”Baidu”, — этот зверь в семействе программ — вредоносов разместился особнячком, да и классическим вирусом по определению и поведению его назвать сложно. Свернувшись клубочком, он терпеливо поджидает тех, кто загружает как сомнительный, так и вполне полезный контент и, не раздумывая, запрыгивает на ходу, чаще без ведома пользователя, не оставляя никакой возможности согласиться или отказаться от его установки. О симптомах Baidu и о том, как корректно избавиться от навязчивого гостя из Поднебесной вы узнаете, прочитав нашу статью.

Он еще не с вами? – Тогда стоит подготовиться!


Для тех, кто к счастью еще не успел познакомиться с «Байдой» кратко опишем симптомы вредоноса. Baidu — потенциально нежелательная программа, анонсируемая разработчиком как антивирус нового поколения, часто устанавливающаяся на компьютер пользователя автоматически и в скрытом режиме.

Вездесущий Байду:

  • активно меняет настройки домашней страницы ваших браузеров;
  • навязывает Toolbar и Baidu Search;
  • отмечается на родном диалекте в меню ПУСК;
  • дает карт-бланш загрузке нежелательного ПО и потоку навязчивой рекламы;
  • крайне затрудняет работу с клавиатурой и мышью;
  • подвешивает папки и программы.

Поскольку характерных признаков вредоносной программы Baidu не имеет, в программные коды компьютера не внедряется и своих копий не создает, ее своевременная идентификация и блокирование антивирусами и подобными утилитами оказывается затруднено. И пока антивирусная защита пребывает в полном неведении, BaiduAn, UC, BaiduSD 360safe и им подобные по наименованию с явным удовлетворением и аппетитом пожирают львиную долю ресурсов компьютера.

Если вас не привлекает такая перспектива, то при установке любых утилит со сторонних ресурсов крайне внимательно отслеживайте предложения «догрузить» сторонние службы с тем, чтобы вовремя снять роковую галочку. Если же вирусная программа устанавливается автоматически, возможность воспрепятствовать этому процессу у пользователя практически отсутствует.

Уверенно хозяйничая на вашем компьютере, Байда решительно отказывается удаляться традиционными инструментами меню «Установки и удаления программ» и пребывает за пределами компетенции команд ”Диспетчера задач”. «Ареал обитания» Baidu — сайты, предлагающие условно бесплатное или условно платное ПО, «взрослые» ресурсы, официальные сайты китайских разработчиков и вполне нейтральные, но популярные ресурсы с контентом самого разного содержания.

Если вы еще не подверглись навязчивому нашествию Baidu и ее модификаций — Baidu PC Faster или Baidu Root в будущем при загрузке резонно использовать удобное, регулярно обновляемое русифицированное приложение Unchecky, отслеживающее потенциально опасные навязываемые сервисы и деактивирующее галочки с предложением скачать вредоносов (Скачать Unchecky на сайте разработчика).

Если же Baidu, не спрашивая вашего мнения и совета, уже добралась до сердца и мозга системы, отметилась в реестре и Поиске, заявила о себе на экране монитора легко узнаваемым значком (см. рис. 1), а при заходе в сеть — потоком уведомлений на китайском, то тут глобальной терапии не избежать.



(рис. 1.)

Удаление Baidu. Этап 1-й: оцениваем масштабы вторжения и сохраняем пути к файлам программы


Если вы загляните в “Диспетчер задач” (раздел ”Процессы”), то скорее всего, увидите один или несколько исполняющихся файлов Baidu с характерными комментариями на китайском. Выглядит это примерно так:



Адреса хранения файлов можно узнать, щелкнув правой кнопкой мыши по каждой из активных строк Baidu.



Нажав на верхнее окошко выпавшего меню, перейдем по указанному адресу.



Все полученные таким образом адреса расположения сохраним в отдельном файле. Они нам понадобятся на одном из завершающих этапов удаления программы.

Пример:



Вероломный характер Baidu моментально проявит себя при попытке завершить любой из “Байду-процессов” в Диспетчере задач в обычном режиме:



Такая реакция – следствие плотной интеграции Baidu с файловым массивом ОС.

Этап 2. Деинсталляция


Первый возможный шаг, необходимый для решения проблемы навязчивого гостя – анализ содержимого папок Program Files и Program Files (х86) по адресам в Диспетчере задач. Путь: Мой компьютер — C:\Program Files\Baidu\BaiduAn\ и аналогично для каждого файла. При наличии опции «uninst» — запуск последней.



По-другому запустить процедуру Деинсталляции можно, активировав соответствующую черную кнопку, расположенную в нижних строчках меню Пуск, где Baidu уже успела надежно прописаться.



Еще один путь доступа к окну диалога удаления – Пуск – Панель управления – Удаление программ – Изменить/Удалить (или Программы и компоненты Windows).



Все эти три способа, как и деинсталляция при помощи стороннего деинсталлятора (Uninstal Tool и пр.) разными путями приведут нас к желтому диалоговому окну с двумя кнопками – выбираем левую, не пытаясь перевести):



Baidu молит о пощаде
Далее выбирайте нижнюю левую кнопку в каждом вновь открывающемся окне.



В последнем окне диалога (рис. ниже) не забудьте проставить все галочки (что часто упускают по естественным причинам), после чего нажмите на единственную центральную кнопку.



После завершения перечисленных действий ярлыки программы на рабочем столе и характерные иконки в меню Пуск и Панели управления программ должны исчезнуть, но… Деинсталляция элементов программы в Program Files, как и деинсталляция другими способами в стандартном рабочем режиме, как правило, помогает кардинально решить вопрос только в нескольких случаях из 100 – и это еще одно ухищрение талантливой команды доброхотов из Поднебесной.

Увы, Baidu не была сама собой, если бы вопрос ее удаления всегда решался так просто. Без дополнительных мер, скорее всего, все вернется на круги своя после нескольких перезагрузок ПК даже после успешного, на первый взгляд, прохождения первого этапа.

Этап 3. Работа в безопасном режиме


Следующие шаги нам нужно будет совершить, перейдя в безопасный режим, перезапустив компьютер и нажимая в момент запуска клавишу F8.


Выбор безопасного режима в Windows 7.

Последовательность действий:

  1. Заходим в Панель управления – Администрирование — Службы.
  2. Отключаем все службы, связанные с Baidu – героя выдаст его имя :).
  3. “Снимаем Байду-задачи” в Диспетчере задач.
  4. Удаляем все оставшиеся файлы по сохраненным ранее адресам с жесткого диска.
  5. Заходим в редактор реестра и удаляем все лишнее из автозагрузки. В Windows 7 для этого можно нажать Win + R и ввести команду msconfig, в Windows 8 и 8.1 – на вкладке “Автозагрузка” Диспетчера задач. Один из простейших вариантов – поиск в реестре ключей, привязанных к слову ”Baidu”.
  6. Определяем плагины и расширения браузеров, связанные с Baidu.
  7. Чистим кэш и куки, для достижения максимального эффекта можно использовать сброс в настройках браузера.
  8. Не помешает проверка файла hosts и прокси-серверов по свойствам подключения (Путь: Панель управления — Свойства браузера или обозревателя — Подключения — Настройка сети.) Галочку ”Использовать прокси-сервер” лучше снять.

В общем случае детальную проверку следует провести по всем вероятным адресам ”базирования” Baidu:

  • C:\Program Files (x86)\Baidu\BaiduAn\
  • C:\Program Files (x86)\Common Files\Baidu\
  • C:\Program Files (x86)\Baidu\
  • C:\Program Files (x86)\BaiduEx\
  • C:\Program Files\Baidu\
  • C:\Program Files\BaiduEx\
  • C:\Program Files\Common Files\Baidu\
  • C:\Users\Public\Documents\Baidu\

Не забываем проверить скрытые папки:

  • C:\Users\имяВашейучетной_записи\AppData\Roaming\Baidu
  • C:\ProgramData\Baidu\

Удаление следов Baidu в автозагрузке



По завершении перечисленных действий перезагрузите ПК в обычном режиме и дополнительно проверьте хвосты автоматическими программами.

Удаление фрагментов программы в автоматическом режиме


Универсальной программы, позволяющей полностью избавиться от присутствия Baidu, не существует. В этой связи есть смысл использовать комплект из нескольких проверенных и эффективных утилит – деинсталлятора, программ для удаления Malware, PUP и Adware.

В качестве деинсталлятора можно использовать платную или бесплатную версию Revo Uninstaller, для удаления Malware, PUP и Adware – прекрасно зарекомендовавшую себя утилиты Hitman Pro (бесплатная версия предоставляется на 30 дней), Trend Micro HijackThis и классический вариант – AdwCleaner.

Revo Uninstaller


Скачать бесплатную или профессиональную 30-ти дневную триал-версию Revo Uninstaller можно с официального сайта программы Revo Uninstaller

Hitman Pro


Скачать программу с официального сайта можно, пройдя по по ссылке. Обратите внимание на опцию: “Я собираюсь сканировать систему только один раз”, доступную при настройке загрузки. Ее выбор позволит вам просканировать систему без установки на ваш ПК. По результатам сканирования удалите отмеченные элементы.

AdwCleaner


AdwCleaner прекрасно справляется с вредоносными программами типа adware, всяческими назойливыми поисковыми системами, тулбарами, устанавливаемыми без ведома пользователя, бесконтрольными ярлыками, стартовыми страницами и элементами автозапуска. Отличается эффективностью и простотой. Проверка AdwCleaner от имени Администратора позволит выявить подозрительные и зараженные не без помощи Байды папки.

Скачать последнюю версию программы AdwCleaner можно здесь

Trend Micro HijackThis


Программа Trend Micro HijackThis позволяет получить подробнейший отчет о параметрах файловой системы и реестра, производить тонкий поиск и выборочное удаление ненужных и вредоносных программ, включая элементы Baidu.

Скачать Trend Micro HijackThis можно здесь.

Завершив проверки, еще раз пробейте систему на наличие служб, ключей в автозагрузке и заданий планировщика (для этой цели можно использовать CCleaner), сбросьте ярлыки браузеров через настройки, с тем, чтобы удалить остатки Baidu с большей вероятностью.

Если автоматическая проверка засвидетельствовала отсутствие следов Baidu, то вероятность ее полного удаления с вашего компьютера достаточно высока. Ну а практика, как сказал один наш общий изобретательный знакомый, – критерий истины, она все и покажет.

В лучших традициях успешного вредоноса Baidu и ее модификации регулярно обновляются и совершенствуются, время от времени создавая пользователям новые проблемы. Поэтому описанные методы нейтрализации Байды, действующие сегодня, завтра могут потерять свою актуальность, и тогда потребуется новая статья о том, как справиться с этим коварным мутантом. Что ж, тогда напишем новую!

*****

Надеемся, что информация, предоставленная в наших публикациях будет полезна читателям блога iCover, убережет и поможет избавиться от негативных последствий, связанных с активностью мошеннических программ, троянов, червей, шпионов и прочей нечисти – одной из глобальных проблем нашего динамичного века. В нашем блоге и подписке вы найдете еще много полезного и интересного, сможете познакомиться с результатами уникальных тестов и экспертиз новейших гаджетов, найдете ответы на многие актуальные вопросы.

Комментарии (24)


  1. xHR
    17.07.2015 11:26

    Жаль, что не попалась мне статья месяц назад. После неудачи касперского и встроенного антивируса семерки решил снести оную и поставить по новой, благо, на детском компьютере это можно делать безо всяких опасок потери данных.


    1. Grox
      18.07.2015 01:12

      Просто к сведению, Comodo радостно засунул всю эту Байду в песочницу и после просьбы почистить песочницу, от этой байды не осталось и следа. Это из положительного про него.


      1. VoiceDao Автор
        18.07.2015 16:19

        Приветствуется любая информация, которая поможет пользователям справиться с проблемой. В статье описан всего лишь один из путей, наверняка есть и другие, не исключено, что более эффективные. Так что спасибо большое, примем к сведению.


  1. c0yc
    17.07.2015 12:54
    +1

    Столкнулся с этой заразой не так давно. Причем о ней слышал разве что краем уха. Ноутбук рабочий, используется только офис. При попытке снести эту дрянь, обнаружил что во многих программах интерфейс сменился на иероглифы. Что эта зараза сама восстанавливается, тоже обнаружил чуть после. Решил проблему кардинально — снос ОС. Тем более системе уже не один год был, пакет ПО используемые так же не большой. Сохранность данных не беспокоила, тк у человека все на других носителях. На переустановку системы ушло минут 40.

    В некоторых случая проще перенести данные и сжечь напалмом, чем убить день и получить вроде как живую но потрепанную систему. А имея бэкапы свежеустановленной системы, так о вообще думать не стоит. Учитывая что данная гадость видоизменяется и маскируется, на очистку от нее уйдет явно вагон времени. Насчет unchecky — вещь не заменимая. Кол-во спутников и Амиго у знакомых и друзей кардинально упало.


    1. VanyaKokorev
      17.07.2015 13:21

      Мне помог удалить эту штуку с ноутбука знакомого MalwareBytes Anti-Malware Free, дополнительных действий не потребовалось


      1. c0yc
        17.07.2015 15:56

        Благодарю. Пойдет в аварийную флешку.


  1. Sakuya
    17.07.2015 14:01

    /me из угла доносится шепот.
    Я ведь говорила что эта малварь! И что это универсальный китайский вирус… А не антивирус :/ Впрочем как и бОльшая часть китайских «полезных» программ.


  1. Nonameface
    17.07.2015 14:21
    +1

    Только на прошлой неделе удалял всю эту хрень у знакомого, у которого «Интернет перестал работать» (а по факту, перестал запускаться chrome).
    Это увлекательный квест, знаете ли, тыкать в кнопки с неведомыми надписями. И даже после его прохождения все равно безопасный режим, удаление вручную, чистка реестра.
    Где вообще люди берут такие инсталляторы? Я понимаю еще яндекс-бары и мэйлрушечки, сросшиеся с половиной бесплатного ПО в наших краях, но это китайское чудо-то где берется?


    1. Deaddy
      17.07.2015 14:51

      Да где угодно. Всякие SkyMonk-и, Quadromegasuperdownloader-ы, «ускорители интернета» и миллиард других «полезных» программ. Народ же ставит программы по принципу «Запустить — разрешить — далее — далее — ОК». Читать надписи в инсталлере не принято — это признак занудства.


  1. Alexeyslav
    17.07.2015 15:50
    +2

    Забыли упомянуть, чтобы эта гадость не поставилась снова по протореной дорожке, после удаления файлов этой гадости устанавливать запрет на запись для всех(даже админу и system) на папку в которой был файл.
    То же касается веток реестра конкретно под байду — установить разрешение на ветку с запретом записи для всех. В следующий раз, при попытке скрытной установки установщик получит облом и либо выдаст себя либо прекратит установку. В любом случае, ему не удастся прописать файлы по указанным путям.


  1. petro_64
    17.07.2015 18:10

    Есть универсальная утилита для вычистки байду и им подобным, «Чистилка» — chistilka.com


    1. VoiceDao Автор
      17.07.2015 18:24

      Возможно и поможет, но не факт) Судя по тому, насколько быстро изменяются возможности той же Байды — так раньше ее можно было удалить под корень в стандартном режиме, сейчас, главным образом, из безопасного. Хотя все возможно — нужно пробовать… ) Спасибо за комментарий.


      1. petro_64
        17.07.2015 18:26

        У вас нету образца зловреда? Я готов проверить и отправить разработчику программы (если потребуется).


        1. saga111a
          17.07.2015 19:07

          Мне вот тоже интересно стало, что за чудо такое. На виртуалку бы…


          1. Vilgelm
            17.07.2015 20:26
            +1

            Попробуйте скачать что-нибудь с обменников, которые подсовывают самораспаковывающийся архив или загрузчик. Например, с bezsms.org (ссылка на файл). Там будет zip архив, в нем еще один zip архив, в нем загрузчик. Он много веселого тянет, Baidu тоже. С какой-то итерации получится.


        1. VoiceDao Автор
          17.07.2015 21:51

          Честно говоря, преследовалась цель найти и уничтожить)


    1. UksusoFF
      18.07.2015 17:17
      +1

      Напишите про нее обзорчик, по типу такого: habrahabr.ru/post/247927
      А то что-то не внушает доверия пока. На сайте нет чейнджлога, описания того что удаляет, способа работы…



  1. Vilgelm
    17.07.2015 20:22

    Попадалась на рабочем компьютере какое-то время назад. Удалял примерно как в статье, но по удаленке, добавлю несколько моментов:
    1. Это полностью блокирует управление через TeamViewer, AmmyAdmin, RDP. Зато про Supremo оно пока не знает, через него можно.
    2. Uninst.exe и прочее не запускалось при попытке запустить его напрямую, только через Программы и компоненты.
    3. В моем случае вместе с этим прилетел еще один китайский «антивирус» под названием Kingsoft. Он отметился тем, что анинсталлер напрямую также не запускается, однако при этом в Программах и компонентах его нет (вообще ни в каком виде). Решил так: поставил его поверх еще раз (версия должна совпадать, они разные, нашел с трудом), а потом удалил (он тогда появляется в списке программ).
    4. Анинсталлер Baidu может выглядеть по-другому (видимо он меняется от версии к версии). Там методом тыка приходится, ориентироваться стоит на всякие грустные смайлы (если видите, то вы близко).
    5. После удаления оно оставляет несколько активных драйверов, которые удалить даже из безопасного режима не получается. Решил так: удалил файлы Unlocker'ом при следующей загрузке и разрегистрировал их через Autoruns.
    6. В Autoruns вообще видно еще много веселого от китайцев.
    7. Анинсталлеры имеют только Baidu Antivirus и Baidu Hips, остальное (Toolbar, Game Center и прочее) их не имеют. Приходится руками через Unlocker и Autoruns. Можно попробовать в безопасном режиме, но, по какой-то причине, некоторые компоненты не удаляются и через него. Если их не удалить, то он загрузится снова.


    1. VoiceDao Автор
      17.07.2015 21:56
      +1

      Спасибо! Очень полезная информация!


  1. Ezhyg
    18.07.2015 05:02

    список того, что мне понадобилось для убиения: (нет это не у меня, у меня такие не работают даже :()
    msicuu2 или файловый плагин-удалятор (Uninstaller) к Тотальному или Анрил командирам
    Autoruns
    ProcessExplorer (часть функций можно заменить Unlocker-ом, а лучше сразу оба юзать, при чём для анлокера ещё и батник написать, который последовательно прибьёт всё, что указано)
    двух- (а лучше 4) панельный файловый менеджер (Q-Dir)
    regedit или аналоги (regworks)
    коммандная строка (CMD)
    текстовый редактор (Notepad++)
    хранилка буфера обмена (CLCL)
    ещё можно посчитать сюда же стандартные оснастки консоли управления MMC (запуск диспетчера устройств с отображением отключенных девайсов, например)

    и установка Unchecky на будущее

    ах, да — админские права и окло 30 минут свободного времени :)

    и это совсем не рокетсайенс


  1. UksusoFF
    18.07.2015 17:14

    Unchecky что-то последнее время не очень :(
    Автор перестал обновлять его… там в отзывах очень много сообщений о новых тулбарах которые он пропускает.


  1. 13i
    28.07.2015 21:31

    Всегда нужно задавать вопрос — кому это выгодно?
    Я считаю, что Гугл. У них давно есть намерения проникнуть на китайский рынок, а сейчас Байду этому мешает.
    Не удивлюсь, что и для Яндекса вирус появится.


  1. khanid
    06.08.2015 15:15

    Видел другие версии байду.
    По поводу
    >>к желтому диалоговому окну с двумя кнопками – выбираем левую, не пытаясь перевести
    есть сказать что.
    В некоторых версиях эти кнопки меняются местами. Причём не всегда. Т.е. иной раз можно 3 раза подряжд анинсталлер запустить, а кнопки останутся на местах. А может быть и такое, что будут меняться местами каждый раз.