Процедура удаления «антивирусного» ПО Baidu

    Что за байда!


    Китайский антивирус «Baidu» распространяется вирусными методами malware/adware, устанавливается вне зависимости от работы других антивирусов, в результате конфликт антивирусов порождает чрезмерное замедление работы ОС Windows.
    Удаление ПО Baidu затруднено из-за того, что штатные программы удаления существуют только для двух компонент, драйверы уровня ядра ими не удаляются, более того, при следующей загрузке компьютера это ПО устанавливается повторно. В то же время удалить драйверы байды сложно из-за того, что они блокируют запись в «свои» ветки реестра и блокируют доступ к своим файлам.

    Я написал простую инструкцию по полному удалению вредной Байды из Windows 7 и 8 без использования загрузочного носителя, она предназначена для использования техниками по обслуживанию компьютеров («эникейщиками») и подходит любому более-менее опытному пользователю.

    Инструкция особенно актуальна для 64-битных версий Windows, поскольку в них не работает AVZ (точнее, нет 64-битного драйвера AVZ Guard).


    Инструкция


    Для начала картинка «кнопки», которую нужно нажимать в программах удаления:

    В программах-деинсталляторах кнопка обычно расположена слева и по умолчанию не выбрана.

    Последовательность действий.


    В системной оснастке удаления программ («Панель удаления»-«Программы и компоненты») в самом низу есть два пункта с надписями иероглифами. Синяя иконка — “Защита браузера”, зелёная — “Антивирус”.
    Помечаем строку с зелёной иконкой и кликаем “Удалить/изменить”. Появляется окно с иероглифами, в нём нажимаем левую кнопку, ждём завершения, нажимаем подтверждение.
    Помечаем строку с синей иконкой и кликаем “Удалить/изменить”. Появляется окно, в нём выбираем правую клетку с иконкой мусорной корзины, внизу нажимаем левую кнопку, ждём завершения, нажимаем левую кнопку.

    Перезагружаем компьютер в «безопасный режим».

    В безопасном режиме:
    1. программой autoruns из комплекта “Sysinternals Suite” удаляем все упоминания baidu, в том числе: BBenhance, bd0001-bd0004, baiduhips и пр., причём служба bd0004 не удаляется — выводится сообщение об ошибке “Служба не установлена”, поэтому редактором реестра или программой reg удаляем ветку реестра этой службы: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bd0004;
    2. проводником, FAR или Total commander удаляем все файлы, в описании или цифровой подписи которых есть слово Baidu.

    Список файлов Байды.

    В каталоге "%WINDIR%\System32\drivers" (обычно C:\Windows\System32\drivers):
    BBEnhance.sys
    bbrowserboost.sys
    bbrowserhlp.dll
    bd0001.sys
    bd0002.sys
    bd0003.sys
    bd0004.sys
    BDDefense.sys
    BDMNetMon.sys
    BDMWrench_x64.sys
    bduniptk.sys
    Полностью каталоги:
    %ProgramFiles(x86)%\Common Files\Baidu
    %ProgramFiles(x86)%\Baidu

    Скриншоты свойств файлов «байды»:




    Помимо собственно Baidu одновременно с ним нередко устанавливается также ПО «Kingsoft Internet Security». Его тоже невозможно полностью удалить штатной программой удаления, приходится вручную удалять драйвер “Kingsoft Internet Security K Plus Driver” (файл %WINDIR%\system32\drivers\ksapi64.sys) и файл "%WINDIR%\system32\drivers\kisknl_del.sys".
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 52

      +4
      Столкнувшись с этими деинсталляторами, я впервые по делу воспользовался фотопереводчиком на телефоне.
        +6
        Вы не дошли до уровня «Бог», когда удаляешь китайское ПО без использования переводчика и знаний китайского.
          +5
          Уровень «Бог», это когда продавец запчастей совершенно спокойно и безошибочно работает в каталоге запчастей на японском языке :) с таким покерфейсом. Там кнопок немного больше.
            0
            Видимо, я дошёл. Удалял некий Tencent QQ, нашёл кнопку удаления по картинке с плачущей мордой.
              0
              Было дело недавно.
              Там гады зеленым отметили кнопку Отмена, а обычная серая Далее.
              Ну ниче, я со второго раза удалил его ^_^
                –2
                Амиго отомстит китайцам
                Картинка 'Удалить Амиго'
                image
                  +1
                  Проверяли уже - картинка фейк
                  image
                    +1
                    Или старая версия.
            0
            А какой-нибудь RevoUninstaller не подчищает «мусор» после удаления данного антивира?
            Удалял им, после нечего не ставилось обратно и тп
              0
              У мамы вместе с байду поставился iobit uninstaller. Решил его попробовать и в принципе остался доволен. Теперь иногда пользую
                –1
                Вот мы и нашли человека, благодаря которому такие способы установки ПО продолжают жить и развиваться.
                  –1
                  Под «вместе с байду» имел ввиду «в тот же день». Поставили они его, кажется, сами
            0
            Байда качается обычно с файлопомоек наподобие download.com, но скачал говносборку — сам себе злобный Буратино. Интересно, есть ли хоть одна русскоязычная софтина, взятая с официального сайта, с таким довеском?
              0
              Я не помню, с какой именно файломойки его скачали, потому и не написал.
                0
                Смотрел на ваш ник, и на ваше сообщение. Очень испугался.
                  +1
                  Не всегда звучащий ник означает сектанта. Надо знать предмет во всех областях.
                    0
                    Мы же все тыжпрограммисты, нас же не спрашивают — «ах, линуксооооид...», а просто дают ноутбук со словами: «помогите-спасите! (а то укушу)!»
                    0
                    Mail.ru Агент же!
                    +3
                    Почему антивирусы сами его не удаляют? Где же наш отечественный касперыч?
                      0
                      IMHO потому что это не вредоносный код, это всего лишь ПО с кривым деинсталлятором.
                      «Касперыч» также не блокирует Guard mail.ru и подобные.
                        0
                        Если покопаться со снифером, уверен на 100% что есть шпион в комплекте.

                        А с Мэйлру ситуация иная, им запрещено его блокировать и/или платят бабло.
                        0
                        Байда это легальное ПО. Кстати, использование UVS позволяет намного упростить процесс очистки если настроить критерии поиска
                        0
                        Пора уже написать антивирус, который будет блокировать эти амиги, мэйлру-гуарды, гуглотулбары, аскми и прочий подобный малварь.
                          +1
                          Дак есть же уже давно. Malwarebytes Anti-Malware. Как раз недавно амигу им вычищал.
                            0
                            гуглотулбара уже нет, вроде бы
                              0
                              Есть, бывает иногда в нагрузку с софтом разным, хотя именно его я давно уже не видел.
                            0
                            Интересно было бы увидеть тест этого антивиря. Все-таки Baidu для Китая то же самое, что Яндекс для нас и Гугл — для Запада, так что вдруг у них получилось что-то получше, чем упоминавшийся вчера Cezurity.
                            0
                            У меня есть небольшой опыт по удалению творений Байду. Я отключал его с помощью утилиты AntiSMS. Она отключает из автозапуска все что имеет подпись Байду, включая драйвера и прочее.
                              0
                              А есть софтина которая бы по списку файлов вытянула из них подписи?
                                0
                                filever вроде может.
                              0
                              Я убивал этот антивирус следующим образом.
                              1. Нашёл проводником в Program Files его файлы
                              2. На всю его папку (но не рекурсивно!) поставил права доступа: «всем» — «ничего». Рекурсивно не получится, потому что антивирус запрещает изменять права доступа своим файлам, бережёт себя. А папку уберечь не может.
                              3. Перезагрузился.
                              Система не позволила сама себе прочитать экзешники антивируса для старта его служб.
                              4. Восстановил права доступа на папку и удалил её к чертям.
                              5. Запустил CCleaner и почистил реестр — убрать записи о службах, автозагрузке и деинсталляции.

                              Таким же способом удалось ликвидировать экземпляр Guard.MailRu — какая-то его версия, отличавшаяся повышенной паранойей и одновременно со сломанным деинсталлятором, тоже себя берегла.
                                +2
                                Зря ты удалил папку. Надо было установить на неё запрет на запись после очистки содержимого, после этого даже последующие попытки установить сразу же заканчиваются обломом.
                                То же самое можно проделать с правами доступа к веткам реестра…
                                Нежелательный софт просто на этапе установки сразу же получает облом.
                                  0
                                  Семён Семёныч!
                                  В следующий раз учту и не стану размораживать папку.
                                  Точнее, разморожу, удалю потроха и снова заморожу.
                                    0
                                    — Сжечь ведьму!
                                    — Но она же красивая!?
                                    — … ладно, но потом сжечь.
                                    0
                                    Пробовал?
                                    В моей практике это помогает далеко не во всех случаях.
                                      0
                                      Многократно. Главное права забирать у всех даже System, а не только у того пользователя под которым работаешь. И не забыть оставить право изменять права для администратора, иначе навсегда папка останется мертвой, её даже не удалить.
                                        0
                                        Правила «deny» имеют приоритет перед разрешающими правилами.
                                        Я ставил всем Deny Full на каталоги. После перезагрузки права доступа возвращались к чистым наследованным.

                                        Подсказка: замену владельца запретить невозможно, именно через замену владельца при необходимости можно удалить мусор, оставляемый каким-то обновлениями Microsoft (там каталоги с владельцем «Localsystem» и правами Localsystem F)
                                          0
                                          Странная система безопасности. Вы ей говорите «запретить» а она «ты чего это, я лучше знаю что это надо разрешать».
                                          Даже чтобы сменить владельца нужны права на смену владельца, а эти права точно так же запрещаются для всех…

                                          То что у вас права доступа возвращаются, это ненормально. Надо искать в системе троянца или руткит. Я бы в таком случае заподозрил именно это.

                                          0
                                          В таком случае, не намного ли проще создать запись в gpedit.msc с блокировкой выполнения по маске имени. Всегда делаю запрет выполнения на *mail* — полет пока нормальный, инсталлятор тоже блокируется.
                                            0
                                            Не всегда. Могут выйти накладочки и долго будешь думать почему что-то не работает, а окажется что в имя этого чего-то совпадает с маской которая блокируется. Троянцы, к примеру будут маскироваться под популярные приложения, на которые можно будет задать только конкретную маску с точностью до символа, а это путь в никуда вплоть до введения белых списков что есть еще большее неудобство.
                                      0
                                      Я пробовал и такой метод, в 64-битной Windows 7 запрет доступа не помогает.
                                      Судя по фразе «Нашёл проводником в Program Files его файлы» в 32-битной Windows (XP?) это срабатывает.
                                        0
                                        Не помогает в каких случаях? Ибо если запрет не работает, то что это за система безопасности? Может чего не так делал…
                                          0
                                          В 64-битной. Главное, отбирать права абсолютно у всех. После чего папка становится АБСОЛЮТНО невменяемой, так, что даже с администратором надо попрыгать, чтобы всучить ей права обратно.
                                            0
                                            В 64-битной Windows Байда записывает себя в «Program Files (x86)»

                                            Поясните про «отбирать права абсолютно у всех» — выполняет ли требуемое команда «cacls /D Все» (эквивалент назначению запрета всем в графической оснастке)? Я так делал, не помогает.

                                            Полагаю, что под словами «надо попрыгать» подразумевается «сменить владельца на пользователя или группу администраторов, затем назначить нужные права». IMHO это тривиально.

                                            Добавлю: я просто запрещал доступ всем, я не менял владельца. Возможно, что смена владельца могла помочь.
                                              0
                                              1. Я описал общий метод, для любой мыловари — хоть она в (x86), хоть вообще в AppData себя засунет. Когда лечил байду, не особо запоминал, в какую именно ветку програм-файлз она легла.
                                              2. Про команду cacls что-то даже и не догадался. Сходу не могу сказать, насколько корректно и тотально она работает. Хватает ли ей запускаться из-под админа, чтобы перебить всех.
                                              3. В проводнике же это делается наглядно и гарантированно. Контекстное меню — свойства — безопасность — изменить, и всем пользователям и всем группам поустанавливать deny нерекурсивно (каждой группе пришлось отдельно делать). Для пущей гарантии — удалить владельца.
                                              4. Чтобы вернуть права, для начала взял и папке верхнего уровня установил рекурсивно allow «читать папку» и назначил владельца.
                                                0
                                                Тут мне кажется есть тонкость. Права есть разрешающие и запрещающие. Неправильно было бы удалять права, поскольку объект без назначенных прав наследует права от родительского объекта, а там скорей всего будет «разрешить всем всё». Тут надо установить именно права запрета.

                                                Кстати команда CACLS является устаревшей, взамен ей использовать надо ICACLS она более универсальная.
                                          0
                                          Вместо того, чтобы руками ковыряться в реестре, службы и драйвера можно удалять командой
                                          sc delete
                                          Не пробовали? Или самозащита срабатывает?
                                            0
                                            Самозащита там будь здоров какая. Она не позволяет удалять службы даже с самыми-самыми админскими правами.
                                              0
                                              Внимательно читайте текст.
                                              Повторяю:
                                              1. Драйверы уровня ядра блокируют доступ к файлам и веткам реестра байды.
                                              2. Служба bd0004 не удаляется — выводится сообщение об ошибке “Служба не установлена”, поэтому редактором реестра или программой reg удаляем ветку реестра этой службы. Другими словами: в реестре приходится удалять то, что невозможно удалить системным вызовом (IMHO причина в кривости программы деинсталляции).
                                              0
                                              AdwCleaner удаляет эту «байду» на автопилоте. Рекомендую.

                                              Only users with full accounts can post comments. Log in, please.