понедельник, 8 декабря 2014 г.

Как удалить "байду" от Baidu или китайский мусор на вашем ПК

В последнее время видел достаточно много ПК с различным установленным китайским ПО. Понятно что пользователи по собственному желанию его не устанавливают, поэтому я решил разобраться в причинах, что, где, зачем и откуда ноги растут. Первое что бросилось в глаза на всех этих ПК несколько системных служб и драйверов от Baidu, в том числе и некий Baidu Protect (?) (точное название сейчас не вспомню), который работает как служба / системный драйвер и запрещает удаление компонентов этой "байды". Вообщем набросал небольшой скриптик, который позволяет обойти защиту от удаления этой "байды", удалить основные компоненты этого Baidu с диска и из реестра. Скрипт работает в безопасном режиме (!), т.е. загружаемся в Safe Mode, выполняем его, потом перезагружаемся в нормальный режим и "добиваем" остатки руками, а также контролируем чтобы ничего не осталось через Autoruns от Sysinternals. Собственно сам скрипт:

baidu_remover.cmd


@echo off
taskkill /f /im explorer.exe
rd "C:\Program Files (x86)\baidu" /s /q
rd "C:\program files (x86)\common files\baidu\" /s /q
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BaiduHips /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BDKVRTP /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bd0001 /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bd0002 /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bd0003 /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bd0004 /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BDArKit /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BDDefense /f
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BDMNetMon /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BDMNetMon /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BDMRTP /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BDMWrench_x64 /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BDSafeBrowser /f
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BDSGRTP /f
del "%windir%\system32\drivers\BDMWrench_x64.sys" /q
del "%windir%\system32\drivers\BDSafeBrowser.sys" /q
del "%windir%\system32\drivers\BDDefense.sys" /q
del "%windir%\system32\drivers\bd0003.sys" /q
del "%windir%\system32\drivers\bd0002.sys" /q
del "%windir%\system32\drivers\bd0001_1.sys" /q
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ABDSWShellExt /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /v BaiduAnTray /f
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /v baidusdTray /f
reg delete HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v baidu /f
start explorer

Откуда берется это китайское г... на ПК пользователей - еще предстоит выяснить. Но теперь, по крайней мере, есть полноценный способ удалить все это. Не забудьте, что выполнить скрипт необходимо в безопасном режиме, а затем перезагрузиться в обычный режим и "подчистить" все вручную через штатную установку и удаление программ.


Так выглядит установленное китайское ПО ... Или "байда" от Baidu

Несколько полезных ссылок по теме:


1 комментарий :

  1. Неплохо было бы написать как пользоваться и куда этот скрипт вставлять.

    ОтветитьУдалить