Удаление китайского антивируса Baidu

[Даша Чикунова 0]

После стан.удаление этого антивируса,при открытии браузера переходит на стр. "badu.com", в центре безопасности Зашитника Виндоус отображается 2-ой антивирус, но его нет.

• Kaspersky Virus Removal Tool 2015; ничего не нашел

CollectionLog-2018.09.10-17.29.zip

[SQ 831]

Здравствуйте,

kingsoft antivirus сами устанавливали?

HiJackThis (из каталога autologger)профиксить

O2 - HKLM\..\BHO: ExplorerBHO Class - {449D0D6E-2412-4E61-B68F-1CB625CD9E52} - (no file)
O2-32 - HKLM\..\BHO: ExplorerBHO Class - {449D0D6E-2412-4E61-B68F-1CB625CD9E52} - (no file)
O3 - HKLM\..\Toolbar: Classic Explorer Bar - {553891B7-A0D5-4526-BE18-D3CE461D6310} - (no file)
O3-32 - HKLM\..\Toolbar: Classic Explorer Bar - {553891B7-A0D5-4526-BE18-D3CE461D6310} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[Даша Чикунова 0]

Здравствуйте, kingsoft antivirus был установлен в фоне при установке программы 25pp

AdwCleanerS04.txt

[SQ 831]

Здравствуйте, kingsoft antivirus был установлен в фоне при установке программы 25pp

Он вам нужен, спрашиваю из тех соображения, что использования более одного антивируса может негативно повлиять на работу ПК.

 

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

 

[Даша Чикунова 0]

Нет, kingsoft antivirus был сразу же удален, мне Касперский Интернет Секьюрити устраивает.

FRST.txt

Addition.txt

[SQ 831]

Однако антивирус присутствует в системе. Проверьте пожалуйста если присутствует в каталоге:
 

c:\program files (x86)\kingsoft\kingsoft antivirus

Uninstaller (uni0nst.exe) для удаление антивируса. Если он присутствтует то запустите его для удаления антивируса. После этого выполняйте следующие инструкции:

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  (Kingsoft Corporation) C:\Program Files (x86)\kingsoft\kingsoft antivirus\kxescore.exe
  CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [dljdacfojgikogldjffnkdcielnklkce] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
  R0 bootsafe; C:\WINDOWS\System32\drivers\bootsafe64_ev.sys [125776 2018-09-08] (Kingsoft Corporation)
  R0 KAVBootC; C:\WINDOWS\System32\Drivers\KAVBootC64_ev.sys [67912 2018-09-07] (Kingsoft Corporation)
  R1 KDHacker; c:\program files (x86)\kingsoft\kingsoft antivirus\security\kxescan\KDHacker64_ev.sys [212192 2018-09-07] (Kingsoft Corporation)
  R2 kisknl; C:\WINDOWS\system32\drivers\kisknl.sys [386376 2018-09-08] (Kingsoft Corporation)
  R2 kisnetflt; c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksde\kisnetflt64.sys [289096 2018-09-08] (Kingsoft Corporation)
  R1 kisnetm; c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64_ev.sys [127128 2018-09-07] (Kingsoft Corporation)
  S3 ALSysIO; \??\C:\Users\Dr_John\AppData\Local\Temp\ALSysIO64.sys [X] <==== ATTENTION
  Folder: C:\ProgramData\kdata
  Folder: C:\Users\Dr_John\Documents\ihelper
  Folder: C:\ProgramData\KRSHistory
  2018-09-07 09:10 - 2018-09-07 09:09 - 002518344 _____ (Kingsoft Corporation) C:\WINDOWS\system32\ksafehmpg.dll
  2018-09-07 09:09 - 2018-09-10 10:45 - 000000000 ____D C:\Users\Dr_John\AppData\Roaming\kingsoft
  2018-09-07 09:09 - 2018-09-10 10:44 - 000000000 ____D C:\Users\Все пользователи\Kingsoft
  2018-09-07 09:09 - 2018-09-10 10:44 - 000000000 ____D C:\ProgramData\Kingsoft
  2018-09-07 09:09 - 2018-09-08 15:53 - 000289096 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetflt64.sys
  2018-09-07 09:09 - 2018-09-08 15:53 - 000194920 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetflt.sys
  2018-09-07 09:09 - 2018-09-08 15:52 - 000386376 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisknl_del.sys
  2018-09-07 09:09 - 2018-09-08 15:52 - 000386376 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisknl.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000212192 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kdhacker64_ev.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000166624 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kdhacker_ev.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000138056 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000130720 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm_ev.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000127128 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm64_ev.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000114488 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetmxp.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000095048 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi64.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000067912 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kavbootc64_ev.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000058696 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kavbootc_ev.sys
  2018-09-07 09:09 - 2018-09-07 09:09 - 000019352 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksskrpr.sys
  Folder: C:\ProgramData\kdesk
  2018-09-07 09:09 - 2018-09-07 09:09 - 000000000 ____D C:\Program Files (x86)\kingsoft
  Folder: C:\Users\Dr_John\AppData\Roaming\ahelper
  Folder: C:\Users\Dr_John\AppData\Roaming\Teiron
  Folder: C:\Program Files (x86)\PP助手5.0
  2018-09-10 17:25 - 2018-09-08 15:38 - 000913808 _____ (Kingsoft Corporation) C:\Users\Dr_John\AppData\Roaming\k3rdinsertwnd.dll
  ContextMenuHandlers1: [kwansvc] -> {367F6AE2-6809-4bed-B09B-228893FB33DD} => c:\program files (x86)\kingsoft\kingsoft antivirus\kwansvc64.dll [2018-09-08] (Kingsoft Corporation)
  ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} =>  -> No File
  ContextMenuHandlers2: [duba_32bit] -> {D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4} =>  -> No File
  ContextMenuHandlers2: [kwansvc] -> {367F6AE2-6809-4bed-B09B-228893FB33DD} => c:\program files (x86)\kingsoft\kingsoft antivirus\kwansvc64.dll [2018-09-08] (Kingsoft Corporation)
  ContextMenuHandlers4: [kwansvc] -> {367F6AE2-6809-4bed-B09B-228893FB33DD} => c:\program files (x86)\kingsoft\kingsoft antivirus\kwansvc64.dll [2018-09-08] (Kingsoft Corporation)
  ContextMenuHandlers5: [kwansvc] -> {367F6AE2-6809-4bed-B09B-228893FB33DD} => c:\program files (x86)\kingsoft\kingsoft antivirus\kwansvc64.dll [2018-09-08] (Kingsoft Corporation)
  Task: {44BF6EB1-500C-46FC-9808-6873410746C0} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
  2018-09-07 09:09 - 2018-09-07 09:09 - 000158368 _____ () c:\program files (x86)\kingsoft\kingsoft antivirus\zlib1.dll
  AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:B755D674 [314]
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Даша Чикунова 0]

kingsoft antivirus удалили

Fixlog.txt

[SQ 831]

Знаком Вам следующий каталог?
 

C:\Program Files (x86)\PP助手5.0

[Даша Чикунова 0]

 

Знаком Вам следующий каталог?

 

C:\Program Files (x86)\PP助手5.0

Нет, это что остаточные файлы от китайского антивируса?

[SQ 831]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  C:\Program Files (x86)\PP助手5.0
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Даша Чикунова 0]

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  C:\Program Files (x86)\PP助手5.0
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt

[SQ 831]

Сообщите, что с проблемой?

[Даша Чикунова 0]

все посторонние файлы от китайской программы были удалены, но при запуске microsoft edge опять открывается сайт duba.com. adwcleaner_7.2.3.1 удаляет запись в реестре, но через какое-то время все опять повторяется

AdwCleanerC00.txt

AdwCleanerC01.txt

AdwCleanerS00.txt

AdwCleanerS01.txt

Изменено 18 сентября, 2018 пользователем Даша Чикунова

[SQ 831]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[Даша Чикунова 0]

Вот полный образ автозапуска

DESKTOP-M0LKC51_2018-09-19_10-24-07_v4.0.17.7z