Problem z Baidu

[Puczo]

Wczoraj pobrałem coś z internetu i na komputerze zainstalował mi się jakiś chiński program Baidu (chyba to jakaś wyszukiwarka) z początku usunąłem ten program i zniknął. Ale po ponownym uruchomieniu komputera znów się pojawił. Próbowałem usuwać go programem Geek bo coś o tym szukałem w internecie, ale to także nic nie dało. Na forum znalazłem podobne tematy lecz one opierały się o skan FRST a u każdego taki skan wygląda inaczej a co za tym idzie plik fixlist.txt także będzie inny a sam takowego nie potrafię stworzyć.

 

 

Addition.txt

FRST.txt

[picasso]

Temat przenoszę do właściwego działu diagnostyki malware. O ile problem nadal aktualny, do przeprowadzenia następujące operacje:

 

1. Odinstaluj via Panel sterowania: AVG Web TuneUp (zbędny program AVG), Java 8 Update 66 (64-bit) (stara wersja), 百度 (to wpis od Baidu).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1941685375-2250058660-3908555107-1000\...\Run: [baiduClient] => C:\Users\Jan\AppData\Local\Baidu\BaiduClient\2.5.0.2084\Baidu.exe [672240 2016-08-14] (百度在线网络技术（北京）有限公司)
R2 BaiduService.exe; C:\Users\Jan\AppData\Local\Baidu\BaiduClient\2.5.0.2084\BaiduService.exe [241416 2016-08-14] (百度在线网络技术（北京）有限公司)
S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [52728 2016-08-14] (电脑管家)
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMUdisk64.sys [X]
S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\softaal64.sys [X]
S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\TsNetHlpX64.sys [X]
S3 VBAudioVACMME; system32\DRIVERS\vbaudio_cable64_win7.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
SearchScopes: HKU\S-1-5-21-1941685375-2250058660-3908555107-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={5B8ACFED-6EB2-4DAF-9700-20D44B34EF1C}&mid=162afed9292847cdbf5528d69271b0af-8d5f52727ba33efd0130e0a4f15b3668e02ce083&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1215tb&pr=fr&d=2015-05-10 16:40:40&v=4.2.8.608&pid=wtu&sg=&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1941685375-2250058660-3908555107-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={5B8ACFED-6EB2-4DAF-9700-20D44B34EF1C}&mid=162afed9292847cdbf5528d69271b0af-8d5f52727ba33efd0130e0a4f15b3668e02ce083&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1215tb&pr=fr&d=2015-05-10 16:40:40&v=4.2.8.608&pid=wtu&sg=&sap=dsp&q={searchTerms}
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> D:\Nowy folder (2)\bin\jp2ssv.dll => Brak pliku
Tcpip\..\Interfaces\{404F32C6-E321-4C80-904E-6D96F65448E7}: [NameServer] 133.130.91.20
Tcpip\..\Interfaces\{CE81AF90-980B-4EC7-BFAA-F278A8E7636D}: [NameServer] 133.130.91.20
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DisableService: PLAY ONLINE. RunOuc
C:\Program Files\Common Files\Tencent
C:\ProgramData\Baidu
C:\ProgramData\Tencent
C:\ProgramData\TXQMPC
C:\Users\Jan\AppData\Local\Baidu
C:\Users\Jan\AppData\Roaming\Baidu
C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\百度
C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\百度.lnk
C:\Windows\system32\Drivers\TFsFltX64.sys
C:\Windows\system32\Drivers\TSSKX64.sys
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale zaznacz pole Shortcut (poprzednio zabrakło tego raportu). Dołącz też plik fixlog.txt.

Edytowane 10 Października 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso