Cansado do Baidu e Outras Ferramentas?

Venho nesse artigo expressar minha grande indignação sobre diversas ferramentas que são embutidas em softwares mais utilizados no dia a dia do usuário e profissionais de TI. Quem nunca tentou baixar uma ferramenta e não encheu o computador de softwares indesejados e algumas vezes maliciosos.

O Baidu é um dos pioneiros e mais conhecidos entre os usuários, como o software mais chato e invasor. Entendemos que a empresa possui ferramentas de segurança, mas a forma de ser instalada causa indignação e medo. Veja alguns exemplos e imagens de alguns clientes que instalaram essa ferramenta, através de algum outro software:

Versão Baidu chinês:

01Processos no “Gerenciador do Windows”:

02No “Painel de Controle” do Windows:

03Em “Serviços” no Windows:

04

Regras no Firewall do Windows criadas automaticamente:

05A grande pergunta é: Como podemos nos unir e acabar com essa praga?  

Gostaria abrir esse post para tentarmos coletar e discutir opiniões. Podemos compartilhar nos comentários ferramentas para nos livrar e proteger dessas pragas que atrasam o dia a dia do profissional e até mesmo o usuário comum.

Alguns casos de mudanças de página inicial, acabam deixando os usuários que não possuem um conhecimento técnico, ficam totalmente reféns dessas ferramentas. Já pegamos casos que mesmo alterando, registros, ícones, complementos, mecanismos de busca, entre outros…a página só voltou ao normal, após uma varredura com SpyHunter apontando todos os caminhos, e acreditem, não eram poucos arquivos.

Grande abraço a todos e ajudem a compartilhar.

  • Alexandre Smialoski

    Bom dia Vinicius!

    Tempos atrás passei pelo mesmo problema de ser “invadido” por estes tipos de programas. Eu perdi uns dois dias até conseguir remover estes programas e realmente, uma pessoa com pouco conhecimento técnico não conseguiria remover e ficaria refém destes programas.

    Ótima iniciativa esta para compartilharmos as ferramentas e métodos para remoção destes programas.

    Abraço!

    • Legal, Alexandre.

      Obrigado e vamos tentar juntar grandes ferramentas, pois isso está cada dia pior.

  • AndreHBuss

    O legal seria a Microsoft criar um FixIt

  • Alex Faleiro

    Olá Vinicius,

    Normalmente utilizo o “RevoUninstaller” para remover o programa totalmente do computador (incluindo os registros). Utilizo o CCleaner para verificar os itens que inicializam com o Windows e para saber qual o pasta de execução/instalação dos softwares que estão executando sem seu consentimento.
    Sem falar que, eles adicionam linhas após as “(aspas)” no atalho dos seus navegadores substituindo qualquer pagina inicial ou buscador padrão de qualquer um. Para resolver tal situação, é só deletar tudo que houver após as “(aspas)”.

    Abraços,

    Alex Faleiro
    IT Analyst
    Network Administrator

    • Obrigado por responder Alex. Agora o negócio está mais chato ainda, antes tirando apenas as “aspas” funcionava, agora ele engloba em outros complementos que acabam não saindo. Essa semana já peguei em 5 estações esse problema, bem provável que muitas pessoas ainda vão encarar isso logo a frente. Obrigado por compartilhar a sua experiência.

  • Jonatas

    Ola pessoal
    a solução que encontrei, foi efetuando os bloqueios no próprio firewall, onde bloqueio os ip destas ferramentas, (hao123, baidu, pcfaster dentre outros) quando não tenho firewall no cliente, uso o arquivo hosts do windows para fazer o bloqueio.

    180.76.2.25 BAIDU
    220.181.111.86
    46.28.209.15 PC-PERFORMER-DRIVER-SCANNER
    96.45.82.5
    208.94.116.112 DEALPLY
    66.77.197.179 DELTA-TOOL-BAR
    69.28.58.74 22FIND
    95.130.75.74 IMINENT
    50.23.103.20 FUNMOODS
    173.255.138.100
    174.37.174.84
    174.127.102.228
    66.235.120.127 ASK-TOOL-BAR

    • Ola Jonatas,

      Obrigado pelas dicas e por compartilhar sua experiência.

      • Thiago Lima

        Muito bom Jonatas, apliquei aqui no firewall e resolvi os problemas de uma só vez!
        Obrigado a você e Vinicius por compartilhar.

  • Realmente esse tipo de aplicação é algo complicado de se resolver. Acho pouco provável (praticamente impossível) a Microsoft fazer um fix impedindo esse tipo de instalação, visto que virará uma briga de gato e rato, bloqueia isso as empresas criarão outra forma de fazer a mesma coisa, assim como usuário sempre acha algum sistema para burlar o proxy das empresas e acessar o facebook por exemplo.

    O melhor a se fazer realmente é impedir a instalação de aplicativos pelo usuário e deixar a instalação apenas pelos profissionais de TI (mesmo que isso aumente a mão de obra) e utilização de programas como o próprio desinstalador do CCleaner por exemplo para a remoção desses lixos.

  • Ricardo Araujo

    Boa Tarde a todos, tenho que apoiar a iniciativa, pois realmente cada vez mais não temos problemas físicos em pcs,temos lentidão defasagem e principalmente Vírus Spyware e etc.

    Recentemente ,como em anos não aparecia algo tão chato ,peguei 2 PCS que me deram míseras 8 horas de trabalho a fio. ” Poderia Formatar, más preferi entender e analisar onde a praga estava atacando”.

    Como neste comentário http://www.linhadefensiva.org/forum/topic/162797-remover-searchult/

    Segue a Pior de todas SearchULT seguido de Top8844,hao123,Jogostempo.
    Chamado de sequestrador de sites, muitos sendo criados na Romenia,segundo fontes google.
    Nem Combofix, nem outras comum a todos.

    Só consegui remover usando uma ferramenta que desconfiei do seu potencial adwcleaner_4.202.

    Segue 2 logs das 2 maquinas ,caso alguém queira confirmar e remover na unha, linha a linha sem rodar a ferramenta.

    # AdwCleaner v4.202 – Relatório criado 24/04/2015 às 18:14:24
    # Atualizado 23/04/2015 por Xplode
    # Base de dados : 2015-04-23.2 [Servidor]
    # Sistema operacional : Windows 7 Ultimate Service Pack 1 (x64)
    # Usuário : Win7 – AUGUSTO
    # Executando de : E:\adwcleaner_4.202.exe
    # Opção : Limpar

    ***** [ Serviços ] *****

    [#] Serviço Excluído : cherimoya

    ***** [ Arquivos / Pastas ] *****

    Pasta Excluído : C:\ProgramData\Browser
    Pasta Excluído : C:\ProgramData\QuickSet
    Pasta Excluído : C:\ProgramData\SoftSafe
    Pasta Excluído : C:\ProgramData\DeleteAd
    Pasta Excluído : C:\ProgramData\222101e900001d5d
    Pasta Excluído : C:\ProgramData\375df28c5eb1313c
    Pasta Excluído : C:\ProgramData\3989611529618141500
    Pasta Excluído : C:\ProgramData\426afee00000238e
    Pasta Excluído : C:\ProgramData\6d07f9d400001fa1
    Pasta Excluído : C:\Program Files (x86)\DigiSaver
    Pasta Excluído : C:\Program Files (x86)\predm
    Pasta Excluído : C:\Program Files (x86)\50Cooupons
    Pasta Excluído : C:\Program Files (x86)\DDiiscountEXtaensi
    Pasta Excluído : C:\Program Files (x86)\DeAlEExpress
    Pasta Excluído : C:\Program Files (x86)\DiscioiuntExteennsi
    Pasta Excluído : C:\Program Files (x86)\DownSSaavve
    Pasta Excluído : C:\Program Files (x86)\EXstraSaviNigs
    Pasta Excluído : C:\Program Files (x86)\Fun2Savee
    Pasta Excluído : C:\Program Files (x86)\Fuun2Savve
    Pasta Excluído : C:\Program Files (x86)\GrrEatSavE4U
    Pasta Excluído : C:\Program Files (x86)\Happpy2Save
    Pasta Excluído : C:\Program Files (x86)\MinIMumPricee
    Pasta Excluído : C:\Program Files (x86)\MinimumPricei
    Pasta Excluído : C:\Program Files (x86)\MionimumPrrice
    Pasta Excluído : C:\Program Files (x86)\NeewSaver
    Pasta Excluído : C:\Program Files (x86)\REgularDeals
    Pasta Excluído : C:\Program Files (x86)\ReguolarDeals
    Pasta Excluído : C:\Program Files (x86)\TakETheCoaupOOn
    Pasta Excluído : C:\Program Files (x86)\TakeTheCOuponu
    Pasta Excluído : C:\Program Files\shopperz
    Pasta Excluído : C:\Users\Win7\AppData\Roaming\ASP
    Pasta Excluído : C:\Users\Win7\AppData\Roaming\EZDownloader
    Pasta Excluído : C:\Users\Win7\AppData\Roaming\pdfforge
    Pasta Excluído : C:\Users\Win7\AppData\Roaming\Mozilla\Firefox\Profiles\ur01hfzw.default\Extensions\[email protected]
    Pasta Excluído : C:\Users\Win7\AppData\Roaming\Mozilla\Firefox\Profiles\ur01hfzw.default\Extensions\[email protected]
    Pasta Excluído : C:\Users\Win7\AppData\Roaming\Mozilla\Firefox\Profiles\ur01hfzw.default\Extensions\[email protected]
    Pasta Excluído : C:\Users\Win7\AppData\Roaming\Mozilla\Firefox\Profiles\ur01hfzw.default\Extensions\[email protected]
    Pasta Excluído : C:\Users\Win7\AppData\Roaming\Mozilla\Firefox\Profiles\ur01hfzw.default\Extensions\[email protected]
    Pasta Excluído : C:\Users\Win7\AppData\Roaming\Mozilla\Firefox\Profiles\ur01hfzw.default\Extensions\[email protected]
    Arquivo Excluído : C:\Windows\Reimage.ini
    Arquivo Excluído : C:\Windows\System32\roboot64.exe
    Arquivo Excluído : C:\Program Files (x86)\Mozilla Firefox\searchplugins\mystartsearch.xml
    Arquivo Excluído : C:\Users\Win7\AppData\Roaming\Mozilla\Firefox\Profiles\ug0knicq.default\user.js
    Arquivo Excluído : C:\Users\Win7\AppData\Roaming\Mozilla\Firefox\Profiles\ur01hfzw.default\user.js

    ***** [ Tarefas agendadas ] *****

    Tarefa Apagado : LaunchSignup

    ***** [ Atalhos ] *****

    ***** [ Registro ] *****

    Valor Apagado : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [[email protected]]
    Valor Apagado : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{5081D2D4-1637-404c-B74F-50526718257D}]
    Valor Apagado : [x64] HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{5081D2D4-1637-404c-B74F-50526718257D}]
    Chave Apagado : HKLM\SOFTWARE\Classes\speedupmypc
    Chave Apagado : HKLM\SOFTWARE\Classes\AppID\REI_AxControl.DLL
    Chave Apagado : HKLM\SOFTWARE\Classes\P137e73a3_4462_4546_b061_b9c5341e248f_.P137e73a3_4462_4546_b061_b9c5341e248f_
    Chave Apagado : HKLM\SOFTWARE\Classes\P137e73a3_4462_4546_b061_b9c5341e248f_.P137e73a3_4462_4546_b061_b9c5341e248f_.9
    Chave Apagado : HKLM\SOFTWARE\Classes\P23e436ea_0306_47bc_93d6_a5dd0fa824b2_.P23e436ea_0306_47bc_93d6_a5dd0fa824b2_
    Chave Apagado : HKLM\SOFTWARE\Classes\P23e436ea_0306_47bc_93d6_a5dd0fa824b2_.P23e436ea_0306_47bc_93d6_a5dd0fa824b2_.9
    Chave Apagado : HKLM\SOFTWARE\Classes\P325bfae9_c825_41db_a61a_34c442eddc86_.P325bfae9_c825_41db_a61a_34c442eddc86_
    Chave Apagado : HKLM\SOFTWARE\Classes\P325bfae9_c825_41db_a61a_34c442eddc86_.P325bfae9_c825_41db_a61a_34c442eddc86_.9
    Chave Apagado : HKLM\SOFTWARE\Classes\Pbfca58f4_5709_46fa_b3b1_6b8e58012c5b_.Pbfca58f4_5709_46fa_b3b1_6b8e58012c5b_
    Chave Apagado : HKLM\SOFTWARE\Classes\Pbfca58f4_5709_46fa_b3b1_6b8e58012c5b_.Pbfca58f4_5709_46fa_b3b1_6b8e58012c5b_.9
    Chave Apagado : HKLM\SOFTWARE\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{051E9166-B275-4683-907B-372FAE22BC7C}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{137e73a3-4462-4546-b061-b9c5341e248f}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{23e436ea-0306-47bc-93d6-a5dd0fa824b2}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{325bfae9-c825-41db-a61a-34c442eddc86}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{bfca58f4-5709-46fa-b3b1-6b8e58012c5b}
    Chave Apagado : HKLM\SOFTWARE\Classes\Interface\{E4C3E50F-5761-4BF8-95A0-939A819DF1C3}
    Chave Apagado : HKLM\SOFTWARE\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
    Chave Apagado : HKLM\SOFTWARE\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{9AE7A6AE-162E-44C4-9A2B-A6B4EF19909D}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{230332DF-D235-47EE-BC42-60860EF144CD}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{41F978F3-431A-4464-A789-5C0692D562FB}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{5157DEF6-4D45-4AE0-982B-227A3458A01B}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{5D6736D5-0D77-46CE-9906-C4B2C679BF88}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{89310413-97E0-4F09-AA75-390A7F4D4918}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{DD1CFE82-CC89-497D-9573-B8B1867DDA09}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{E0D6077D-7186-48B2-A6C6-2F7C533E8CFF}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{FCE74B5F-13A9-47C3-B69E-5210C1EECBEF}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{137e73a3-4462-4546-b061-b9c5341e248f}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{23e436ea-0306-47bc-93d6-a5dd0fa824b2}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{325bfae9-c825-41db-a61a-34c442eddc86}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72f6a033-766a-41db-9a71-d841c9d8dab3}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bfca58f4-5709-46fa-b3b1-6b8e58012c5b}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c5173e64-829d-4657-8341-8a8ed68f2bfa}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DEDAF650-12B8-48F5-A843-BBA100716106}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{137e73a3-4462-4546-b061-b9c5341e248f}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{23e436ea-0306-47bc-93d6-a5dd0fa824b2}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{325bfae9-c825-41db-a61a-34c442eddc86}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{72f6a033-766a-41db-9a71-d841c9d8dab3}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{bfca58f4-5709-46fa-b3b1-6b8e58012c5b}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5173e64-829d-4657-8341-8a8ed68f2bfa}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DEDAF650-12B8-48F5-A843-BBA100716106}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{137e73a3-4462-4546-b061-b9c5341e248f}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{23e436ea-0306-47bc-93d6-a5dd0fa824b2}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{325bfae9-c825-41db-a61a-34c442eddc86}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{72f6a033-766a-41db-9a71-d841c9d8dab3}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{bfca58f4-5709-46fa-b3b1-6b8e58012c5b}
    Chave Apagado : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{c5173e64-829d-4657-8341-8a8ed68f2bfa}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{137e73a3-4462-4546-b061-b9c5341e248f}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{23e436ea-0306-47bc-93d6-a5dd0fa824b2}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{325bfae9-c825-41db-a61a-34c442eddc86}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{72f6a033-766a-41db-9a71-d841c9d8dab3}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{bfca58f4-5709-46fa-b3b1-6b8e58012c5b}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{c5173e64-829d-4657-8341-8a8ed68f2bfa}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\CLSID\{051E9166-B275-4683-907B-372FAE22BC7C}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\CLSID\{137e73a3-4462-4546-b061-b9c5341e248f}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\CLSID\{23e436ea-0306-47bc-93d6-a5dd0fa824b2}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\CLSID\{325bfae9-c825-41db-a61a-34c442eddc86}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\CLSID\{72f6a033-766a-41db-9a71-d841c9d8dab3}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\CLSID\{bfca58f4-5709-46fa-b3b1-6b8e58012c5b}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\CLSID\{c5173e64-829d-4657-8341-8a8ed68f2bfa}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\Interface\{E4C3E50F-5761-4BF8-95A0-939A819DF1C3}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
    Chave Apagado : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{137e73a3-4462-4546-b061-b9c5341e248f}
    Chave Apagado : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{23e436ea-0306-47bc-93d6-a5dd0fa824b2}
    Chave Apagado : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{325bfae9-c825-41db-a61a-34c442eddc86}
    Chave Apagado : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72f6a033-766a-41db-9a71-d841c9d8dab3}
    Chave Apagado : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bfca58f4-5709-46fa-b3b1-6b8e58012c5b}
    Chave Apagado : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c5173e64-829d-4657-8341-8a8ed68f2bfa}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}
    Chave Apagado : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
    Chave Apagado : HKCU\Software\Conduit
    Chave Apagado : HKCU\Software\systweak
    Chave Apagado : HKCU\Software\TutoTag
    Chave Apagado : HKCU\Software\Reimage
    Chave Apagado : HKCU\Software\GAMESDESKTOP
    Chave Apagado : HKCU\Software\Wnkey
    Chave Apagado : HKCU\Software\Baidu
    Chave Apagado : HKCU\Software\TNT2
    Chave Apagado : HKCU\Software\DownLite
    Chave Apagado : HKCU\Software\{4E7638A1-6962-4e44-A6B9-F40E84FD6D09}
    Chave Apagado : HKCU\Software\Local AppWizard-Generated Applications
    Chave Apagado : HKCU\Software\AppDataLow\{4A0F38A9-FE55-4B89-B73F-E60FDC0F72E9}
    Chave Apagado : HKCU\Software\AppDataLow\SProtector
    Chave Apagado : HKCU\Software\AppDataLow\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}
    Chave Apagado : HKLM\SOFTWARE\SProtector
    Chave Apagado : HKLM\SOFTWARE\systweak
    Chave Apagado : HKLM\SOFTWARE\Tutorials
    Chave Apagado : HKLM\SOFTWARE\mystartsearchSoftware
    Chave Apagado : HKU\.DEFAULT\Software\{4E7638A1-6962-4e44-A6B9-F40E84FD6D09}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{AD11DADE-C597-45D9-D8C5-1D2EB0B89613}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{90120000-00B2-0409-0000-0000000FF1CE}
    Chave Apagado : [x64] HKLM\SOFTWARE\Reimage

    ***** [ Navegadores ] *****

    -\\ Internet Explorer v11.0.9600.17728

    Configuração Restaurado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
    Configuração Restaurado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
    Configuração Restaurado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
    Configuração Restaurado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
    Configuração Restaurado : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
    Configuração Restaurado : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
    Configuração Restaurado : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
    Configuração Restaurado : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

    -\\ Mozilla Firefox v8.0 (pt-BR)

    [ur01hfzw.default\prefs.js] – Linha Apagado : user_pref(“browser.search.defaultenginename”, “WebSearch”);
    [ur01hfzw.default\prefs.js] – Linha Apagado : user_pref(“browser.search.defaultenginename,S”, “WebSearch”);
    [ur01hfzw.default\prefs.js] – Linha Apagado : user_pref(“browser.search.defaulturl”, “hxxp://websearch.searchfix.info/?unqvl=63&idate=2015/01/09&l=1&q=”);
    [ur01hfzw.default\prefs.js] – Linha Apagado : user_pref(“browser.search.order.1”, “WebSearch”);
    [ur01hfzw.default\prefs.js] – Linha Apagado : user_pref(“browser.search.order.1,S”, “WebSearch”);
    [ur01hfzw.default\prefs.js] – Linha Apagado : user_pref(“browser.search.selectedEngine”, “WebSearch”);
    [ur01hfzw.default\prefs.js] – Linha Apagado : user_pref(“browser.search.selectedEngine,S”, “WebSearch”);
    [ur01hfzw.default\prefs.js] – Linha Apagado : user_pref(“keyword.URL”, “hxxp://websearch.searchfix.info/?unqvl=63&idate=2015/01/09&l=1&q=”);

    -\\ Google Chrome v35.0.1916.114

    [C:\Users\Win7\AppData\Local\Google\Chrome\User Data\Default\Web Data] – Apagado [Search Provider] : hxxp://br.ask.com/web?q={searchTerms}

    *************************

    AdwCleaner[R0].txt – [16858 bytes] – [24/04/2015 18:12:14]
    AdwCleaner[S0].txt – [14913 bytes] – [24/04/2015 18:14:24]

    ########## EOF – C:\AdwCleaner\AdwCleaner[S0].txt – [14973 bytes] ##########

    ********************************************************************************

    # AdwCleaner v4.202 – Relatório criado 23/04/2015 às 22:33:11
    # Atualizado 23/04/2015 por Xplode
    # Base de dados : 2015-04-23.2 [Servidor]
    # Sistema operacional : Windows 8.1 Single Language (x64)
    # Usuário : Reh & Gih – RACING
    # Executando de : C:\Users\Reh & Gih\Downloads\adwcleaner_4.202.exe
    # Opção : Limpar

    ***** [ Serviços ] *****

    ***** [ Arquivos / Pastas ] *****

    Pasta Excluído : C:\Users\Convidado\AppData\Roaming\Systweak
    Pasta Excluído : C:\Users\Reh & Gih\AppData\Roaming\pdfforge
    Arquivo Excluído : C:\WINDOWS\System32\roboot64.exe

    ***** [ Tarefas agendadas ] *****

    ***** [ Atalhos ] *****

    ***** [ Registro ] *****

    Chave Apagado : HKLM\SOFTWARE\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk
    Chave Apagado : [x64] HKLM\SOFTWARE\Google\Chrome\Extensions\flliilndjeohchalpbbcdekjklbdgfkk
    Chave Apagado : HKLM\SOFTWARE\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
    Chave Apagado : HKLM\SOFTWARE\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{02A96331-0CA6-40E2-A87D-C224601985EB}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61}
    Chave Apagado : HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762}
    Chave Apagado : HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
    Chave Apagado : HKLM\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5645E0E7-FC12-43BF-A6E4-F9751942B298}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
    Chave Apagado : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}
    Chave Apagado : [x64] HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8}
    Chave Apagado : HKCU\Software\systweak
    Chave Apagado : HKCU\Software\Local AppWizard-Generated Applications
    Chave Apagado : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
    Chave Apagado : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
    Chave Apagado : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}
    Chave Apagado : HKLM\SOFTWARE\SupDp
    Chave Apagado : HKLM\SOFTWARE\Clara

    ***** [ Navegadores ] *****

    -\\ Internet Explorer v11.0.9600.17416

    -\\ Mozilla Firefox v

    -\\ Google Chrome v42.0.2311.90

    *************************

    AdwCleaner[R0].txt – [3327 bytes] – [23/04/2015 22:31:03]
    AdwCleaner[S0].txt – [3028 bytes] – [23/04/2015 22:33:11]

    ########## EOF – C:\AdwCleaner\AdwCleaner[S0].txt – [3087 bytes] ##########

    • Ola Ricardo,

      Obrigado por compartilhar sua experiência conosco.

  • Pedro Vasconcelos

    Vinicius, uso muito o Combofix. Ele ajuda demais.

    O difícil é quando essas ferramentas instalam serviços que modificam algum arquivo binário do computador, haja dor de cabeça para remover.

  • Marlon Heimlich

    Além das dicas dos amigos acima, eu sempre dou uma olhada no agendado de tarefas, pois eles sempre criam tarefas para reinstalar a “praga”. Dou um passeio no registro também é apago na unha mesmo.

    Acho que deveria ter uma espécie de “lei da Internet” que proibisse a prática, pois além de ser um saco, penso ser uma invasão de privacidade visto que o próprio executável já está preparado para instalar algo que a maioria dos usuários desconhecem. Não sei se seria possível algo do tipo, mas um boicote global da ferramenta X ou Y.

    Enquanto isso, continuamos perdendo o resto dos cabelos.

    Abraços!

  • BAIDU = UDIABO RSSS.

  • wellington

    Boa noite
    o adwcleaner resolve em apenas dois cliques , so recomendo para quem usa lo em ambiente corporativo dar uma conferida no que ele acusa pois ele como outros que fazem varredura e limpeza automatizada acabam levando arquivos de softwares e chaves de registros achando que os mesmo são maliciosos apenas pelo motivo deles terem que abrir portas para fazer a comunicação cliente servidor .

  • Ricardo Vargas

    Se já entrou, é bem complicado para usuário comum resolver, ainda mais quando entra bastante adware.

    Quando faço a remoção para meus clientes, sigo essa linha: Se tiver tempo suficiente, sempre que possível passo um anti-virus baseado em linux (de preferência kaspersky e/ou bitdefender), geralmente remove os mais complicados e afundo que atrapalham o sistema.

    Depois entro pelo modo de segurança para iniciar o acabamento. Removo pelo painel de controle aqueles que aceitam ser removidos, restauro os navegadores e o perfil do usuário (google chrome é windows + R %localappdata%\google\chrome) apago a pasta “user”.

    Utilizo também o AdwCleaner para remover alguns registros e pastas que se são varias por sinal. Não da pra fazer manualmente (pelo menos pra mim).

    Pelo gerenciador de tarefas, procuro processos desconhecidos. Caso eu tenha algo estranho, localizo o que seja, e se eu não souber, faço uma pesquisar na web, se por ventura for porcaria anoto o nome e o local.
    Inicio pelo live cd do linux (pendrive hj em dia, rsrs) vou na “unidade C:” através do sistema do pinguim e recorto o arquivo para um outro local, por exemplo, para outro pendrive. Por segurança mantenho o arquivo(s) até iniciar o windows novamente e verifico se apresentou algum tipo de anomalia no sistema. Porém antes de sair do linux, eu apago as pasta “Recicler.bin e “System Volume Information”!
    Acreditem se quiser, já reparei sistemas que apresentavam problemas de navegação (não navega) somente apagando essas pastas (claro, cada caso é um caso). Essas pastas guardam “restos” de arquivos, o que leva em alguns casos, o vírus, mesmo depois de apagado pelo seu anti-vírus, ter facilmente ficado ativo nessas pastas, enfim já é um outro assunto.

    Também pelo live CD do linux, da pra vc apagar pastas que não foram aceitas ser excluídas no windows. E afinal, o sistema de busca de arquivos no linux é maravilhoso. (lembrando que eu sempre recorto para um outro lugar, pendrive por exemplo, como se fosse um backup, caso venha apresentar alguma anomalia, posso voltar).

    Por fim, instalo o Wise Disk Cleaner, faço desfragmentação full, e as limpezas.

    PS: Para Windows 7… se possível, inicio uma mídia do windows compatível e faço um chkdsk /f /r na unidade onde esta alocado o sistema. Depois de ter escolhido o idioma é teclado certo na instalação do windows, basta apertar Shift + f10 e o cmd abrirá, digite “regedit”, onde será aberto o editor de registros, clique com o botão direito em “computador” e depois exportar, dai abrirá a janela do “Explorer.exe”, vá até em Computador e veja em qual unidade ira esta o windows instalado, clique com o botão direito, vá em propriedades, “ferramentas” e “verificar disco” marque as duas caixas e deixa fazer até concluir. Pode ser feita pelo cmd tbm, basta digitar qual unidade esta o windows, por exemplo, esta na “D:” vc vai e digita no cmd “D:” sem aspas e aperte enter, dai escreva chkdsk /f /r e der enter, caso venha pedir para força a desmontagem, de sim ou yes.

    Outra maneira, é fazer estes passos é criar um novo usuário, depois migra os arquivos e programas e delete o antigo.

    Valeu galera! Lembre-se, a verdadeira internet é uma pessoa ajudando a outra sempre que possível…

    • Ola Ricardo,

      Obrigado por compartilhar sua experiência. A equipe CooperaTI agradece.

    • Artur de Souza Aragão

      O Kaspersky é a melhor escolha para antivírus. E, se entrou. Use sempre a versão mais atual do Kaspersky Removal Tool que pode ser baixado neste link “C:\Users\artur_000\Desktop\Lançamentos”.
      E, não custa nada pagar R$ 130,00 anuais para se ter ótima proteção real em seu computador.

  • Artur de Souza Aragão

    Prezados,

    Quero dar minha contribuição.

    3 ótimas ferramentas que utilizo hoje na remoção de malwares e junkwares (considero como malware, mas estes são os legais justo por você ter aceitado instalá-los na sua estação), são:

    – Junkware Removal Tool
    – ADWCleaner
    – Malware Bytes

    Passe eles justamente nesta ordem. Você pode escolher em qual particularmente executar, mas esta é que eu considero mais efetiva.

    Outro detalhe! O JRT fecha qualquer serviço remoto identificado. Ao menos identifiquei isto apenas com o VNC, não sei se o TeamViewer age desta mesma forma. Então, se estiver provendo um serviço remoto, tenha a certeza de ter outros meios de devolver o serviço a sua normalidade e/ou acesso a estação.

  • Artur de Souza Aragão

    O Baidu e outros aplicativos entendidos como junkwares, possuem EULA e por este mesmo motivo, quando damos o OK ou o NEXT na instalação, sem desmarcar aquelas aplicações listadas nos checkboxes, estamos literalmente aceitando que instalemos no computador. Antivírus nenhum automaticamente remove estas coisas. Existem como opcionais a ativação de recursos no antivírus do fabricante (cada empresa trabalha com um tipo de tecnologia e nome para a mesma) que evita que softwares potencialmente danosos realizem modificações que possam trazer problemas potenciais ao sistema operacional e seu ambiente.

  • Artur de Souza Aragão

    Algo que eu gostaria de ver aqui é uma coisa que cada vez tem crescido mais. Como lidar com o sequestro de DNS quando ele ocorre no seu roteador da operadora. Como proceder frente a isto.

    Muito estão passando por redirecionamentos de sites achando que existe um vírus em seu ambiente, quando na realidade ele está localidade no seu roteador. Foi uma experiência recente que me fez identificar algo neste nível em um cliente com sua banda larga. Não vou expor o provedor por medidas éticas e morais. Só posso dizer que é uma que considero uma das piores no RJ e não é a OI. :3

    • Ola Artur,

      Já escrevemos sobre esse problema de invasão no roteador e mudança de DNS. Veja o link abaixo:

      http://www.cooperati.com.br/2015/03/02/site-bradesco-clonado-problema-de-dns-e-nao-no-bradesco/

      • Artur de Souza Aragão

        Opa! Valeu Mozart!!!!
        Eu já havia lido sobre isto. Mas, e quando o cliente não possui acesso ao seu roteador como aconteceu na validade de minha parte com este cliente? Entramos em contato com a operadora que relatou que um problema estava ocorrendo na região e que após a tratativa, dependendo da resolução dada, eles encaminhariam um analista na localidade. Eu orientei para que quando isto ocorresse, entrassem em contato comigo.

        A forma que eu tive como matar este problema, foi simples, mas nem todos dispões de um segundo link para acesso.

        Em nosso caso o problema ocorria em alguns sites, em principal do UOL, onde na parte superior central e no canto inferior direito apareciam comerciais em russo de análise gráfica de algum índice e/ou sobre bombas musculares, entre outros. Realizamos o acesso pela base 3G e este problema simplesmente desapareceu.

        Eu sou especializado, mas confesso que foi a 1ª vez que vi algo sobre isto. O que me levou a realizar o telefonema para a operadora reclamando do fato, foi que nas resoluções DNS de qualquer site não era devolvido o endereço IP e vice-versa. O que me deixou mais preocupado ainda.

        Alertei ao cliente insistir sistematicamente para que realizassem a correção o quanto antes possível e que não acessassem qualquer site de banco ou de troca de informações pessoais e confidenciais.

        Agradeço a ajuda mais uma vez.

        Existe uma ferramenta que ajudou também e que é válido vocês realizarem o teste. É esta aqui da F-Secure.
        https://campaigns.f-secure.com/router-checker/

        Se existem outros ferramentais que possam ajudar seria de bom grado se pudessem indica-las aqui. Estou compartilhando os frutos de minha experiência, pois sei que isto poderá ajudar a muitas outras pessoas e até profissionais no atendimento adequado de seus clientes.

  • Wagner

    Já removi também com o Junkware Removal Tool e Malware Bytes, ótimos programas e free….
    Uma pergunta…. Alguem. Já conseguiu remover ou pegou o atajitos…. O garoto é sinistro tbm para remover

  • Olá Vinicius e amigos de profissão.

    Acredito que a comunicação com os usuários podem ser um grande passo para evitar tais problemas, sempre passo a instrução para o usuário de não baixar nada de sites que não seja do próprio fabricante e evitar “baixaki”, “superdownloads” e etc.Prestar sempre atenção no processo de instalação, esquecer o NNF (next, next finish).
    Mas com tudo isso, como outro amigo citou antes, costumo utilizar o “RevoUninstaller”, porém antes disso faço um mapeamento dos programas que foram instalados na mesma data que o Baidu ou outros programas ligados ao mesmo.
    O Revo retira a maioria dos vestígios dos programas da maquina.
    Utilizo na sequência o CCleaner, dentro dele limpo todos os temporários, deixo salvo apenas os formulários de senhas, pois tive muitos problemas com usuários que não lembravam senha de nada depois de uma limpeza.
    Ainda no CCleaner, limpo os módulos que se iniciam com os browsers. Limpo as tarefas agendadas, pois sempre tem algo escondido ali..

    Espero poder ajudar.
    Abraços a todos.

  • Para quem é da área fica a dica, quando a necessidade de instalar uma software que possa ocorrer este tipo de problema, subo um máquina virtual e faço os teste necessários, eu utilizo este jogada para acessa site de banco, que fica exigindo o aplicativo de segurança.

  • Maicon

    Cara, eu uso o ADWCLEANER tem no site toolslib.net. ele limpa todas essas pragas, baidu e entre outros, é uma maravilha.

  • Muito legal a dica de todos. Outra dica para quer se afetado em Servidores é o Microsoft Safety. Esse é uma ferramenta online de gratuita. Segue link:

    http://www.microsoft.com/security/scanner/pt-br/default.aspx

  • Ricardo Ferrigno

    Pra mim a melhor alternativa é trabalhar logado com um usuário que não é administrador, só assim eu não caio nessas frias.

  • Ernane Velozo

    Não sei como dão credibilidade por uma coisa tão mal intencionada q nem essa tal de Baidu. É tudo, menos antivírus. Trava o computador e dá trabalho pra desinstalar depois… ódio!

  • Gustavo André Ronconi

    É sempre bom recomendar baixar a ferramenta que você precisa diretamente do site do fabricante, embora as vezes até este parece estar infectado por essa praga. Recomente utilizar o software ADWCleaner, muito bom para esses adwares inconvenientes.
    http://www.bleepingcomputer.com/download/adwcleaner/

  • Bruno Moselli

    Olá Pessoal!

    Uma forma de remover esses “invasores” seria remover o programa no painel de controle e depois criar um novo perfil de usuário, migrando os dados do usuário posteriormente.
    O método foi testado na maioria desses programas, incluindo o mais chato deles: searchult .
    Quanto a evitar a instalação ou atividade do programa, melhor maneira seria o bloqueio no firewall ou Iptables (Linux).

  • Sanderson

    Nossa, muito obrigada. A Baidu é uma praga que não quer sair do meu pc. Acho que agora consigo me livrar disso.

  • Kayke Santiago

    É a empresa mais desonesta da internet… Ela está é enriquecendo os técnicos de informática, que ganham dinheiro desisntalando pq as pessoas não conseguem desinstalar o Baidu.

  • Thayla

    Eu não aguento mais esse Baidu. Já foi horrível ter ele instalado sem o querer, e agora não sai de jeito nenhum. Vou tentr seu passo a passo e ver se eu consigo me livrar dessa praga de uma vez por todas.

  • Fabio

    Só não tinha mexido no firewall. Vamos lá, fazer tudo de novo hahaha. Acho que agora sai! \o/

  • Olivia Bergala

    Graças a Deus um jeito de arrancar essa praga da Baidu que instala sozinho.

  • Rosana Alencar

    Não aguento mais a Baidu no meu computador 🙁

  • Everson Ferreira

    Olha, espero que dê certo pq tá osso ficar dando de cara com a Baidu todo dia no pc do nada

  • Pingback: ()