Как удалить (Байду) Baidu Antivirus

Тема в разделе "Борьба с типовыми зловредами", создана пользователем regist, 24 ноя 2014.

  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    В последнее время в раздел лечения очень часто стали обращаться пользователи с жалобой на "китайский вирус", "Вредоносное по на китайском", "Baidu" и т.д. На самом деле эта программа не вирус, а антивирус*, правда в указанных случаях ставится вирусом. Baidu потребляет ваш трафик, сильно тормозит тормозит комьютер, в некоторых случаях после заражения интернет вообще не работает.
    Если случайно установили себе Baidu и не знаете, как его удалить, то в первую очередь зайдите в "Установку и удаление программ" и посмотрите нету ли его в списке установленных **. В списке надо искать Baidu, 百度, 百度杀毒2.1, 百度卫士3.0, 百度杀毒3.0
    * Dr.Web уже стал детектировать компоненты этого антивируса, как вирус Trojan.Baidu. Ссылки с доказательством здесь.
    **возможно его название будет на китайском языке


    [​IMG]

    Деинсталируйте эти программы, а также если там есть другие незнакомые программы с названием на китайском языке.

    Если вы не видите его в списке установленных программ, то можете попытаться самостоятельно найти его деинсталятор. Для некоторых версий полный путь к файлу, где он обычно расположен указан в этом посте.

    Обратите внимание, что в некоторых случаях после перезагрузки Baidu может повторно установиться в вашу систему. Происходит это из-за того, что в автозагрузке сидит вирус, который выкачивает его из интернета.

    В диалоговых окнах для подтверждения деинсталяции жмите левую кнопку,
    upload_2014-12-29_11-46-29.png
    upload_2014-12-29_11-46-35.png
    upload_2014-12-29_11-46-41.png



    Для удаления панели инструментов, которую добавляет этот Baidu см. скрин
    [​IMG]

    выполните скрипт AVZ, после выполнения скрипт компьютер будет перезагружен.
    Код (Text):
    begin
    if isWow64 then SetupAVZ('X64R=NY');
    BackupRegKey('HKCR', 'CLSID\{85E0B1AA-04FA-11D1-B7DA-00A0C90348D6}', 'HKCR_85E0B1AA');
    RegKeyDel('HKCR', 'CLSID\{85E0B1AA-04FA-11D1-B7DA-00A0C90348D6}');
    RebootWindows(false);
    end.
    После этого рекомендую обратиться в раздел "Лечение компьютерных вирусов", чтобы дочистить остатки антивируса. Перед созданием темы в разделе лечения обязательно прочтите правила оформления запроса.

    Инструкция как выгрузить антивирус Baidu.

    Примеры тем:
    Возможно, зловред Baidu версии 2
    Программа с иероглифами
    Вредоносное по на китайском
    беда! половина программ с иероглифами. вторая половина не слушается. ХЕЛП!
    Появилась левая программа..Baidu,без приглашения.
    Удаление программы Baidu
    Удаление Baiduantray.exe и сопутствующих программ
     
    Mistik, Phoenix, Kиpилл и 7 другим нравится это.
  2. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    К стати на днях приносили ноутбук с 8-кой, именно с 8-кой. Я никак не мог его даже отключить ни то что удалить.
    [​IMG]
    ... В диспетчере он не отключался, в msconfig снимаю галочки но когда нажимаю применить они опять принимают исходное состояние.
    Хотя всё равно устанавливать нужно было 8.1 по этому и не стал заморачиваться.
     
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    разумеется, самозащита антивируса работает ;).
     
  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    regist, не всегда он есть в установке и удалении программ, поэтому по моему мнению его лучше выносить через Combofix.
     
  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    В статье там есть рекомендация обратиться в раздел лечения в любом случае. Если он есть в установленных программах, то надо удалять сначала своим деинсталятором, а потом скриптами.
    Вот именно, что это просто, ваше имхо, как хелперу вам должно быть известно, что использование Combofix нежелательно. При первом же запуске для создания лога он может снести кучу всего (кроме Baidu) и даже привести к невозможности загрузки системы. Так что настоятельно не рекомендую запускать Combofix без прямого указания хелпера. Для удаления Baidu можно и нужно использовать другие инструменты, но эта тема не для споров какой инструмент лучше использовать хелперу.
     
  6. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    regist, благодоря твоей теме, можно и в настройках разобраться, попробовать затем удалить стандартным методом.
    Так же практически любая утилита-деинсталятор выдерет его с корнем, имхо.
     
    Последнее редактирование: 25 ноя 2014
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Я специализированную утилиту для baidu не находил. machito, ты ее видел?
     
  8. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    282
    Симпатии:
    345
    Это распространяется не настоящий байду-антивирус. А какая-то левая версия для третирования пользователей.
    Утилиты-деинсталяторы действительно помогают, но если в них есть еще функция дозачистки после удаления.
     
  9. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Верное замечание. Нужно указать это в названии темы, т.к. эта малварь ни какого отношения к Baidu Antivirus не имеет. И у нас тоже есть ссылка на официальную версию программы.
     
    diagnoz, tzrb, Kиpилл и ещё 1-му нравится это.
  10. Охотник
    Оффлайн

    Охотник Активный пользователь

    Сообщения:
    282
    Симпатии:
    345
    Фейк, фейковый, ложный.
     
  11. machito
    Оффлайн

    machito Команда форума Супер-Модератор

    Сообщения:
    1.907
    Симпатии:
    1.941
    Нет, но думаю Reg Organizer отлично справится :Bye:
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Если утилита это просто графическая оболочка, которая запустит стандартный деинсталятор, то да любая утилита пойдёт. Но для чего ставить дополнительные утилиты, которые делают тоже самое?
    1) Не справляется.
    2) Он сам часто устанавливается как адварь (аналогично байду) без спросу. И не раз приходилось его утилитами в разделе лечения его сносить. В общем не советую его использовать.
    --- Объединённое сообщение, 25 ноя 2014 ---
    он точно также относится к настоящему антивирусу, как и партнёрки mobogen. Это самый настоящей антивирус, только с дополнительными рекламами. Устанавливается ради заработка на рекламе. В скачанном с оф. сайта антивируса также имеется эта реклама, просто в меньшем кол-ве.

    Для тех кто сомневается и думает, что это фейк отмечу что файлы подписаны валидной цифровой подписью Beijing baidu Netcom science and technology co.ltd
     
  13. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    registr, ты освоил китайский? ))
     
    Последнее редактирование модератором: 25 ноя 2014
    Dragokas нравится это.
  14. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Стоит не виртуалке, рекламы ни какой нет. А в названии нужно указать, что это не официальная версия, а то получается что мы даем рекомендации по его удалению и сами же распространяем(даем ссылки). Не каждый юзер разбирается в этом.
     
  15. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Кстати доктор Веб уже добавил детекты на эти левые версии антивируса, названия детектов можете посмотреть внизу (в тегах) ссылки выложу позже, а пока
    shestale, только что специально скачал по твоей ссылке "официальную" версию и проверил на VirusTotal https://www.virustotal.com/ru/file/...bcb0836df838cedbbead3383/analysis/1416931265/
    DrWeb BACKDOOR.Trojan
    --- Объединённое сообщение, 25 ноя 2014 ---
    в первом посте это указано
    и если юзер читает эту тему, значит он хочет его удалить.
     
  16. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    regist, значит нужно нашу тему убрать, а в названии твоей все равно стоит добавить слово - фейковый, а то мы и удаляем и его же распространяем..., что не айс как-то выглядит ;)
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    слово фейковый происходит от слова Fake - то есть означает поддельный, фальшивый. Что в этом антивирусе поддельного если повторюсь он подписан легальной цифровой подписью производителя?
     
  18. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Действительно, как и сказал выше regist, в случае с этим байду, как и с мободжини, все не так просто. Одной утилитой эту байду пока не удалишь.

    Тут имеет место "операция прикрытия", а не традиционный в недавнем прошлом фейк.
    Мы боремся с тем, что видим - удаляем байду или мободжини, а тем временем в системе, например в папке system32/DRIVERS остаются несколько sys-драйверов, которые и управляют всем процессом.
    Т.е. распространители берут какой-то легитимный файл или ПО и под его прикрытием делают с системой своё черное дело.

    Одной дозачистки в случае с байду мало, там можно еще и уничтожитель подключить, например, как у IObit uninstaller - "Удаление" + "Мощное сканирование" + "Также уничтожить файлы", но файлы могут остаться в паке драйверов.
    Был случай - так удалялось все от байду, но в другом случае - последней операцией было использование скрипта в AVZ, которым были вынесены все оставшиеся sysы изи папки system32/DRIVERS. Правда потом оказалось, что на диске было немало бэдов и только после их исправления система нормально заработала.
     
    Последнее редактирование: 26 ноя 2014
    Охотник и tzrb нравится это.
  19. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Поэтому и рекомендую для окончательного удаления обратиться в раздел лечения. Так как даже штатный деинсталятор всё не удаляет. Кстати по поводу драйверов из папки system32/DRIVERS как и обещал ссылки на VT с доказательством. Тут правда не все детекты, полный список детектов в тегах этой темы.

    https://www.virustotal.com/ru/file/...05f9f8b50dcdc52ae137c8bc/analysis/1417171598/ - Trojan.Baidu.37
    https://www.virustotal.com/ru/file/...cda46bec7bebf5e02d034d8c/analysis/1416998231/ - Trojan.Baidu.40
    https://www.virustotal.com/ru/file/...b051caf842b52195c78dcfff/analysis/1416998229/ - Trojan.Baidu.41
    https://www.virustotal.com/ru/file/...71bdf351ebb1c198bd1a3db9/analysis/1417000939/ - Trojan.Baidu.42
    https://www.virustotal.com/ru/file/...62b73d42bd4da17742c6ff0a/analysis/1417000947/ - Trojan.Baidu.43
    https://www.virustotal.com/ru/file/...83a82fc32ea3713a2382df65/analysis/1417000851/ - Trojan.Baidu.44
    https://www.virustotal.com/ru/file/...c203b4f9af41a5494d73eda4/analysis/1417093094/ Trojan.Baidu.45

    https://www.virustotal.com/ru/file/...2d17ce0134281adb4a861e2c/analysis/1417093333/ Trojan.Baidu.48

    Возможно позже дополню этот пост ссылками на остальные детекты.
     
    Последнее редактирование: 28 ноя 2014
    Phoenix нравится это.
  20. -SEM-
    Оффлайн

    -SEM- Пользователь

    Сообщения:
    111
    Симпатии:
    93
    К сожалению никто из знакомых эту Байду не хватал, так что пока не могу по ней ничего сказать. Вместе с антивирусом могут грузиться еще
    Baidu PC Faster
    Baidu Spark Browser
    Baidu PC App Store
    Du Apps Studio
    HAO123

    Единственное, это рекомендуют удалять всеми анти-малварными программами после деинсталяции http://malwaretips.com/blogs/baidu-pc-faster-virus/.
     

Поделиться этой страницей