Перейти к содержанию

как избавиться от baidu 1.8.0.1255


Рекомендуемые сообщения

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.



KillAll::
 
File::
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\BDMNetMon.sys
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0003.sys
c:\windows\system32\drivers\bd0002.sys
c:\windows\system32\drivers\bd0001.sys
c:\users\User\AppData\Local\amigo.bat
C:\launcher.bat
 
RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\bd0003\Instances]

Driver::
RgFltX64
bd0004
BDArKit
BDMNetMon
BDSafeBrowser
bd0003
 
Folder::
c:\users\User\AppData\Roaming\Baidu
c:\users\User\AppData\Local\FinderMySQLSyntax
c:\programdata\Baidu
c:\program files (x86)\ШоппингГид
c:\users\User\AppData\Roaming\ap_logs
c:\program files (x86)\eDealsPop
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"eDealsPop"=-
 
FileLook::
 
DirLook::
C:\MagicPlusMini
 
Reboot::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

5315621m.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 37
  • Created
  • Последний ответ

Top Posters In This Topic

  • psiflyfire

    19

  • mike 1

    12

  • Roman_Five

    6

  • avegonysh

    1

Top Posters In This Topic

Popular Posts

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки

А что с проблемой?

Posted Images

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.



KillAll::
 
File::
 
Driver::
ControlRubyWindows.exe
PrivacyPythonSnapshot.exe
 
Folder::
c:\program files (x86)\ШоппингГид
C:\MagicPlusMini
 
Registry::
 
FileLook::
 
DirLook::
c:\users\User\AppData\Local\Pirates
 
Reboot::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

5315621m.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты

Эти 2 папки удалите вручную. 

c:\users\User\AppData\Local\Pirates
c:\program files (x86)\ШоппингГид

Сделайте свежий лог FixerBro. 

Ссылка на сообщение
Поделиться на другие сайты
В Хроме удалите расширения Переводчик для Chrome 2, Аудио и видео скачивание. В Firefox если расширение The best games in one place незнакомо, то тоже лучше удалите его.

 


  • Запустите повторно FixerBro by glax24.

    Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да





  • Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив всех строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.


  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).


  • По окончанию удаления нажмите на кнопку "Отчет"


  • Сохраните лог утилиты


  • Прикрепите сохраненный отчет в вашей теме.

 

Ссылка на сообщение
Поделиться на другие сайты

вот. baidu  можно удалять? мозилы нет, как и хрома.  Аудио и видео скачивание - стояла как программа в системе грохнул.

 


baidu скрин

установил мозилу, грохнул  расширение.. и мозилу следом.. с хромом так не вышло.там нет не чего.. к интернету комп не подключаю.


вот новый отчет. вроде ситуация изменилась. после установки и удаления мозилы и хрома 

FixerBro_20141001 (5).txt

post-32414-0-62656000-1412183796_thumb.png

FixerBro_20141001 (6).txt

Ссылка на сообщение
Поделиться на другие сайты

baidu  можно удалять?

Мы его уже удалили с помощью Combofix. 

================================ [ Ярлыки ] =================================

C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk [C:\launcher.bat - (Объект запуска не найден)]
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk [C:\Users\User\AppData\Local\amigo.bat - (Объект запуска не найден)]
=============================================================================

Эти ярлыки отмечали галочками? На кнопку "Исправить" нажимали?

 

 

+
  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.
 
Ссылка на сообщение
Поделиться на другие сайты

 
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
 
  • В окно Custom Scans/Fixes скопируйте следующую информацию:
 

:processes
 
:OTL
IE - HKU\S-1-5-21-909482640-1447603759-1595511952-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: "URL" = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}
FF - HKLM\Software\MozillaPlugins\@baidu.com/BaidusdDetectNPPlugin:  File not found
[2014.02.10 16:14:42 | 000,000,000 | ---D | M] (Free Games 111) -- C:\Users\User\AppData\Roaming\mozilla\Extensions\freegames4357@BestOffers
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-itss - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2014.09.30 03:32:26 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\newSI_2
[2014.02.10 15:54:11 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\newSI_4
 
:Services
 
:Files
[2014.02.10 16:14:42 | 000,000,000 | ---D | M] (Free Games 111) -- C:\Users\User\AppData\Roaming\mozilla\Extensions\freegames4357@BestOffers
[2014.09.30 03:32:26 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\newSI_2
[2014.02.10 15:54:11 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\newSI_4

recycler /alldrives
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{04719707-B188-4007-9EA4-B2C8CB785C8B}"=-
"{04BC1A6A-A999-4B40-8537-8B1B28212F0B}"=-
"{07861649-2C13-4069-A81D-6D88A953D6C9}"=-
"{0DC5807B-89C3-45A6-93E8-77D365F26F7A}"=-
"{148909E7-7B6A-4018-A36F-9F4B872ABD32}"=-
"{1AC6BC1D-05CC-476B-B32B-67D32CF2349B}"=-
"{1C6D7512-7E87-42B5-BDA3-A3105D69D816}"=-
"{21086B59-F174-4D44-9DAA-9139817CE9BE}"=-
"{2377A45B-46BB-48AE-B242-F4C2993E9E53}"=-
"{246E5140-387A-46A2-B8E9-4F263E5BF72B}"=-
"{27A07FDC-DB13-4ECD-809E-A8CF4CA13A2E}"=-
"{2B1D5DDB-F99B-429F-9B04-6148AD146624}"=-
"{2C3A8EB7-812B-46F5-AB09-BAF470D4C499}"=-
"{2CB20708-0E4A-4CED-8895-BD0CE56CA03A}"=-
"{2D435565-83FE-429D-A766-6DE6E63B27B1}"=-
"{2F7AA254-18AE-4EE3-A19C-2E1D7FCD9C6B}"=-
"{37436B4A-8AE6-47FA-9204-607F69909DB1}"=-
"{3D210791-F655-47BF-8A4E-E1ACBE81BEC3}"=-
"{4D48507D-D47E-4A9B-9122-5A39612D9ECB}"=-
"{4DA5C706-5854-43C4-BEED-E0857478E35D}"=-
"{4E277B1F-CB29-48CD-AD3E-F098ECB0290A}"=-
"{505DE2F8-A4A8-45EF-82BA-20602FFF7ABB}"=-
"{520F453D-9283-4C67-9CEE-2C6A67BCAE17}"=-
"{5366B273-EFDE-4186-A0ED-0C0DA908683C}"=-
"{54BA778C-FDAA-4567-8A78-609C33646E98}"=-
"{56C68129-2913-490A-966E-B4DC0560FAEA}"=-
"{5738F8BE-5DBD-468F-8E7F-00E4A8E22376}"=-
"{57429F4E-79D1-4E28-AF76-44F29A4ADBE5}"=-
"{578507D8-14A9-40F3-9981-0C6B6166733E}"=-
"{5B8370E8-954E-4CCF-86D9-3024AC8B8648}"=-
"{5C658D45-EFC4-4002-9796-D3C5C9C3E29C}"=-
"{5CEE5DD4-45AB-4752-A492-F126CE217F98}"=-
"{603A0B61-A422-45EB-8DBA-784F06199A86}"=-
"{6B1E68D3-6430-4E9A-B6B7-A14B6FBEFB7A}"=-
"{6D85936D-F482-4D14-B18E-6C338E2B3C8F}"=-
"{6F2BBB69-7D33-4F1F-A755-292F99F5C0B6}"=-
"{76B6F957-1413-456C-AC4A-440F7A08D3F6}"=-
"{7B941570-D358-4CEE-90FE-18031598DFCF}"=-
"{7CCE0F1F-1EB7-4F73-B371-0B1E205FE94B}"=-
"{879B53F8-BD94-418C-812E-36B8FFB4A1C1}"=-
"{900ED8AB-DC73-42EC-810B-DCD844086FAC}"=-
"{90D0B742-D9FD-46EA-90EE-31A7044F57D8}"=-
"{9215C186-67F3-44E4-B05F-FFC5AD3B713C}"=-
"{A0E13E08-E118-45D2-A971-1E6FB640F4F2}"=-
"{A8C87837-E994-4178-8270-020984AF8281}"=-
"{ADD862B4-5DA5-49FB-96BB-BE1A111C3516}"=-
"{B0F5EB5B-DB26-4E46-8A7A-7A0A4E2EFB2B}"=-
"{B408E741-4979-4992-84F1-FDB0DF9FCF44}"=-
"{B67074F3-8F82-4328-95D9-16A0105A7579}"=-
"{BF048CDD-B097-4ED7-9439-54FB3E38EC56}"=-
"{C63BBE76-DAA3-4C07-87EF-C9DA1370E338}"=-
"{C7BEFE89-B216-4930-8BC3-479B7097541A}"=-
"{C8F4DE89-FD04-48D9-A1C7-6D244E690C3E}"=-
"{CDFAC1E2-4763-44B9-847B-0D5D70BE94CB}"=-
"{D30298F6-DBA8-4F30-AE38-DAE7259DA670}"=-
"{D7C1FDAD-B855-4CAB-9B3C-A793855D5D22}"=-
"{DBC88E03-0FAF-4E72-9F29-92EA259F163C}"=-
"{DD02ABEF-15DD-4BEB-94D1-07F0225DC003}"=-
"{DED9F689-F250-43C4-9FE3-32FB20F3A62F}"=-
"{E06C33F2-0DD3-47AF-8D20-F98E4CB6A967}"=-
"{E22F6572-78B0-4702-BB82-FB68584C1FFF}"=-
"{E66691FB-38B9-4B3C-8A86-614F6415814F}"=-
"{EAE85897-9683-4B8F-8A66-AF11A70FD6C5}"=-
"{F1C5DB45-3893-417C-9166-1851DB7F737C}"=-
"{F63ECE2C-324D-4FDC-B959-BD85E45B2D90}"=-
"{FE387B0D-B60A-4A82-AE04-73CB51240019}"=-
"{FE7CFD9C-F4AD-42F6-9FB1-67E4A5FC5607}"=-
"{FEF30049-CC37-4603-9250-9C25D294519D}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"eDealsPop_is1"=-
"????"=-
 
:Commands
[EMPTYTEMP]
[purity]
[Reboot]

  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.

 
Ссылка на сообщение
Поделиться на другие сайты

но каким то боком он еще жив.

Папки на самом деле уже нет. Запись в установка и удаление программ могла остаться ее можно удалить. 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Grohr
      От Grohr
      Антивирус стал ругаться на попытку открытия вредоносной ссылки, хотя я работал в других окнах, к браузеру не прикасался.
       
      Потом эти попытки повторились, происходят при открытом хроме (на скриншоте).
       
      Событие: Обнаружена ранее открытая вредоносная ссылка
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Не обработано
      Тип: Возможна неправомерная загрузка ПО
      Название:
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: s.gif?userid=&media=banner
      Путь к объекту:
      Причина: Облачная защита
       
      Пока пишу пост - произошла попытка скачать некое ПО.
       
      Событие: Загрузка остановлена
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: https://px802lp6y0yna586vss.crossmh.ru/s.gif?userid=&media=banner
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: s.gif?userid=&media=banner
      Путь к объекту: https://px802lp6y0yna586vss.crossmh.ru
      Причина: Облачная защита
       
      Помогите пожалуйста, что это может быть. Перед этим в комп вставлял якобы новую флешку.
       

    • Filip2p
      От Filip2p
      Здравствуйте. Вот уже продолжительное время борюсь с скрытой угрозой MEM: Trojan.Win32.SEPEH.gen. Пользуюсь Kspesky free. Переодически антивирус находит вирус, пробовал разные метоты лечения. Но вирус востанавливается и вновь съедает ресурсы ПК. Краем глаза, иногда, замечаю как на долю секунды открывается командная строка (предположение) и исчезает. Пользуюсь ноутбуком, в простое куллера шумят на всю, стоит активировать ноутбук шум прекращается. Просканировал пк Farbar может пригодиться, прежде чем создавать тему, читал форум, без помощи специалистов наврядли что получится. 
      Addition.txt FRST.txt
    • eliyyahoo
      От eliyyahoo
      Добрый день!
      В корпоративной системе поддержки пользователей мне не могут помочь уже 2 месяца.
      KES 11 определяет программный комплекс для расчета систем тягового электроснабжения "КОРТЭС" (разработка АО "ВНИИЖТ") как вредоносное ПО и удаляет его программные модули без предупреждения.
      Возможно ли внести указанный программный комплекс в исключения как доверенное ПО и распространить через обновления для пользователей ОАО "РЖД"?
      Спасибо!
       
    • Rayled
      От Rayled
      Добрый день!
      Сегодня надо было зайти на сайт kaspersky.ru, чтобы купить (продлить) лицензию. Вбил в яндексе "касперский", первой строкой выдало их рекламу, по ней и нажал, но вместо нужного сайта меня редиректнуло на "https://5015.xg4ken.com/media/redir.php?prof=..." (ссылка длинная, копировать всю не стал,  вместо точек там дальше куча команд, общая длина URL составила 788 символов). Экран браузера при этом стал чёрным. Прикрепляю видео всего этого. Проверил в Яндекс.браузере, Опере, Хроме, Файерфоксе - результат идентичный.
       
      Решил узнать что такое xg4ken.com и выдало, что это вредоносный рекламный софт, который редиректит в браузере на левые страницы вместо искомых. Почитал инструкции по избавлению о проблеме, но что-то там довольно мутно всё написано, утилиты какие-то предлагают ставить... Решил для начала сделать полную проверку диска С с помощью KIS, но результата это не дало, ничего не найдено (скрин прилагаю).
       
      Скажите, пожалуйста, ваши мысли по этому поводу и если у меня действительно на ПК проник вредоносный софт, то как от него избавиться. Заранее спасибо!

      каспер.mp4
    • Блохина Татьяна
      От Блохина Татьяна
      Добрый вечер !
      На компе случайно была установлена Опера и после этого стала появляться программа с китайскими иероглифами... Частично мне ее удалось устранить путем остановки служб в Проводнике и запусками программ деинсталляции в ее каталоге. Но полностью папку Baidy не удается удалить, требует разрешения Администратора и как будто "сидит" где-то в автозапуске... Обнаружила что это папка находится в Programm Files. Высылаю необходимый файл логов. Комп проверила Касперским и провела очистку диска.
       
      CollectionLog-2014.08.13-17.36.zip

×
×
  • Создать...