Перейти к содержанию
Правила раздела

не удаляется файлы Baidu и при выборе ссылки открываются сайты с рекламой

Новенькая

От Новенькая
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Новенькая Новичок

Новенькая

Опубликовано
Опубликовано

Здравствуйте!

Прошу помочь удалить на C:\Program Files (x86) папки Baidu, BaiduEx и на C:\Program Files (x86)\Common Files\Baidu.

Также при выборе ссылок в интернете открываются сайты с рекламой - правда после переустановки браузера перестало, но думаю, что не надолго.

Проблема возникла, примерно с начала декабря.

Стоит Антивирус Касперский.

Файл во вложении.

Заранее благодарю.

CollectionLog-2014.12.13-01.40.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Ужас. Так загадить себе компьютер еще нужно постараться.
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin   
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Александр\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','');
 QuarantineFile('C:\Users\Александр\Desktop\всё\всякое\Downloads\hexxit_1_7_5.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.xoferif.bat','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.resworb.bat','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\Users\Александр\AppData\Local\Win_update\Win_update.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Local\Kometa\kometaup.exe','');
 QuarantineFile('C:\Users\Александр\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('C:\Program Files (x86)\BaiduEx\uninit.exe','');
 DeleteFile('C:\Windows\system32\drivers\ttnfd.sys','32');
 DeleteFile('C:\Windows\system32\drivers\storegidfilter.sys','32');
 DeleteFile('C:\Windows\system32\drivers\screentk.sys','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32');
 DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt64.dll','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\Users\Александр\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\Users\Александр\AppData\Local\Kometa\kometaup.exe','32');
 DeleteFile('C:\Users\Александр\AppData\Local\Win_update\Win_update.exe','32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.xoferif.bat','32');
 DeleteFile('C:\Users\Александр\Desktop\всё\всякое\Downloads\hexxit_1_7_5.exe','32');
 DeleteFile('c:\users\александр\appdata\local\baidu\baidu\1.3.1.157\Baidu.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\Tasks\VStart{A37B472A-8335-449F-9568-43ECC2907F06}.job','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\SaveSenseLiveUpdateTaskMachineUA','64');
 DeleteFile('C:\Users\Александр\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','32');
 DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{11292110-6F8D-4D56-863C-44902A1E7880}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pcket_x86');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BaiduAnTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baiduAnTray','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','baidusdTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_C0A18EF8E318A375D66A69ECC3DF11A6','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Loader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
 DeleteService('ttnfd');
 DeleteService('storegidfilter');
 DeleteService('screentk');
 DeleteFileMask('C:\Users\Александр\AppData\Local\Kometa', '*', true, ' ');
 DeleteFileMask('C:\Users\Александр\AppData\Local\Win_update', '*', true, ' ');
 DeleteFileMask('C:\Users\Александр\appdata\roaming\funspace', '*', true, ' ');
 DeleteDirectory('C:\Users\Александр\appdata\roaming\funspace');     
 DeleteDirectory('C:\Users\Александр\AppData\Local\Kometa');     
 DeleteDirectory('C:\Users\Александр\AppData\Local\Win_update');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1394868903&from=cor&uid=ST3750528AS_5VP3ENYRXXXX5VP3ENYR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411236000000.000007&tguid=85053-29529-1411300366463-10CDAF38D2BBB482B70795B32A7CC05F&st=chrome&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411236000000.000007&tguid=85053-29529-1411300366463-10CDAF38D2BBB482B70795B32A7CC05F&st=chrome&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411236000000.000007&tguid=85053-29529-1411300366463-10CDAF38D2BBB482B70795B32A7CC05F&st=chrome&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411236000000.000007&tguid=85053-29529-1411300366463-10CDAF38D2BBB482B70795B32A7CC05F&st=chrome&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=85053&st=home&tid=29529&ver=6.7&ts=1411236000000.000007&tguid=85053-29529-1411300366463-10CDAF38D2BBB482B70795B32A7CC05F
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411236000000.000007&tguid=85053-29529-1411300366463-10CDAF38D2BBB482B70795B32A7CC05F&st=chrome&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=85053&tid=29529&ver=6.7&ts=1411236000000.000007&tguid=85053-29529-1411300366463-10CDAF38D2BBB482B70795B32A7CC05F&st=chrome&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e71cc00d0b4d63aa0bfbc6e9fd6e703c&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e71cc00d0b4d63aa0bfbc6e9fd6e703c&text=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.7&ts=1411236000000.000007&tguid=85053-29529-1411300366463-10CDAF38D2BBB482B70795B32A7CC05F&q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.certified-toolbar.com?si=85053&st=bs&tid=29529&ver=6.7&ts=1411236000000.000007&tguid=85053-29529-1411300366463-10CDAF38D2BBB482B70795B32A7CC05F&q=%s
O2 - BHO: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files (x86)\WebConnect\WebConnectbho.dll
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files (x86)\Baidu\BaiduSd\2.1.0.3086\BaiduSdTray.exe"  -stmd=3
O4 - HKLM\..\Run: [BaiduAnTray] "C:\Program Files (x86)\Baidu\BaiduAn\3.0.0.3971\BaiduAnTray.exe"  -stmd=3
O4 - HKCU\..\Run: [pcket_x86] C:\Program Files (x86)\BaiduEx\uninit.exe
O4 - HKCU\..\Run: [pcket_x64] C:\Program Files\BaiduEx\uninit.exe
O4 - HKCU\..\Run: [Loader] C:\Users\Александр\Desktop\всё\всякое\Downloads\hexxit_1_7_5.exe
O4 - Startup: Win_update.lnk = ?
 
 

  • Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
  • Распакуйте архив с утилитой в отдельную папку
  • Запустите FixerBro

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В главном окне программы нажмите на кнопку "Проверить"
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
  • По окончанию сканирования нажмите на кнопку "Отчет".
  • Сохраните лог утилиты
  • Прикрепите сохраненный отчет в вашей теме.
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Boltov_
      [РЕШЕНО] Ни один сайт с антивирусниками не открывается
      От Boltov_
      Захотел проверить свой компьютер на наличие вирусного ПО, и заметил что не один сайт с ативирусниками не открывается, скачал доктор веб, просканил все, и заметил что некторые файлы не удаляются, и вылезает самораспаковывающейся архив.
       
      АвтоЛоггер не запускается даже в безопастном режиме, и даже если его переименовать.


    • ChaoticNeutral
      Многие сайты перестали открываться с включённым Kaspersky Internet Security
      От ChaoticNeutral
      Внезапно перестали открываться сайты в браузере хром при включённой защите Kaspersky Internet Security. На всякий случай проверила ещё microsoft edge, там то же самое. Ещё вчера всё было хорошо  Открывается, как ни странно, гугл. А вот сайт моего провайдера, гугловая почта, сайт касперского, яндекс и многое другое не открывается. В стиме также не загружается store. Это на Windows 10, подключение через кабель. На других устройствах (windows 11, android, ios) в той же локальной сети такой проблемы нет.
      Пробовала синхронизировать время на устройстве (adjust date\time - sync now). Пробовала отключать проверку защищённых соединений в настройках сети.
      Пока не понимаю, куда копать.
      P. S. При отправке сообщения отображалась ошибка "извините, что-то пошло не так". Поэтому получились дубликаты темы. К сожалению, не могу удалить их самостоятельно.
    • Андрей Фурсов
      После перезагрузки от касперского открываются не все сайты
      От Андрей Фурсов
      Добрый день, 
      Включил пк, батл нет и дискорд работали. В это время касперский предложил перезагрузится. 
      После перезагрузки перестал работать батл нет, дискорд и в принципе сайты типа Википедии и другие, но Ютуб например работает и работает телеграмм. При устранения неполадок от виндовс писало что параметры пк настроены правильно, но устройство или ресурс не отвечает. Теперь пишет что все работает, но все равно сайты не грузит. Перезагружал роутер и пк - не помогло. 
      Что делать? 
    • Александр Тихий
      Добавляются ссылки с рекламным содержанием в разметку сайта
      От Александр Тихий
      Сайт https://restoll.ru/. Работает под управлением CMS Битрикс + Аспро + много плагинов и самописа.
       
      Некоторое время назад сео-специалистами при анализе вебвизора Яндекс были обнаружены посторонние ссылки на страницах сайта. Во всех обнаруженных случаях это три ссылки с анкорами про онлайн-казино на главной странице сайта под слайдером https://skr.sh/sQ3AoBr2YUf После обновления страницы они исчезли. Поиск этих анкоров на других страницах и в коде не дал результатов.
       
      Сео-спецы пишут, что смогли увидеть ссылки только при разрешении как у пользователя 1138 на 712. Ссылок всегда по три, но они имеют разные анкоры и url (хотя все про казино). Вот эти удалось сохранить:
      https://petathome.ru/com/igrovye-avtomaty-onlayn-slot-81
      https://garantspecstroy.ru/com/kazino-onlayn-prilozhenie-83
      https://petathome.ru/com/igrovoy-avtomat-garazhi-skachat-besplatno-79
      https://petathome.ru/com/igrat-v-kazino-na-dengi-yandeks-dengi-20
       
      Но и я смог зафиксировать подобного рода ссылки на 2560х1440 с масштабом 125%. В моем случае код добавленных ссылок исключительно простой (скриншот😞
      <div id="footer" class="content foot footer"><ul><li><a href="https://markov-dom.com/pr/sildenafil-s3-otzyvy-forum-muzhchin-5b">силденафил с3 отзывы форум мужчин</a></li><li><a href="https://markov-dom.com/pr/tadalafil-cena-gde-kupit-af">тадалафил цена где купить</a></li><li><a href="https://markov-dom.com/pr/sildenafil-otzyvy-muzhchin-pri-razovom-primenenii-s-alkogolem-otzyvy-realnyh-lyudey-a5">силденафил отзывы мужчин при разовом применении с алкоголем отзывы реальных людей</a></li></ul></div> 
       
      Закономерности в появлении ссылок найти не удалось.
       
      Сайт был просканирован онлайн сканером DrWeb - вирусов найдено не было
       
      Сервер у нас выделенный, но хостер дедалик не предоставляет услуг по сканированию и удалению вирусов. Сервер управляется последней версией ISP Manager, в ней куплен модуль Dr. Web, который при сканировании ничего не обнаружил. Ручной поиск вредоноса к успеху не привел и идеи у меня закончились. 
       
      Может быть уважаемые пользователи форума сталкивались с подобными случаями или знают как с этим бороться. Будем благодарны за помощь.
       
    • Auyr
      Синий экран с ошибкой DCP_WATCH, а также появление файла deafult.rpd, при сканировании обнаружен троян, постоянно возникают в большом количестве ссылки в истории браузера
      От Auyr
      Здраствуйте, хочу уточнить, что на данный момент актуальная проблема это обнаруженный троян утилитой "Kaspersky Virus Removal Tool"(прикрепляю все скрины) , а также я проверил с помощью avz 4 мне также выдали 2 файла с трояном, также меня очень волнует в истории браузера при заходе на свою страницу "Вконтакте" возникают в огромном количестве непонятные ссылки каждую минуту около 100 штук, при переходе на которые ведут на начальную страницу со входом в аккаунт "ВК"(прикрепляю ссылки) такое я замечал еще ранее, на протяжении года минимум, также 30.04.24 возник экран смерти с ошибкой DCP_WATCH_violation (я перезагрузил ПК, далее подозрительных действий не наблюдалось)
      Скажу что был случай заражения вирусом в 2021 году в то время я снес виндоувс, (отформатировал полностью системный диск С) однако я не стал форматировать второй диск D, и вот сегодня 11.05 решил также проверить диск D и обнаружил как раз остатки трояна, однако до сегодняшнего момента очень явных признаков я не наблюдал (на протяжении 3 лет) , только если сослаться на торможение слегка своего ПК
      Скажу что использую базовую версию антивируса платного Касперский.
      Насчет файла default.rpd я взял сохраненное сообщение на другом форуме где мне не помогли привожу его ниже:
      """""Началось 2 июня 2023 , когда сидел в discord я начал демонстрацию экрана и заметил roaming window (предложено было дискордом демонстрировать данное окно, которое было черное) далее я начал проверку avz и когда она подходила к концу, неожиданно в чате дискорда началось печатания каких то букв , в этот момент я ничего не писал( клавиатура чиста, это не техника) текст был такой примерно "еуеуеуеуеуеуеу" далее я заметил в скрытых значках сенсорную клавиатуру, её значок ( у меня windows 10) которую я не открывал и не мог ее закрыть долгое время(сенсорная клавиатура появилась задолго до этого момента , я просто не обращал внимания) , далее я решил просто удалить старый антивирус бесплатный dr web и установил пробную версию премиум касперского и после этого вроде других действий не замечал до момента когда в папку документов появился скрытый документ default.rpd с размером 0 кб и созданием в тот момент когда я возился с проверками (2 июня ночью)""""
      Также уточню что 10.05.24 (вчера) установил solidworks крякнутый в сайта diakov (я уже пользовался им, проверенный, устанавливал офисы2016 и adobe), там я вводил какие то изменения в реестр по инструкции, ссылался на локальный хост, отключал сеть, программа работает. 
      Внизу прикладываю также скрины найденных файлов вирусных разными сканерами - avz(отдельно сканировал им без аутологгера)--2 файла удаленных привожу полное наименование одного из (CWindowsservicingLCUPackage_for_RollupFix~31bf3856ad364e35~amd64~~19041.4291.1.10amd64_microsoft-windows-m..nt-browser.appxmain_31bf3856ad364e35_10.0.19041.3636_none_708b8c01b2212346fsquare44x44logo.targetsize-48_altform-unplated_contrast-white.png)
      Если возникнут вопросы отвечу на всё и попытаюсь быстро реагировать 





      CollectionLog-2024.05.11-12.53.zip
×
×
  • Создать...