|
|
|
|
|
|
|
|
|
| Твиты пользователя @oldnetler |
|
|
| English version | Распечатать |
***
…Намедни попросили меня разобраться с очередным загадочным сбоем.
При подключении к ПК (с установленной Windows 7 SP1) флешки начинали сбоить.
При этом ПК ужасно "тормозил"…
Каждые 5 минут появлялось диалоговое окно (размером 552x352 пикселей), в котором среди китайских иероглифов было 2 строки на английском: RemoteEngineHelper.exe и C:\Program Files (x86)\VuuPC:
В контекстном меню Проводника Windows появилась строка с китайскими иероглифами.
В Диспетчере задач Windows (кстати, запускался он с большой задержкой!..) были обнаружены подозрительные процессы: BaiduAnSVC.exe, BaiduAnTray.exe, BaiduHips.exe, BaiduSdSvc.exe, BaiduSdTray.exe, BaiduSdUProxy64.exe, Connectivity.exe, RemoteEngine.exe, RemoteEngineHelper.exe (2 процесса).
Выгрузить эти процессы из памяти не удавалось.
В каталоге \Program Files (x86)\ были обнаружены подкаталоги VuuPC (19,4МБ) и Baidu (179МБ).
В каталоге \Program Files (x86)\Common Files\ был обнаружен подкаталог Baidu (18,1МБ) с подкаталогами BaiduHips и BDDownload.
В каталоге \WINDOWS\system32\drivers\ были обнаружены файлы драйверов Baidu, которые загружались вместе с ядром операционной системы: bd0001.sys (174 416 байт), bd0002.sys (190 280 байт), BDArKit.sys (152 392 байт), BDEnhanceBoost.sys (61 256 байт), BDMNetMon.sys (227 656 байт), BDMWrench_x64.sys (52 040 байт).
Попытка удаления программ VuuPC и Baidu с помощью апплета Программы и компоненты не увенчалась успехом: процесс удаления VuuPC "глухо" зависал, а приложение Baidu вообще не отображалось в списке установленных программ!..
Следует отметить, что VuuPC – это программа для удалённого доступа к ПК, а Baidu – это антивирус китайской поисковой системы Байду.
Но в данном случае это были фейковые программы, так как:
– они загрузились и установились в систему скрытно от пользователя;
– вышеуказанные программы портили файловую систему подключаемых к ПК флешек;
– затрудняли работу пользователя;
– сильно (вплоть до зависания!) загружали оперативную память ПК;
– не позволяли выгрузить себя из памяти с помощью Диспетчера задач Windows;
– не позволяли удалить себя штатными средствами;
– в фоновом режиме запускали веб-браузер;
– …
В системе был установлен – регулярно обновляемый! – антивирус Microsoft Security Essentials.
Проверка ПК утилитой Dr.Web CureIt (со свежими базами!) не выявила зловредов.
Было решено отключить ПК от Глобальной сети (на время лечения) и перезагрузиться в Безопасный режим.
После этого с "чистой" флешки была запущена утилита AutoRuns (с правами Администратора системы).
Далее была отключена (снятием соответствующих флажков) автозагрузка следующих элементов:
– на вкладке Logon – baidusdTray;
– на вкладке Explorer – ABDSWShellExt, BDShellExt (в 4-х ключах Реестра Windows);
– на вкладке Internet Explorer – WebMonBHO;
– на вкладке Services – BaiduHips, BDKVRTP, RemoteEngineService;
– на вкладке Drivers – bd0001, bd0002, bd0003, BDArKit, BDDefense, BDEnhanceBoost.
После этого была осуществлена перезагрузка ПК в обычный режим.
С "чистой" флешки снова была запущена утилита AutoRuns (с правами Администратора системы).
Далее была осуществлена чистка Реестра Windows (поочерёдным выделением удаляемого элемента правой кнопкой мыши и выбором из контекстного меню опции Delete):
– на вкладке Logon – baidusdTray;
– на вкладке Explorer – ABDSWShellExt, BDShellExt (в 4-х ключах Реестра Windows);
– на вкладке Internet Explorer – WebMonBHO;
– на вкладке Services – BaiduHips, BDKVRTP, RemoteEngineService;
– на вкладке Drivers – bd0001, bd0002, bd0003, BDArKit, BDDefense, BDEnhanceBoost.
Затем были удалены:
– каталог \Program Files (x86)\VuuPC\;
– каталог \Program Files (x86)\Baidu\;
– каталог \Program Files (x86)\Common Files\Baidu\;
– файлы bd0001.sys, bd0002.sys, BDArKit.sys, BDEnhanceBoost.sys, BDMNetMon.sys, BDMWrench_x64.sys (в каталоге \WINDOWS\system32\drivers\).
Далее для предотвращения повторного самозаражения системы было отключено восстановление системы;
– очищен кэш интернет-файлов;
– перезагружен ПК;
– включено восстановление системы;
– система была просканирована антивирусом со свежими базами.
***
Дело об очередном загадочном сбое закрыто…
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…