Путеводитель по сайту

Дело о фейковом антивирусе Байду

Netler.ru - Слово о ПК и PC, или Хроника рефлексирующего сисадмина

 

RSS: новые статьи сайта «Слово»·RSS: новые статьи сайта «Слово»

 

·Статьи

·О ПК и PC

·Страничка Настроения





English version Распечатать

 

***

…Намедни попросили меня разобраться с очередным загадочным сбоем.

 

При подключении к ПК (с установленной Windows 7 SP1) флешки начинали сбоить.

При этом ПК ужасно "тормозил"…

Каждые 5 минут появлялось диалоговое окно (размером 552x352 пикселей), в котором среди китайских иероглифов было 2 строки на английском: RemoteEngineHelper.exe и C:\Program Files (x86)\VuuPC:

 

Дело о фейковом антивирусе Байду

 

 

В контекстном меню Проводника Windows появилась строка с китайскими иероглифами.

 

В Диспетчере задач Windows (кстати, запускался он с большой задержкой!..) были обнаружены подозрительные процессы: BaiduAnSVC.exe, BaiduAnTray.exe, BaiduHips.exe, BaiduSdSvc.exe, BaiduSdTray.exe, BaiduSdUProxy64.exe, Connectivity.exe, RemoteEngine.exe, RemoteEngineHelper.exe (2 процесса).

 

Дело о фейковом антивирусе Байду

 

 

Выгрузить эти процессы из памяти не удавалось.

 

В каталоге \Program Files (x86)\ были обнаружены подкаталоги VuuPC (19,4МБ) и Baidu (179МБ).

В каталоге \Program Files (x86)\Common Files\ был обнаружен подкаталог Baidu (18,1МБ) с подкаталогами BaiduHips и BDDownload.

В каталоге \WINDOWS\system32\drivers\ были обнаружены файлы драйверов Baidu, которые загружались вместе с ядром операционной системы: bd0001.sys (174 416 байт), bd0002.sys (190 280 байт), BDArKit.sys (152 392 байт), BDEnhanceBoost.sys (61 256 байт), BDMNetMon.sys (227 656 байт), BDMWrench_x64.sys (52 040 байт).

 

Дело о фейковом антивирусе Байду

 

 

Попытка удаления программ VuuPC и Baidu с помощью апплета Программы и компоненты не увенчалась успехом: процесс удаления VuuPC "глухо" зависал, а приложение Baidu вообще не отображалось в списке установленных программ!..

 

Следует отметить, что VuuPC – это программа для удалённого доступа к ПК, а Baidu – это антивирус китайской поисковой системы Байду.

Но в данном случае это были фейковые программы, так как:

– они загрузились и установились в систему скрытно от пользователя;

– вышеуказанные программы портили файловую систему подключаемых к ПК флешек;

– затрудняли работу пользователя;

– сильно (вплоть до зависания!) загружали оперативную память ПК;

– не позволяли выгрузить себя из памяти с помощью Диспетчера задач Windows;

– не позволяли удалить себя штатными средствами;

– в фоновом режиме запускали веб-браузер;

– …

 

В системе был установлен – регулярно обновляемый! – антивирус Microsoft Security Essentials.

 

Проверка ПК утилитой Dr.Web CureIt (со свежими базами!) не выявила зловредов.

 

Было решено отключить ПК от Глобальной сети (на время лечения) и перезагрузиться в Безопасный режим.

 

После этого с "чистой" флешки была запущена утилита AutoRuns (с правами Администратора системы).

 

Далее была отключена (снятием соответствующих флажков) автозагрузка следующих элементов:

– на вкладке LogonbaidusdTray;

 

Дело о фейковом антивирусе Байду

 

 

– на вкладке Explorer ABDSWShellExt, BDShellExt (в 4-х ключах Реестра Windows);

 

Дело о фейковом антивирусе Байду

 

 

– на вкладке Internet Explorer WebMonBHO;

– на вкладке ServicesBaiduHips, BDKVRTP, RemoteEngineService;

 

Дело о фейковом антивирусе Байду

 

– на вкладке Driversbd0001, bd0002, bd0003, BDArKit, BDDefense, BDEnhanceBoost.

 

Дело о фейковом антивирусе Байду

 

 

После этого была осуществлена перезагрузка ПК в обычный режим.

С "чистой" флешки снова была запущена утилита AutoRuns (с правами Администратора системы).

 

Далее была осуществлена чистка Реестра Windows (поочерёдным выделением удаляемого элемента правой кнопкой мыши и выбором из контекстного меню опции Delete):

– на вкладке LogonbaidusdTray;

– на вкладке Explorer ABDSWShellExt, BDShellExt (в 4-х ключах Реестра Windows);

– на вкладке Internet Explorer WebMonBHO;

– на вкладке ServicesBaiduHips, BDKVRTP, RemoteEngineService;

– на вкладке Driversbd0001, bd0002, bd0003, BDArKit, BDDefense, BDEnhanceBoost.

 

Дело о фейковом антивирусе Байду

 

 

Затем были удалены:

– каталог \Program Files (x86)\VuuPC\;

– каталог \Program Files (x86)\Baidu\;

– каталог \Program Files (x86)\Common Files\Baidu\;

– файлы bd0001.sys, bd0002.sys, BDArKit.sys, BDEnhanceBoost.sys, BDMNetMon.sys, BDMWrench_x64.sys (в каталоге \WINDOWS\system32\drivers\).

 

Далее для предотвращения повторного самозаражения системы было отключено восстановление системы;

– очищен кэш интернет-файлов;

– перезагружен ПК;

– включено восстановление системы;

система была просканирована антивирусом со свежими базами.

 

***

Дело об очередном загадочном сбое закрыто…

 

Валерий Сидоров

 

 

 

***

Дело о…

Статьи о ПК и PC

Вирусы vs. антивирусы

Раскрывая тайны Windows…

Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …

Apps for iPad, iPhone, iPod touch…

 

 

 

 

 

 

 

Путеводитель по сайту


18+

© Сидоров В.В. 2015. All rights reserved.

Авторство всех материалов сайта http://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт http://netler.ru.