Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее

[safety]

Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее

Одна из проблем на форумах безопасности - нашествие полчищ китайских антивирусов: baidu, baiduAn, BaiduSD, 360safe с цифровыми подписями от Qihoo 360 Software (Beijing) Company Limited, Beijing baidu Netcom science and technology co.ltd, и др. Избавиться от нежелательных защитников системы в отличие от их установки бывает не так просто. Через "установку_удаление программ", как правило проблема не решается. В итоге пользователь пускает в ход самые разные способы удалений с использованием различного набора программ (Combofix, malwarebytes, hj, AdwCleaner, AVZ, OTL, cureit и другие) пытаясь избавиться от густо населенной популяции модулей этого антивируса из безопасного или нормального режима работы системы. Казалось бы наступило долгожданное избавление, ан, нет, baidu жив, baidu воскрес, baidu продолжает нагружать систему под потолок.
Прежде всего один из выводов, полученных в ходе очистки системы:
- не надо пытаться удалить все и вся одним скриптом, одной чисткой.
1. Необходимо исключить модули, сервисы, драйвера этого антивируса из автозапуска.
Для этого используем Universal Virus Sniffer. И создаем полный образ автозапуска.
(Пример такого файла во вложении)
Используем в uVS для исключения защищенных ссылок реестра метод безопасной виртуализации



итак, исключаем скриптом указанные сервисы, драйвера и модули из автозапуска.

;uVS v3.85 [[URL]http://dsrt.dyndns.org][/URL]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
 
sreg
 
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANSVC.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733\BAIDUHIPS.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDSVC.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delref %Sys32%\DRIVERS\BDMNETMON.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANTRAY.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDTRAY.EXE
areg

после перезагрузки системы, активность данного продукта должна быть исключена.

2. удаляем все (многочисленные) файлы данного антивируса вторым скриптом уже без виртуализации.

;uVS v3.85 [[URL]http://dsrt.dyndns.org][/URL]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
 
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN
del %Sys32%\DRIVERS\BD0001.SYS
del %Sys32%\DRIVERS\BD0002.SYS
del %Sys32%\DRIVERS\BD0003.SYS
del %Sys32%\DRIVERS\BDARKIT.SYS
del %Sys32%\DRIVERS\BDDEFENSE.SYS
del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
del %Sys32%\DRIVERS\BDMNETMON.SYS
del %Sys32%\DRIVERS\BDMWRENCH.SYS
deltmp
delnfr
restart

(c), chklst.ru

 

[Роман84]

Здравствуйте, подскажите, пожалуйста, что значит фраза: "исключаем скриптом указанные сервисы, драйвера и модули из автозапуска"
Куда конкретно нужно нажимать?

 

[Роман84]

что означает метод безопасной виртуализации, куда нажимать?

 

[safety]

1. необходимо на зараженной байду системе создать полный образ автозапуска в uVS, чтобы затем используя полученный образ, написать скрипт, т.е. программу для решения проблемы.
http://www.tehnari.ru/f150/t81269/

пример образа файла, для системы зараженной baidu я привел в теме.
можно скачать к себе этот образ и поучиться создавать скрипт самостоятельно, для тех кто умеет пользоваться uVS

2. открываем в uVS образ,
2.1 включаем режим безопасной виртуализации --- меню-реестр- безопасная виртуализация реестра. (команда sreg)
2.2 заходим в сервисы, находим файлы байду (указано в столбце "производитель"), вызываем контекстное меню по ПКМ, и выбираем функцию "удалить ссылки на объект".

при этом uVS в режиме работы с образом автоматически создаст команду удаления ссылок (delref obj)

и так по всем объектам байду в секциях "сервисы", "драйвера" и "основной автозапуск".

2.3. включаем режим актуализации реестра (команда areg)

3. нажимаем alt+S, сохраняем скрипт в файл.

4. затем запускаем еще uVS но уже не в режиме работы с образом, а в режиме работы с реальной системой.

заходим в меню - скрипты - выполнить скрипт из файла. (выбираем в диалоге созданный вами скрипт)
----------
скрипт выполняем, естественно в зараженной байду системе.

 

[Роман84]

спасибо большое, получилось )

 

[safety]

если вы первым скриптом удалили все ссылки в автозапуске на байду,

то после перезагрузки, необходимо сделать новый полный образ автозапуска,
и продолжить работать с новым образом.

теперь вторым скриптом можно удалять все файлы байду,

удобнее это делать через удаление каталога с исполняемыми файлами (команда deldirex)
а драйвера удалять отдельной командой по каждому файлу. (del или delall)

 

[Alla]

Добрый день.
Вчера всё сделала как тут написано , но не удалился анивирус.

 

[safety]

давайте еще раз проверим.
-----

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE


sreg

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751\BAIDUHIPS.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %Sys32%\DRIVERS\BDSANDBOX.SYS
delref %SystemDrive%\PROGRAM FILES\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C3CE4C3D66875DA0F9C334A3874C8BA5&TEXT={SEARCHTERMS}
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMP\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT
regt 28
regt 29

areg

перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска
(для зачистки системы)

 

[ilevar]

Байдень вообще злая штука. А ювиси в реестре грохает ветки где BD0001.SYS и пр. прописаны? Вручную их не удалить. Ещё 100% помогает откат(восстановление) системы. Заметил, что на тех компах куда залезла байда, есть браузер амиго, хотя пользователи мамой клянуться, что его не ставили. Это с амигой байда пролезает или наоборот?

 

[safety]

А ювиси в реестре грохает ветки где BD0001.SYS и пр. прописаны?

да, в реестре, но используя метод виртуализации реестра. Напрямую из реестра удалить ссылки на активные драйвера не получится, у антивируса есть модуль самозащиты.

Это с амигой байда пролезает или наоборот?

здесь надо посмотреть темы с байду на форумах, что предшествовало заражению.

1. На днях то-то скачивал и подцепил себе на комп вирусы Baidu Sd и Baidu An.
2. При установке программы так же залетели и вирусы Baidu An и Baidu Sd
3. После скачивание каких то файлов запустился программа BAIDU An Baidu Sd.
4. Во время скачивания музыки с одного из сайтов проскочил вирус Baidu. Стал устанавливать свои файлы.
и т.д.

 

[ilevar]

Напрямую из реестра удалить ссылки на активные драйвера не получится, у антивируса есть модуль самозащиты.

Дело в том, что эти ветки даже из erd не удаляются.

 

[mike_]

Нашел у себя на телефоне под андроидом в корне пустую папку Baidu. Удалилась без проблем) Но откуда она взялась?! Кроме как с плей-маркета ничего не устанавливал!tehno035

 

[Tatyanka]

Как удалить китайскую программу Baidu c компьютера?

У меня проблема с удалением китайской программы Baidu. Закачалась при скачивании музыки вместе с пачкой других программ как Амиго, браузер Комета и др. Все это удалила с помощь Revo Uninstall, но папки с Baidu не удаляются, запрашивают разрешение администратора даже в безопасном режиме, а в последнее время и в безопасный режим выйти не удается. Сделала полный образ автозапуска по вашим рекомендациям, а что дальше... не могу понять как действовать дальше?

 

[aleks_34]

unlocker попробуйте и uninstall tool

 

[safety]

Tatyanka
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\SETTINGS MANAGER\SMDMF\X64\SYSAPCRT.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8B5E24C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4D05AD038CAEEBF 64 a variant of Win64/Toolbar.SearchSuite.

zoo %SystemDrive%\PROGRAM FILES (X86)\SETTINGS MANAGER\SMDMF\SMDMFSERVICE.EXE
addsgn 1A48D89A5583C58CF42BC4A10C58896B25625A7289FA2CB80C862535152AF809C79C86B305108D34380BF197CDD8B6AF69DC9D7EDCAFB8D368934FCA0043C272 8 SearchSuite.D [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\SETTINGS MANAGER\SMDMF\X64\SMDMFMGRC2.CFG
addsgn B2BF3F19B95A04F9D23C0C4E9B375A8C38D1C4F689B2927511F6C5BCB8D9714C23FCC364FE1D1E8D1BDB47538ADA85363D8CA0F1B9BAF8A7F4CEDC2FC7066EFE 8 a variant of Win64/Adware.Bandoo.A

zoo %SystemDrive%\USERS\HOME\APPDATA\ROAMING\FIREFOXTOOLBAR\SETTINGS MANAGER\SMDMF\COMPONENTS\SMDMFHLPFF26.DLL
addsgn 79132211B9E9317E0AA1AB5979AD1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57AD30FDA4A9589F6F49A1416DEC7B02C2D772F2CA3A52273 64 AdWare.Win32.Agent.aknu [Kaspersky]

zoo %SystemDrive%\USERS\HOME\APPDATA\ROAMING\FIREFOXTOOLBAR\SETTINGS MANAGER\SMDMF\COMPONENTS\SMDMFHLPFF23.DLL
addsgn 79132211B9E9317E0AA1AB5944AD1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57AD30FDA4A9589F6F49A1416DEC7B02C2D772F2CA3A52273 64 AdWare.Win32.Agent.aknu [Kaspersky]
del %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\BROWSER.BAT
del %SystemDrive%\FIREFOX.BAT
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=32B495641286130BAB92AA36A6865F3B&TEXT={SEARCHTERMS}
del %SystemDrive%\IEXPLORE.BAT
delall %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT DATA\INSTALLADDONS.EXE
addsgn 1A4DCD9A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E92EE23174A1136DED525A28E0FD72E9F07FEF6D1D37FD59DFD2C59652F22FF436F73 8 Win32/RuKometa.A [ESET-NOD32]

zoo %SystemDrive%\USERS\HOME\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE
addsgn A7679BF0AA02B4424BD4C6C145881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CCA4D9FE82BD6D7FC3C6A775BACCA563234 8 Win32/Agent.WPP [ESET-NOD32]

zoo %SystemDrive%\USERS\HOME\APPDATA\LOCAL\MICROSOFT\WINDOWS\SYSTEM.EXE
del %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX.BAT
del %SystemDrive%\USERS\HOME\APPDATA\ROAMING\YANDEXDISKSCREENSHOTEDITOR.BAT
del %SystemDrive%\USERS\HOME\APPDATA\ROAMING\YANDEXDISKSTARTER.BAT
del %SystemDrive%\FIRЕFОХ.BАT.EXE
addsgn 79132211B9E9317E0AA1AB5939B71205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CC216DB53CA00A44DC628F678B 64 SearchSuite.C [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\SETTINGS MANAGER\SMDMF\SYSAPCRT.DLL

delref {BC626543-18E2-404A-ACD4-046A70C61A16}\[CLSID]

sreg

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BAIDUHIPS\1.2.0.751\BAIDUHIPS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.521\BAIDUPROTECT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDSVC.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS
delref %Sys32%\DRIVERS\BDSANDBOX.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE

deldirex %SystemDrive%\USERS\HOME\APPDATA\LOCAL\MEDIAGET2
REGT 28
REGT 29
areg

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
добавьте новый образ автозапуска с проверкой цифровых подписей

 

[Tatyanka]

Я так понимаю, Вы не совсем в курсе этой проблемы. Все это не помогает, я все перепробовала. Из списка программ она удалилась, а вот папки остались и работают. В диспетчере задач все это видно, но не возможно отключить. Требуется разрешение администратора даже в безопасном режиме.tehno015

 

[aleks_34]

unlocker попробуйте

Пробовали? Он всё удаляет.

 

[Tatyanka]

Вот что получилось у меня

Сделала все, что посоветовали, вылезло окно: "Текст скрипта содержит ошибки, либо не содержит команд uVS, выполнение таких скриптов запрещено."

 

[Аркалык]

Tatyanka, перед выполнением скрипта, скачайте актуальную версию uVS:
http://dsrt.dyndns.org/files/uvs_v385.zip
У вас старая версия:

uVS v3.83 [http://dsrt.dyndns.org]: Windows 7 Home Basic x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

 

[safety]

Tatyanka, перед выполнением скрипта, скачайте актуальную версию uVS:
http://dsrt.dyndns.org/files/uvs_v385.zip
У вас старая версия:

+1
скрипт содержит команды, которые не выполняются в версии 3.83, необходимо обновить uVS до актуальной версии.
можно отсюда еще скачать
http://www.tehnari.ru/members/3229d1416380589-uvs_v385.zip

-------