как избавиться от baidu 1.8.0.1255

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

c:\windows\system32\drivers\BDSafeBrowser.sys

c:\windows\system32\bd64_x64.dll

c:\windows\system32\bd64_x86.dll

c:\windows\system32\drivers\bd0004.sys

c:\windows\system32\drivers\BDMNetMon.sys

c:\windows\system32\drivers\BDArKit.sys

c:\windows\system32\drivers\bd0003.sys

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\bd0001.sys

c:\users\User\AppData\Local\amigo.bat

C:\launcher.bat

 

RegLock::

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\bd0003\Instances]



Driver::

RgFltX64

bd0004

BDArKit

BDMNetMon

BDSafeBrowser

bd0003

 

Folder::

c:\users\User\AppData\Roaming\Baidu

c:\users\User\AppData\Local\FinderMySQLSyntax

c:\programdata\Baidu

c:\program files (x86)\ШоппингГид

c:\users\User\AppData\Roaming\ap_logs

c:\program files (x86)\eDealsPop

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"eDealsPop"=-

 

FileLook::

 

DirLook::

C:\MagicPlusMini

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[psiflyfire]

вот 

ComboFix.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

 

Driver::

ControlRubyWindows.exe

PrivacyPythonSnapshot.exe

 

Folder::

c:\program files (x86)\ШоппингГид

C:\MagicPlusMini

 

Registry::

 

FileLook::

 

DirLook::

c:\users\User\AppData\Local\Pirates

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[psiflyfire]

вот

ComboFix.txt

[mike 1]

Эти 2 папки удалите вручную. 

c:\users\User\AppData\Local\Pirates
c:\program files (x86)\ШоппингГид

Сделайте свежий лог FixerBro. 

[psiflyfire]

вот 

FixerBro_20141001_.txt

[mike 1]

В Хроме удалите расширения Переводчик для Chrome 2, Аудио и видео скачивание. В Firefox если расширение The best games in one place незнакомо, то тоже лучше удалите его.

 

• Запустите повторно FixerBro by glax24.
  

  Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  
  
  

• Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив всех строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
  

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
  

• По окончанию удаления нажмите на кнопку "Отчет"
  

• Сохраните лог утилиты
  

• Прикрепите сохраненный отчет в вашей теме.
  

 

[psiflyfire]

вот. baidu  можно удалять? мозилы нет, как и хрома.  Аудио и видео скачивание - стояла как программа в системе грохнул.

 

baidu скрин

установил мозилу, грохнул  расширение.. и мозилу следом.. с хромом так не вышло.там нет не чего.. к интернету комп не подключаю.

вот новый отчет. вроде ситуация изменилась. после установки и удаления мозилы и хрома 

FixerBro_20141001 (5).txt

FixerBro_20141001 (6).txt

[mike 1]

baidu  можно удалять?

Мы его уже удалили с помощью Combofix. 

================================ [ Ярлыки ] =================================

C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk [C:\launcher.bat - (Объект запуска не найден)]

C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Амиго.lnk [C:\Users\User\AppData\Local\amigo.bat - (Объект запуска не найден)]

=============================================================================

Эти ярлыки отмечали галочками? На кнопку "Исправить" нажимали?

 

 

+

• Подготовьте лог OTL by OldTimer, как описано на этой странице.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

 

[psiflyfire]

удаляли. но каким то боком он еще жив.

на амиго нажимал. оперу не трогал

 

Extras.Txt

OTL.Txt

[mike 1]

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
• 
  

 

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

• В окно Custom Scans/Fixes скопируйте следующую информацию:

 

:processes
 
:OTL
IE - HKU\S-1-5-21-909482640-1447603759-1595511952-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: "URL" = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0ec387e79b87948b7b8a6e5ef88df672&text={searchTerms}
FF - HKLM\Software\MozillaPlugins\@baidu.com/BaidusdDetectNPPlugin:  File not found
[2014.02.10 16:14:42 | 000,000,000 | ---D | M] (Free Games 111) -- C:\Users\User\AppData\Roaming\mozilla\Extensions\freegames4357@BestOffers
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O18:[b]64bit:[/b] - Protocol\Handler\livecall - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\ms-itss - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\msnim - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlmailhtml - No CLSID value found
O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2014.09.30 03:32:26 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\newSI_2
[2014.02.10 15:54:11 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\newSI_4
 
:Services
 
:Files
[2014.02.10 16:14:42 | 000,000,000 | ---D | M] (Free Games 111) -- C:\Users\User\AppData\Roaming\mozilla\Extensions\freegames4357@BestOffers
[2014.09.30 03:32:26 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\newSI_2
[2014.02.10 15:54:11 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\newSI_4

recycler /alldrives
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{04719707-B188-4007-9EA4-B2C8CB785C8B}"=-
"{04BC1A6A-A999-4B40-8537-8B1B28212F0B}"=-
"{07861649-2C13-4069-A81D-6D88A953D6C9}"=-
"{0DC5807B-89C3-45A6-93E8-77D365F26F7A}"=-
"{148909E7-7B6A-4018-A36F-9F4B872ABD32}"=-
"{1AC6BC1D-05CC-476B-B32B-67D32CF2349B}"=-
"{1C6D7512-7E87-42B5-BDA3-A3105D69D816}"=-
"{21086B59-F174-4D44-9DAA-9139817CE9BE}"=-
"{2377A45B-46BB-48AE-B242-F4C2993E9E53}"=-
"{246E5140-387A-46A2-B8E9-4F263E5BF72B}"=-
"{27A07FDC-DB13-4ECD-809E-A8CF4CA13A2E}"=-
"{2B1D5DDB-F99B-429F-9B04-6148AD146624}"=-
"{2C3A8EB7-812B-46F5-AB09-BAF470D4C499}"=-
"{2CB20708-0E4A-4CED-8895-BD0CE56CA03A}"=-
"{2D435565-83FE-429D-A766-6DE6E63B27B1}"=-
"{2F7AA254-18AE-4EE3-A19C-2E1D7FCD9C6B}"=-
"{37436B4A-8AE6-47FA-9204-607F69909DB1}"=-
"{3D210791-F655-47BF-8A4E-E1ACBE81BEC3}"=-
"{4D48507D-D47E-4A9B-9122-5A39612D9ECB}"=-
"{4DA5C706-5854-43C4-BEED-E0857478E35D}"=-
"{4E277B1F-CB29-48CD-AD3E-F098ECB0290A}"=-
"{505DE2F8-A4A8-45EF-82BA-20602FFF7ABB}"=-
"{520F453D-9283-4C67-9CEE-2C6A67BCAE17}"=-
"{5366B273-EFDE-4186-A0ED-0C0DA908683C}"=-
"{54BA778C-FDAA-4567-8A78-609C33646E98}"=-
"{56C68129-2913-490A-966E-B4DC0560FAEA}"=-
"{5738F8BE-5DBD-468F-8E7F-00E4A8E22376}"=-
"{57429F4E-79D1-4E28-AF76-44F29A4ADBE5}"=-
"{578507D8-14A9-40F3-9981-0C6B6166733E}"=-
"{5B8370E8-954E-4CCF-86D9-3024AC8B8648}"=-
"{5C658D45-EFC4-4002-9796-D3C5C9C3E29C}"=-
"{5CEE5DD4-45AB-4752-A492-F126CE217F98}"=-
"{603A0B61-A422-45EB-8DBA-784F06199A86}"=-
"{6B1E68D3-6430-4E9A-B6B7-A14B6FBEFB7A}"=-
"{6D85936D-F482-4D14-B18E-6C338E2B3C8F}"=-
"{6F2BBB69-7D33-4F1F-A755-292F99F5C0B6}"=-
"{76B6F957-1413-456C-AC4A-440F7A08D3F6}"=-
"{7B941570-D358-4CEE-90FE-18031598DFCF}"=-
"{7CCE0F1F-1EB7-4F73-B371-0B1E205FE94B}"=-
"{879B53F8-BD94-418C-812E-36B8FFB4A1C1}"=-
"{900ED8AB-DC73-42EC-810B-DCD844086FAC}"=-
"{90D0B742-D9FD-46EA-90EE-31A7044F57D8}"=-
"{9215C186-67F3-44E4-B05F-FFC5AD3B713C}"=-
"{A0E13E08-E118-45D2-A971-1E6FB640F4F2}"=-
"{A8C87837-E994-4178-8270-020984AF8281}"=-
"{ADD862B4-5DA5-49FB-96BB-BE1A111C3516}"=-
"{B0F5EB5B-DB26-4E46-8A7A-7A0A4E2EFB2B}"=-
"{B408E741-4979-4992-84F1-FDB0DF9FCF44}"=-
"{B67074F3-8F82-4328-95D9-16A0105A7579}"=-
"{BF048CDD-B097-4ED7-9439-54FB3E38EC56}"=-
"{C63BBE76-DAA3-4C07-87EF-C9DA1370E338}"=-
"{C7BEFE89-B216-4930-8BC3-479B7097541A}"=-
"{C8F4DE89-FD04-48D9-A1C7-6D244E690C3E}"=-
"{CDFAC1E2-4763-44B9-847B-0D5D70BE94CB}"=-
"{D30298F6-DBA8-4F30-AE38-DAE7259DA670}"=-
"{D7C1FDAD-B855-4CAB-9B3C-A793855D5D22}"=-
"{DBC88E03-0FAF-4E72-9F29-92EA259F163C}"=-
"{DD02ABEF-15DD-4BEB-94D1-07F0225DC003}"=-
"{DED9F689-F250-43C4-9FE3-32FB20F3A62F}"=-
"{E06C33F2-0DD3-47AF-8D20-F98E4CB6A967}"=-
"{E22F6572-78B0-4702-BB82-FB68584C1FFF}"=-
"{E66691FB-38B9-4B3C-8A86-614F6415814F}"=-
"{EAE85897-9683-4B8F-8A66-AF11A70FD6C5}"=-
"{F1C5DB45-3893-417C-9166-1851DB7F737C}"=-
"{F63ECE2C-324D-4FDC-B959-BD85E45B2D90}"=-
"{FE387B0D-B60A-4A82-AE04-73CB51240019}"=-
"{FE7CFD9C-F4AD-42F6-9FB1-67E4A5FC5607}"=-
"{FEF30049-CC37-4603-9250-9C25D294519D}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"eDealsPop_is1"=-
"????"=-
 
:Commands
[EMPTYTEMP]
[purity]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"

• Компьютер перезагрузится.

• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.
• 
  

 

[psiflyfire]

лог

10012014_214424.log

[mike 1]

но каким то боком он еще жив.

Папки на самом деле уже нет. Запись в установка и удаление программ могла остаться ее можно удалить. 

[psiflyfire]

грохнул 9 веток в реестре с ним, что дальше?

[mike 1]

А что с проблемой?