Перейти к содержанию
Правила раздела

Удаление китайского антивируса Baidu

Даша Чикунова

От Даша Чикунова
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Даша Чикунова Новичок

Даша Чикунова

Опубликовано
Опубликовано

После стан.удаление этого антивируса,при открытии браузера переходит на стр. "badu.com", в центре безопасности Зашитника Виндоус отображается 2-ой антивирус, но его нет.

CollectionLog-2018.09.10-17.29.zip

post-51014-0-30974200-1536591987_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

kingsoft antivirus сами устанавливали?

HiJackThis (из каталога autologger)профиксить

O2 - HKLM\..\BHO: ExplorerBHO Class - {449D0D6E-2412-4E61-B68F-1CB625CD9E52} - (no file)
O2-32 - HKLM\..\BHO: ExplorerBHO Class - {449D0D6E-2412-4E61-B68F-1CB625CD9E52} - (no file)
O3 - HKLM\..\Toolbar: Classic Explorer Bar - {553891B7-A0D5-4526-BE18-D3CE461D6310} - (no file)
O3-32 - HKLM\..\Toolbar: Classic Explorer Bar - {553891B7-A0D5-4526-BE18-D3CE461D6310} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.
 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте, kingsoft antivirus был установлен в фоне при установке программы 25pp

Он вам нужен, спрашиваю из тех соображения, что использования более одного антивируса может негативно повлиять на работу ПК.

 

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Однако антивирус присутствует в системе. Проверьте пожалуйста если присутствует в каталоге:
 

c:\program files (x86)\kingsoft\kingsoft antivirus

Uninstaller (uni0nst.exe) для удаление антивируса. Если он присутствтует то запустите его для удаления антивируса. После этого выполняйте следующие инструкции:

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
(Kingsoft Corporation) C:\Program Files (x86)\kingsoft\kingsoft antivirus\kxescore.exe
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dljdacfojgikogldjffnkdcielnklkce] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
R0 bootsafe; C:\WINDOWS\System32\drivers\bootsafe64_ev.sys [125776 2018-09-08] (Kingsoft Corporation)
R0 KAVBootC; C:\WINDOWS\System32\Drivers\KAVBootC64_ev.sys [67912 2018-09-07] (Kingsoft Corporation)
R1 KDHacker; c:\program files (x86)\kingsoft\kingsoft antivirus\security\kxescan\KDHacker64_ev.sys [212192 2018-09-07] (Kingsoft Corporation)
R2 kisknl; C:\WINDOWS\system32\drivers\kisknl.sys [386376 2018-09-08] (Kingsoft Corporation)
R2 kisnetflt; c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksde\kisnetflt64.sys [289096 2018-09-08] (Kingsoft Corporation)
R1 kisnetm; c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64_ev.sys [127128 2018-09-07] (Kingsoft Corporation)
S3 ALSysIO; \??\C:\Users\Dr_John\AppData\Local\Temp\ALSysIO64.sys [X] <==== ATTENTION
Folder: C:\ProgramData\kdata
Folder: C:\Users\Dr_John\Documents\ihelper
Folder: C:\ProgramData\KRSHistory
2018-09-07 09:10 - 2018-09-07 09:09 - 002518344 _____ (Kingsoft Corporation) C:\WINDOWS\system32\ksafehmpg.dll
2018-09-07 09:09 - 2018-09-10 10:45 - 000000000 ____D C:\Users\Dr_John\AppData\Roaming\kingsoft
2018-09-07 09:09 - 2018-09-10 10:44 - 000000000 ____D C:\Users\Все пользователи\Kingsoft
2018-09-07 09:09 - 2018-09-10 10:44 - 000000000 ____D C:\ProgramData\Kingsoft
2018-09-07 09:09 - 2018-09-08 15:53 - 000289096 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetflt64.sys
2018-09-07 09:09 - 2018-09-08 15:53 - 000194920 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetflt.sys
2018-09-07 09:09 - 2018-09-08 15:52 - 000386376 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisknl_del.sys
2018-09-07 09:09 - 2018-09-08 15:52 - 000386376 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisknl.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000212192 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kdhacker64_ev.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000166624 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kdhacker_ev.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000138056 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000130720 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm_ev.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000127128 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetm64_ev.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000114488 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kisnetmxp.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000095048 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksapi64.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000067912 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kavbootc64_ev.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000058696 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\kavbootc_ev.sys
2018-09-07 09:09 - 2018-09-07 09:09 - 000019352 _____ (Kingsoft Corporation) C:\WINDOWS\system32\Drivers\ksskrpr.sys
Folder: C:\ProgramData\kdesk
2018-09-07 09:09 - 2018-09-07 09:09 - 000000000 ____D C:\Program Files (x86)\kingsoft
Folder: C:\Users\Dr_John\AppData\Roaming\ahelper
Folder: C:\Users\Dr_John\AppData\Roaming\Teiron
Folder: C:\Program Files (x86)\PP助手5.0
2018-09-10 17:25 - 2018-09-08 15:38 - 000913808 _____ (Kingsoft Corporation) C:\Users\Dr_John\AppData\Roaming\k3rdinsertwnd.dll
ContextMenuHandlers1: [kwansvc] -> {367F6AE2-6809-4bed-B09B-228893FB33DD} => c:\program files (x86)\kingsoft\kingsoft antivirus\kwansvc64.dll [2018-09-08] (Kingsoft Corporation)
ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} =>  -> No File
ContextMenuHandlers2: [duba_32bit] -> {D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4} =>  -> No File
ContextMenuHandlers2: [kwansvc] -> {367F6AE2-6809-4bed-B09B-228893FB33DD} => c:\program files (x86)\kingsoft\kingsoft antivirus\kwansvc64.dll [2018-09-08] (Kingsoft Corporation)
ContextMenuHandlers4: [kwansvc] -> {367F6AE2-6809-4bed-B09B-228893FB33DD} => c:\program files (x86)\kingsoft\kingsoft antivirus\kwansvc64.dll [2018-09-08] (Kingsoft Corporation)
ContextMenuHandlers5: [kwansvc] -> {367F6AE2-6809-4bed-B09B-228893FB33DD} => c:\program files (x86)\kingsoft\kingsoft antivirus\kwansvc64.dll [2018-09-08] (Kingsoft Corporation)
Task: {44BF6EB1-500C-46FC-9808-6873410746C0} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
2018-09-07 09:09 - 2018-09-07 09:09 - 000158368 _____ () c:\program files (x86)\kingsoft\kingsoft antivirus\zlib1.dll
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B755D674 [314]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Даша Чикунова Новичок

Даша Чикунова

Опубликовано
  • Автор
Опубликовано

 

Знаком Вам следующий каталог?

 

C:\Program Files (x86)\PP助手5.0

Нет, это что остаточные файлы от китайского антивируса?

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\PP助手5.0
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
Даша Чикунова Новичок

Даша Чикунова

Опубликовано
  • Автор
Опубликовано

 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\PP助手5.0
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Даша Чикунова Новичок

Даша Чикунова

Опубликовано
  • Автор
Опубликовано (изменено)

все посторонние файлы от китайской программы были удалены, но при запуске microsoft edge опять открывается сайт duba.com. adwcleaner_7.2.3.1 удаляет запись в реестре, но через какое-то время все опять повторяется

AdwCleanerC00.txt

AdwCleanerC01.txt

AdwCleanerS00.txt

AdwCleanerS01.txt

Изменено пользователем Даша Чикунова
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IStogov
      Почему не другой антивирус?
      От IStogov
      А здесь я предлагаю рассказать истории неудач.
      Почему же вы не пользуетесь чем-то еще кроме касперского. Как вы пользовались и случилось что-то страшное или не очень страшное, но очень обидное и вы перстали пользоваться каким-то антивирусом и перешли на Касперского.
      Не скрывайте, расскажите и вам станет легче, а люди поймут почему альтернативы Касперскому просто нет.
      пишите в этой теме
      А когда сайт строить будем вынесем возможность писать такие истории из форума куда нибудь повыше.
    • FredyFox
      Trojan.Multi.GenAutorunReg.a не лечится антивирусом
      От FredyFox
      Вирус не лечится. Все что пишется о нем - название и что сидит в System Memory. Все, что мог бы использовать для его удаления, закрывается моментально при попытке использовать. Могу пытаться что-то с этим сделать только в безопасном режиме
    • pacificae
      Удаленное включение защиты через KSC
      От pacificae
      Доброго времени. Исходные данные - на клиентском ПК отключил вручную защиту KES бессрочно. Вопрос - можно ли через KSC (в моем случае 13) включить защиту удалённо?
    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • androv
      Как управлять KES при удаленном подключении
      От androv
      Подключаюсь к серверу через Radmin VPN и нет доступа к KES. Помогите как это исправить.
×
×
  • Создать...