Здравствуйте!
Скачали торрент и подцепили Байду, помогите избавится пожалуйста.
Проверялся CureIt и Maleware в безопасном режиме, логи прилагаю.

Попробуйте сначала удалить Байду обычным методом через Программы и компоненты ( или Установка и удаление программ ) Удаляйте все что имеет китайские иероглифы.

Обычным методом уже удалил всё, что установилось вместе с Байдой, еще удалил папку Baida в Program files, но она появилась снова. В панели Пуск иероглифы не удаляются.
Сегодня при загрузке Opera было совершено несколько переходов и открылось окно интернет казино, вот история:
7:31
Игровая система «Миллион» .:. Игровые автоматы, casino, покер, слот-машины, джекпот.
slot-portal.ком
7:31
хттп://mygamebonus.com/10107fQ?source=fixru&utm_campaign=lab&utm_medium=traflab
-mygamebonus.ком
7:31
хттп://vintraflab.ru/rotator
-vintraflab.ру
7:31
хттп://vintraflab.ru/?token=k0ifg
-vintrаflab.ру

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

1. Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('BDMWrench');
StopService('BDDefense');
StopService('BDArKit');
StopService('bd0003');
QuarantineFile('C:\Program Files\baidu\BindEx.exe','');
QuarantineFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe','');
QuarantineFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','');
QuarantineFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','');
QuarantineFile('C:\Windows\system32\drivers\BDDefense.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\BDArKit.sys','');
QuarantineFile('C:\Windows\system32\DRIVERS\bd0003.sys','');
QuarantineFile('BDMRTP.sys','');
QuarantineFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe','');
QuarantineFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe','');
QuarantineFile('C:\iexplore.bat', '');
DeleteFile('C:\Program Files\Common Files\Baidu\BaiduHips\1.1.0.733\BaiduHips.exe','32');
DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe','32');
DeleteFile('BDMRTP.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDDefense.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32');
DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe','32');
DeleteFile('C:\Program Files\baidu\BindEx.exe','32');
DeleteFile('C:\iexplore.bat', '32');
DeleteService('BDMWrench');
DeleteService('BDDefense');
DeleteService('BDArKit');
DeleteService('bd0003');
DeleteService('BDMRTP');
DeleteService('BDKVRTP');
DeleteService('BaiduHips');
DeleteFileMask('C:\Program Files\Baidu\', '*', true);
DeleteFileMask('C:\Program Files\Common Files\Baidu\', '*', true);
DeleteDirectory('C:\Program Files\Common Files\Baidu\');
DeleteDirectory('C:\Program Files\Baidu\');
DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}');
DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK (http://safezone.cc/resources/clearlnk-udalenie-parametrov-zapuska-u-jarlykov.102/).

http://dragokas.16mb.com/Safe/move.gif

Отчёт о работе прикрепите к вашему следующему сообщению.

4.
Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Проделал всё вышесказанное.
Логи прилагаю.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.


Скачайте Universal Virus Sniffer (http://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS (http://safezone.cc/threads/14508/#post-79351)

логи

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BAIDUSD.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\BDKVDESKBAND.DLL
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\BDSWSHELLEXT.DLL
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\EXPLUGIN\NPBAIDUSDDETECTPLUG.DLL
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086\UNINST.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\3.0.0.3971\UNINST.EXE
zoo %SystemDrive%\LAUNCHER.BAT
bl 804D2A46CFC8A9F69B4E43FE86B4D333 94
delall %SystemDrive%\LAUNCHER.BAT
delall %Sys32%\DRIVERS\BD0001.SYS
delall %Sys32%\DRIVERS\BD0002.SYS
delall %Sys32%\DRIVERS\BD0004.SYS
delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\百度卫士\卸载百度卫士.LNK
bl 79CC1D516300D5277A6738C54F24B507 1181
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\百度卫士\卸载百度卫士.LNK
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\百度杀毒\卸载百度杀毒.LNK
bl B46064B8D2245ABC0FC8105CC6C4CA32 1181
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\百度杀毒\卸载百度杀毒.LNK
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\百度杀毒\百度杀毒.LNK
bl C6DEB1F1DA74D7250725CD77E9EEDD77 1208
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\百度杀毒\百度杀毒.LNK
deltmp
czoo
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/threads/19310) с паролем virus.
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве (http://safezone.cc/threads/14509/#post-79352).


Повторите полный образ автозапуска в uVS.