CHKLST.RU
В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Удаляем Baidu, BaiduAn, BaiduSD, 360safe и прочее

отредактировано Сентябрь 2016 Раздел: Форум лечения заражений
imageОдна из проблем на форумах безопасности - нашествие полчищ китайских антивирусов: baidu, baiduAn, BaiduSD, 360safe с цифровыми подписями от Qihoo 360 Software (Beijing) Company Limited, Beijing baidu Netcom science and technology co.ltd, и др. Избавиться от нежелательных защитников системы в отличие от их установки бывает не так просто. Через "установку_удаление программ", как правило проблема не решается. В итоге пользователь пускает в ход самые разные способы удалений с использованием различного набора программ (Combofix, malwarebytes, hj, AdwCleaner, AVZ, OTL, cureit и другие) пытаясь избавиться от густо населенной популяции модулей этого антивируса из безопасного или нормального режима работы системы. Казалось бы наступило долгожданное избавление, ан, нет, baidu жив, baidu воскрес, baidu продолжает нагружать систему под самый потолок.
Прежде всего один из выводов, полученных в ходе очистки системы:
- не надо пытаться удалить все и вся одним скриптом, одной чисткой.
1. Необходимо исключить модули, сервисы, драйвера этого антивируса из автозапуска.
Для этого используем Universal Virus Sniffer. И создаем полный образ автозапуска.
(Пример такого файла во вложении)
Используем в uVS для исключения защищенных ссылок реестра метод безопасной виртуализации.

image
image
image
итак, исключаем скриптом указанные сервисы, драйвера и модули из автозапуска.
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

sreg

delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANSVC.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733\BAIDUHIPS.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDSVC.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delref %Sys32%\DRIVERS\BDMNETMON.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BAIDUANTRAY.EXE
delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSDTRAY.EXE
areg
после перезагрузки системы, активность данного продукта должна быть исключена.

2. удаляем все (многочисленные) файлы данного антивируса вторым скриптом уже без виртуализации.
image
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUHIPS\1.1.0.733
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108
deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN
del %Sys32%\DRIVERS\BD0001.SYS
del %Sys32%\DRIVERS\BD0002.SYS
del %Sys32%\DRIVERS\BD0003.SYS
del %Sys32%\DRIVERS\BDARKIT.SYS
del %Sys32%\DRIVERS\BDDEFENSE.SYS
del %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
del %Sys32%\DRIVERS\BDMNETMON.SYS
del %Sys32%\DRIVERS\BDMWRENCH.SYS
deltmp
delnfr
restart
файл образа автозапуска.

(с), chklst.ru
Тэги темы:
Тэги темы:

Комментарии

  • Пробовал Baidu очистить AdwCleaner. В обычной загрузке АдвКлинер зависает намертво до перезагрузки. В безопасном режиме, после того как завершить все процессы байду в диспетчере задач, адвклинер все счищает. Мбамом не пробовал, думаю он даже лучше справится чем адвклинер.
    Первый раз вообще удалял байду через редактор реестра через поиск по слову baidu - долгое время это заняло, но результат был.
    Чума всех времен - лень!
  • как показывает опыт 360total уже не получится этим методом вычистить из автозапуска в нормальном режиме. По другим их антивирусам: baidu, tencent, kingsoft, rising данный метод пока работает. Тут главное вычистить драйвера из автозапуска, которые защищают ключи в реестре.
Войдите или Зарегистрируйтесь чтобы комментировать.