Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Złośliwe oprogramowanie Baidu, instalacja niechcianych programów + wysyp reklam.

julian

Przez julian
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

julian

julian

Opublikowano
Opublikowano

Witam,

wczoraj podczas próby instalacji gry zainstalował mi się złośliwy program.Chiński "antywirus" Baidu od razu zaczął instalację masy niechcianych programów, które próbuję na bieżąco odinstalowywać . Dodatkowo zaczął zasypywać mnie reklamami . Nim udało mi się odnaleźć to forum próbowałem wyleczyć komputer za pomocą Dr Web LTD. Wykrył on i usunął koło 12 trojanów i zarażonych plików . Niestety nie pomogło to . Kolejnym krokiem było użycie ADWCleaner, wynik i finalny efekt był taki sam jak poprzednio.

 

Dlatego zwracam się do was z ogromną prośbą o pomoc w mojej nieprzyjemnej sytuacji. Mam nadzieję, że dzięki waszej pomocnej dłoni uda się pozbyć tych problemów i przywrócić poprawne działanie systemu  :) .

 

Dodaję do załączników wymagane pliki. Starałem się robić wszystko zgodnie z instrukcjami zamieszczonymi na forum.Plik wynikowy z GMER ma ponad 4.8 MB więc nie wiem na razie jak go tutaj zamieścić.

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
jessica

jessica

Opublikowano
Opublikowano

https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/

Źle trafiłeś, bo, jak widzisz, nie wiadomo kiedy @Picasso lub @Naathim, zaczną pomagać.

 

zaraz przejrzę te logi ...

 

w międzyczasie log GMER rozbij na kilka części, i każdą część (tekst) oddzielnie wklejaj na http://wklejto.pl/, a w poście daj tylko linki.(czyli skopiuj adres z paska adresów).

 

1) Odinstaluj niepotrzebny do niczego Akamai NetSession Interface

 

2) Odinstaluj:
 

  Cytat

Advanced-System Protector (HKLM-x32\...\00212D92-C5D8-4ff4-AE50-B20F0F85C40A_Systweak_Ad~9338DF9D_is1) (Version: 2.1.1000.15680 - systweak.com) <==== ATTENTION

 

 

3) Daję do usuwania wszystko "chińskie"

Otwórz Notatnik i wklej w nim:

  Pokaż ukrytą zawartość


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób nowe logi FRST

 

jessi

Odnośnik do komentarza
julian

julian

Opublikowano
  • Autor
Opublikowano

 Zauważyłem że na tamtej stronie pokazuje jedynie 350 linijek kodu więc wyszło by bardzo dużo linków.Udało mi się podzielić plik GMER na 4 pliki tekstowe mam nadzieję że tak też będzie dobrze :) .

 

Zapoznałem się z sytuacją jaka aktualnie jest , ale miałem nadzieję że jednak ktoś postara mi się pomóc . Dlatego dziękuję za szybkie zainteresowanie.

GMER1.txtPobieranie informacji ...

GMER2.txtPobieranie informacji ...

GMER3.txtPobieranie informacji ...

GMER4.txtPobieranie informacji ...

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

Tak, z usunięciem tego będzie problem.

 

1) Spróbuj użyć AppRemover http://www.appremover.com/get/appremover.exe

(https://www.fixitpc.pl/topic/8716-skuteczne-usuwanie-programow-antywirusowych/)

Nie wiem, czy "chińczyka" też usuwa.

 

2) >>GMER>>
Rozwiń>>>zakładka CMD>>zaznacz CMD ---w górne czarne pole wklej to:

 

  Pokaż ukrytą zawartość

 

Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.

 

Jeśli to zadziała, to zrobisz nowe logi FRST.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

1) Spróbuj usunąć przy pomocy Revo Uninstaller http://www.revouninstaller.com/revo_uninstaller_free_download.html

 

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

3) Ściągnij BlitzBlank http://www.mediafire.com/download/h9nsqk7fagfpcuq/BlitzBlank.exe

Uruchom BlitzBlank i w karcie Script wklej:

  Pokaż ukrytą zawartość



Klik w Execute Now. Zatwierdź restart komputera.

Daj wynikowy log z BlitzBlank
 

jessi

Odnośnik do komentarza
julian

julian

Opublikowano
  • Autor
Opublikowano

Przepraszam, że tak długo nie odpisywałem, musiałem wyjść załatwić pewną sprawę .

 

Niestety Revo nie widzi tego programu. Użyłem Adw-cleanera wykryło kilka plików skasowało je . Próbowałem użyć BlitzBlanka niestety po wciśnięciu przycisku Execute Now wyskakuje komunikat "Syntax error in line 17, Invalid file path.

 

Przesyłam plik wynikowy z Adw-cleanera

AdwCleanerS1.txtPobieranie informacji ...

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

Uruchom BlitzBlank i w karcie Script wklej:

  Pokaż ukrytą zawartość


Klik w Execute Now. Zatwierdź restart komputera.
Daj wynikowy log z BlitzBlank.

 

Otwórz Notatnik i wklej w nim:

  Pokaż ukrytą zawartość


Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób nowe logi FRST - już bez Shortcut.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano
  W dniu 21.06.2015 o 07:02, julian napisał(a):

W BlitzBlank wyskakuje znowu ten sam komunikat tym razem linia 15.

Jeśli jest możliwość ominięcia tej linii w Blitz, to omiń.

 

Jeśli nie da się ominąć, to będziemy próbować robić po jednej linijce oddzielnie.

Najpierw:

Uruchom BlitzBlank i w karcie Script wklej:

 

  Pokaż ukrytą zawartość

 

Klik w Execute Now. Zatwierdź restart komputera.

 

Jeśli to się powiedzie, to przejdziemy do następnej komendy:

Uruchom BlitzBlank i w karcie Script wklej:

 

  Pokaż ukrytą zawartość

 

Klik w Execute Now. Zatwierdź restart komputera.

 

Jeśli i to przejdzie bez zgrzytów, to zrobisz log z FRST - zobaczymy, czy to się da w ogóle usuwać.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano
  W dniu 21.06.2015 o 08:25, julian napisał(a):

. Drugi script pokazuje błąd "Syntax error in line 1, Unknown comand"

No tak, tam w ogóle nie dałam komendy - przeoczyłam to.

 

zaraz przejrzę logi

...

  Cytat
R2 BaiduHips; C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe [64008 2015-06-19] (百度在线网络技术(北京)有限公司)

R2 BDKVRTP; C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\BaiduSdSvc.exe [793096 2015-06-19] (百度在线网络技术(北京)有限公司)

Literka "R" oznacza, że deaktywacja się nie powiodła.

 

Tak więc nie ma żadnych szans na usunięcie tych "chińczyków".

 

Teoretycznie możesz jeszcze spróbować w Trybie Awaryjnym (F8 przed startem Systemu), ale nie wiem, czy to coś da.

 

Nic tu już nie wymyślę,

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano
  W dniu 21.06.2015 o 08:41, julian napisał(a):

Rozumiem że czeka mnie przeinstalowanie systemu  :( .

Może kiedyś zajrzy tu jeszcze @Picasso i coś wymyśli?

 

Użyj  > MBAM

Podczas instalacji usuń zaznaczenie z okienka przy "Uruchom okres testowy Malwarebytes Anti-Malware Premium".

Zaznacz wszystko co wykryje, kliknij na Usuń zaznaczone.

 

Skąd to "diabelstwo" ściągnąłeś?

 

W necie jest dużo stron "jak usunąć baidu", ale żadnego z tych sposobów nie próbowałam, więc być może to tylko fikcyjne sposoby

 

jessi

Odnośnik do komentarza
julian

julian

Opublikowano
  • Autor
Opublikowano

Pobrałem to razem z grą z dobrze znanej nam wszystkim strony. Niestety MBAM nie wykrył tego czegoś.

 

Twoja pomoc jednak przyniosła jakiś rezultat bo już mi się nie uruchamia ten program i nie ma tych złośliwych reklam w przeglądarce. A wiec jednak nie jest takie nie zniszczalne ;) 

 

Dziękuję  za próbę pomocy, mam nadzieję, że jeszcze zostanie znalezione jakieś rozwiązanie jak się tego pozbyć.

Odnośnik do komentarza
julian

julian

Opublikowano
  • Autor
Opublikowano

Faktycznie program FRST nie tworzy mi ani nie nadpisuje plików, zrobiłem to ręcznie. Przeglądałem trochę folder tego programu Baidu natrafiłem na aplikację uninstal. Stwierdziłem, że mogę zaryzykować i tak już nie nie tracę, metodą prób i błędów klikając w Chińskie szlaczki udało mi się coś z tego odinstalować. Pozostały jeszcze jakieś pliki i wpisy. 

 

Może teraz będzie łatwiej pozbyć się tego i wyczyścić komputer :)

 

Proszę o to nowe logi.

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

1) Odinstaluj te programy:

bestadblocker (HKLM-x32\...\{4820778D-AB0D-6D18-C316-52A6A0E1D507}) (Version:  - ) <==== ATTENTION

PriceMinus (HKLM-x32\...\{06B99631-BFA2-3B7A-F58B-D067C2BA59B7}) (Version:  - ) <==== ATTENTION

 

2) Teraz sytuacja jest gorsza, bo Rejestr jest uszkodzony.

 

3) Otwórz Notatnik i wklej w nim:

 

  Cytat
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{0215A4C0-5431-4FD0-9B06-46589B5C4939}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{048ED0E0-12CF-4C0F-9FFA-947C2FBE8C8E}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{071339A1-1946-44B2-B63E-50459B15DB86}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{08A60FF7-BB37-44F4-9759-0ADA6C7B9CC9}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{0B38CACA-3D3C-48EA-BEB5-7D95F4F6EE15}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{0C3393F8-94F5-4B79-8C01-49A2D0CC0FE9}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{0D555CE0-304A-47A6-858B-B145209A3982}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{1D6DFD6A-9E16-435A-9327-6FFEC6BA372F}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{1E5724EA-3423-4BD3-ABD6-46E650D2DC66}\InprocServer32 -> AcETransmit.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{1E8A29BA-827D-4031-A4A3-AE7999B402F6}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{1EA072EE-57FD-495E-889C-8243C3BDBDBC}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{1FD7F53F-7ED5-439C-9A77-A3821CD09E98}\InprocServer32 -> axdb.dll No File
CustomCLSID: HKU\S-1-5-21-740415962-4211020823-285711137-1000_Classes\CLSID\{20E47D5B-529A-45BD-8E77-BF1A3064A008}\InprocServer32 -> axdb.dll No File
Task: {206BD9BA-3369-4EEA-9418-432E9ED4A72A} - \globalUpdateUpdateTaskMachineCore No Task File <==== ATTENTION
Task: {C9035508-4077-43DB-A39B-AB0CFB809E62} - \globalUpdateUpdateTaskMachineUA No Task File <==== ATTENTION
Task: C:\Windows\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{a57a407d-0a1c-410c-a57a-a407d0a101f4}\f1_2014_pc_-_-_game (1).exe <==== ATTENTION
c:\programdata\{a57a407d-0a1c-410c-a57a-a407d0a101f4}
C:\Program Files (x86)\Rising
C:\program files (x86)\common files\baidu
HKLM\...\Run: [baidusdTray] => "C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\baidusdTray.exe"  -stmd=3
C:\Program Files (x86)\Baidu
HKU\S-1-5-21-740415962-4211020823-285711137-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\nand\AppData\Local\Akamai\netsession_win.exe"
C:\Users\nand\AppData\Local\Akamai\netsession_win.exe
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-740415962-4211020823-285711137-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
BHO: PriceMinus -> {5AB30FD9-2AD4-49A7-AE9A-E5F4441922E5} -> C:\Program Files (x86)\PriceMinus\IiNVnZnl4GaN8a.x64.dll No File
BHO: bestadblocker -> {741C982F-4669-4217-86C1-686B4BCED847} -> C:\Program Files (x86)\bestadblocker\VuxJtDGlvspgrC.x64.dll [2015-06-19] ()
C:\Program Files (x86)\PriceMinus
C:\Program Files (x86)\bestadblocker
Locked "BFE" service could not be unlocked. <===== ATTENTION
U4 BaiduHips; C:\Program Files (x86)\Common Files\Baidu\BaiduHips\1.2.0.751\BaiduHips.exe [X]
U4 RsRavMon; "C:\Program Files (x86)\Rising\RAV\ravmond.exe" [X]
U1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [202576 2015-04-08] (Baidu)
U4 BDDefense; C:\Windows\System32\drivers\BDDefense.sys [103240 2015-04-08] (Baidu)
U1 bd0002; system32\DRIVERS\bd0002.sys [X]
U3 blzblk; \??\C:\Windows\system32\drivers\blzblk.sys [X]
U4 sysmon; system32\DRIVERS\sysmon.sys [X]
C:\Program Files (x86)\2db321c8-69b7-4dd1-acf8-4d551cdaf0f7
C:\Windows\system32\Drivers\bd0001.sys
C:\Windows\system32\Drivers\BDDefense.sys
C:\ProgramData\Baidu
C:\ProgramData\Rising
:\Windows\system32\Drivers\rsndisp.sys
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
 

 

4) Zrób nowe logi FRST.

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano
  W dniu 21.06.2015 o 12:07, julian napisał(a):

Nie instalowałem ich nawet , i nie widać ich w systemie jako zainstalowanych. 

są na liście Twoich programów - log Additional.txt.

 

możesz też ponownie użyć Adw-Cleaner.

 

dodatkowo:

Do Notatnika wklej:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

 

dopiero potem zrób nowe logi FRST.

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...