаем alt+S, сохраняем скрипт в файл. 4. затем запускаем еще uVS но уже не в режиме работы с образом, а в режиме работы с реальной системой. заходим в меню - скрипты - выполнить скрипт из файла. (выбираем в диалоге созданный вами скрипт) ---------- скрипт выполняем, естественно в зараженной байду системе.

04.12.2014, 15:09	#5 (permalink)
Роман84 Новичок Регистрация: 04.12.2014 Сообщений: 3 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	спасибо большое, получилось )

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

04.12.2014, 17:13	#6 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	если вы первым скриптом удалили все ссылки в автозапуске на байду, то после перезагрузки, необходимо сделать новый полный образ автозапуска, и продолжить работать с новым образом. теперь вторым скриптом можно удалять все файлы байду, удобнее это делать через удаление каталога с исполняемыми файлами (команда deldirex) а драйвера удалять отдельной командой по каждому файлу. (del или delall)

08.12.2014, 17:35	#9 (permalink)
ilevar Member Регистрация: 15.02.2009 Сообщений: 1,188 Сказал(а) спасибо: 1 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 1956	Байдень вообще злая штука. А ювиси в реестре грохает ветки где BD0001.SYS и пр. прописаны? Вручную их не удалить. Ещё 100% помогает откат(восстановление) системы. Заметил, что на тех компах куда залезла байда, есть браузер амиго, хотя пользователи мамой клянуться, что его не ставили. Это с амигой байда пролезает или наоборот?