تجربتى مع البرنامج المزعج الجاسوس Baidu PC Faster وكيفية التخلص منه

المصدر: تجربتى مع البرنامج المزعج الجاسوس Baidu PC Faster وكيفية التخلص منه
في منتدى : منتدى نقاشات واختبارات برامج الحماية

بسم الله الرحمن الرحيم

Baidu PC Faster




برنامج Baidu PC Faster
برنامج مزعج يوهم المستخدم انه منظف ومسرع للكمبيوتر
وهو فى الحقيقة برنامج وهمى للتجسس والتلصص عليك ..
واللى كان بيزعجنى جدا انى ارى له شروحات فى المنتديات وكأنه وحش كاسر فى مجاله !!
طيب مفيش شوية تفكير او بحث قبل الهرع لطرح امثال هذا البرنامج المزعج المزيف

كيف تصاب بهذا البرنامج اللعين ؟
البرنامج ينصب نفسه فى الخفاء مع بعض البرامج المجانية


كيفية التخلص منه
1 - يجب ازالته بأى برنامج ازالة ملفات من الجذور مثل
Perfect Uninstaller
Your Unin-staller!

2- هذا لا يكفى فهو يزرع قيم فى الريجسترى
تجعله يستمر فى عمله المزعج بفتح نافذة فى متصفحك اثناء التصفح
ووضع رابط تحميل للبرنامج يظهر تلقائى وبشكل مزعج جدا
مازالت هناك قيم فى الريجسترى لم يسطع حذفها برنامج ازالة الملفات من الجذور

يجب استخدام برنامج للبحث فى الريجسترى مثل
Registry Finder
او غيره

والبحث عن اسم البرنامج وازالة كل القيم الموجودة بإسمه
ستجد بعضها مكتوب باليابانى او الصيني
واذا لم تحذف شغل البرنامج فى وضع المسئول

واذا استمرت المشكلة اضغط كليك يمين ثم الذهاب للقيمة فى الريجسترى الخاص بالويندوز
سيفتح لك فولدر وبه ستجد ان القيم مخفية وليست ظاهرة
اذهب من الشمال للفولدر واحذفه كله ..
ريستارت وان شاء الله ستحل المشكلة

اعتذار
آسف لعدم استخدام صور ولكنى كنت اجرب الحل يائساً
ولكنى فوجئت بالنتيجة ولم اكن اعلم ان هذه الطريقة ستنج لأصور خطواتها
لكنى اجتهدت فى توصيل المعلومة قدر الأمكان

ملحوظة :
- الهايجاك لا يظهر هذه القيم ولا الملفات الخاصة بالبرنامج بعد حذفه
- بحثت كثيرا عن حل ولكن لم اجد وهذا اجتهاد منى واظنها طريقة حصرية





​

 

بارك الله فيك ولكنه برنامج رائع يكفى انه يفعل الاتوماتك ابديت الخاص بالويندوز غصب عن المستحدم ولو كان المستخدم يدخل بفلاشة نت لانتهى رصيده بسبب هذا البرنامج هذا ما جعلنى اترك البرنامج لانه يفعل خيار الاتوماتك ابديت غصب عنى حتى ولو عملت تعطيل للخاصية منه ولا اعتقد انه جاسوس

 

ولنفترض اخى الحبيب انه غير جاسوس فلماذا اذا ينصب نفسه فى الخفاء تلقائيا مع البرامج المجانية
وهذه الطريقة الرخيصة لا تتبعها الا البرامج الرديئة والمشبوهه وهو ليس تصرف محترم مش شركة محترمه واذات مصداقية

ثم لماذا لا يحذف بسهولة ويخلف وراءة ملفات ريسجترى (مخفية) تقوم بعمل مزعج
مثل فتح تاب فى متصفحك ولصف رابط تحميل البرنامج مرة اخرى اجباريا بشكل مزعج جدا !!

اظن ان هذا الأسلوب لا تتبعه شركات ذات مصداقية .. بل هى طريقة البرامج المشبوهة
وفى انتظار آراء الاخوه ونقاشهم ..

 

كلام مقنع الصراحه ولكن كان يجب طرح هذا الموضوع فى ركن نقاشات واختبارات برامج الحماية الحماية لكى نجد الحل الامنى والتفسير الامنى لهذا البرنامج

 

تشرفت بالنقاش معك أخى الحبيب ..
فى الحقيقة وضعت هذا الموضوع لحل مشكلة شهيرة ..
ولكن يمكننا عمل موضوع آخر نناقش فيه البرنامج وتحليله وسبل الحماية اذا كان ضار فى قسم نقاشات الحماية ..

 

شكرا لك اخي ...وفعلا كما قال الاخ طارق
ياليت تفتح موضوع في ركن النقاشات
لانني منصب البرنامج ولم ارى منه اي شي مشبوه .

 

صادق أخوي برنامج مزعج بجد و تجده يلتصق في معظم البرامج عند تنصيبها ... أحيانا تقوم بتنصيب برنامج ما ثم تجد لهذا المزعج اختصارا على سطح المكتب ... بحكم تجربتي مع البرامج و خاصة برامج الصيانة جربت الكثير منها حتى هذا المزعج و في الأخبر استنتجت أنه برنامج مخادع حذفه صعب لأنه يزرع قيما عديدة في الريجستي و يقوم بتنزيل برامج مصاحبة له ..
في الآخر أرى أنه برنامج يحمل في خفاياه الكثير !

 

انا استعمله من فترة ولما يكون حاسوبي بطيء فعلا يصبح سريع بعد التنظيف من خلاله .

ربما يكون فعلاً يزرع بعض الملفات في الريجستري ولا تذهب بسهولة وهذا شيء مريب .

لكن لايمكننا القول ان البرنامج مخادع لانه فعلاً يقوم بوظيفته .

شكراً .

 

نعم اخي
البرنامج ( خبيث )
ويعمل كابتشر ويرسلها

اذكر لي تجربه كنت مثبته ومثبت برنامج الزيمانا ( للحمايه من الكابتشر )
واكتشفه

الصوره موجوده بقرص قبل فورماتي لجهازي قبل فتره ان تمكنت اضعها بردي القادم

.........

عمله هو زراعة ( Hook ) وهي احدى عمليات البرامج الخبيثه
+ حقن للنظام
+ عمل Mutex لتلافي الكشف المسبق للمالوير الخبيث

>>>> يتبع

 

هنا احدى ملفات التثبيت للبرنامج
من سلوكياته كما ذكرت ب ردي السابق

حقن

Mute

shell

Code injections

تقرير الفايروس توتال
( لاننتبه لنتيجة الفحص ) ننتقل للمعلومات والسلوكيات ( ننقر عليها )
وراح نشاهد السلوكيات الخاصه بالبرنامج

https://www.virustotal.com/ar/file/...4aa463e9c63f574b8eee72d72b6678475f9/analysis/

=============

نشوف الملف اللي يبقى

ك درايفر مع درايفرات النظام ( خفي )

مع العلم ان اي برنامج حمايه ( كالكاسبر مثلا ، البرايفت فايرول ... ) تقوم بكشف عملية ( Hook ) اللي هي تثبيت ( خطاف ) باول مرحلة بالتثبيت

نشوف مساره بعد ماتم حذفه وتنظيف الجهاز من بقاياه يبقى في ( الكرنل ) يعني ( لاصق بالنظام ) لكن عن طريق برنامج حذف القيم ( الرن سكنر )

اللي احنا نستخدمه بقسم مشاكل الحاسوب لتصحيح قيم بعض البرامج وحذف المتبقي من الملفات المحذوفه قادر بقوة الله على حذفه بكل سلاسه بدون اي مشاكل


مثل مانشوف بالصوره تفاصيل الملف من ( الهاش ) وقيمة الرجستري الخاصه فيه و اقلاعه كـ خدمه مع النظام




س / هو ايش يعمل البرنامج بشكل موجز ؟
ج / يثبت ملف ( هووك ) من احدى سلوكيات الملفات الخبيثه الذكيه المختصه بالمزامنه ( اهم شي انها من السلوكيات الضاره )


س / طيب فيه توضيح اكثر لفكرة عمله ؟
ج / نعم ، تطرق موقع برنامج الحمايه الافج ( هذا مو دلاله مني لقوة الافج لا لا ،، بل ان الموقع تكلم عن فكرة الهووك ) اللي تثبتها البرامج الضاره

الموقع / http://www.avgthreatlabs.com/virus-and-malware-information/info/hook/


هذا تعريف لما يسمى ( تثبيت هووك / خطاطيف )

الاهم انه مع البرامج اللي مافيها رصد وتكون ع اليدوي
بتتثبت بدون علم الادمنستور



س / طيب يعني لو انا مثبت الكاسبر او البرايفت فايرول ، هل يكشف هالخطوه هذي ؟
ج / نعم ، مثل مانشوف بالصور




س / هل هذا دلاله لقوة البرايفت فايرول ( يعني تنصحنا فيه ) ؟

ج / لا ليس دليل للقوه انما للاستشهاد ان برامج الحمايه تقوم بتنبيه المستخدم ان كانت (((( ع اليدوي )))) ب السلوك
ولازم برضو المستخدم يعرف انها من سلوكيات البرامج الضاره

يعني ممكن يكون المستخدم مبتدئ ويدوس على ( نعم )

الصوره اعلاه مقتبسه من احدى مشاركات اخي ( وجدي )

 

مــــاشـــاء الله أخـــي الــغالي أحمد
مــشـــاركات قــيمه
نــتمنى أن تتــحفونا بالمـــزيد
فلــكم خـــبرة طـــويله في عالـــم الصيانه
و رصــيد لا يســـتهان به من المحبة والتقدير في قلـــــــوب الزيزوميين
_________________________________
تحياتي وتقديري

 

الله يحفظ استاذي / ياســين

هذا من ذوقك ياطيب

البركه فيكم أجمعين اخواني

 

حـــاشــا لله أخي أحــمد
انــتم من تعلـــمنا منكم
واسـتـفدنا منكـــم الكــثير

جـــــــزاكم الله عـــنا كــــــــــل خير

 

يعني الحين هذا البرنامج خبيث

غريب . الي اعرفه ان شركه البايدو شركه صينيه كبيره ومعروفه ولها محرك بحث على النت . غريب تصنع هكذا برنامج

للأسف الدنيا عجائب وكل يوم نكتشف شيء غريب


عقبال بعد 10 سنوات نكتشف ان الويندوز اداه تجسس ايضا

 

بعد حكاوي سنودن ,, في الحقيقه لا استبعد اذا كان البرنامج يتجسس لصالح حكومة الصين .... او حتى مجلس الامن

لكن لنقل , لا يفترض على الاقل ان يشكل خطرا على المستخدم العادي

فبمراجعة سمعة الملف

1- فايرس توتال

https://www.virustotal.com/en/file/...7217fb6a2864d3592a3ded7a/analysis/1399093275/

++++++++++

2- كاسبرسكي

http://whitelist.kaspersky.com/advisor?lang=ar-AE#search/2FCD5CDFE54799651996DA295B3E1218

++++++++++

3- النود


حتى ان الشركات تتبع بلاد مختلفه ...

 

^


بالاول حابب اعرف اسمك ياخي من زمان


المحدد بالاصفر [ لانها توصف محركات الفحص ]

اما اللي راح اضع شرح لها [ فهي تعطي نتيجة السلوك ]

يعني الفايروس توتال يعطيك نتيجتين واصبح يحلل السلوك و يعتمد برضو على محرك سمعات ( النورتن ) ( اللي موجوده بالاجهزه المثبت عليها نورتن ) السمعات

وبرضو الهيروستيك لـ برنامج (كلام ) الغير مشهور




من نفس رابط الفايروس توتال اللي وضعته اخي قيصر
ادخل على ( المعلومات السلوكيه )

راح تشاهد وصف آخر ب أن الملف يشن هجوم






نشوف برضو ( هنا النتيجه للوصف اختلف عن قبل )
ب انه كما هو موجود بمربع الترجمه المضلل ان له سلوك يتم شنه اما من خلال الملف نفسه او عن طريق ملفات اخرى









ولو نزلنا بنفس الصفحه ( لاسفل الفايروس توتال )

لو جدنا النتيجه القطعيه كما في الصوره




كما هو في الوصف انه يرسل " اكواد تحكم " للنظام


،،،

الفايروس توتال تطور عن قبل


يعني يقدر المبتدئ انه يستكشف لب الملف المشكوك فيه بمتابعة التقرير والهاش لكل علميه ومن ثم الدخول لتفاصيل التفاصيل

يعني كأنن شغلنا الملف

 

معليش يا اخوة ولكن ليه كل هذا الهجوم عل برنامج

هذا البرنامج بديت اسخدامه من لما كان في طور البيتا ولحد الان اثبته على كل كمبيوتر وبالعكس يقوم بعمله عل اكمل وجه بالاضافة إلى ان شركة bauidu نفسها تمتلك برنامج انتي فايروس وهو bauidu antivirus , وايضا لديها المتصفح الغني عن تعريف Sparks فاظن عليكم البدء ايضا بفحصها لانه ممكن تحتوي عل فايروسات وبالمرة تفحصوا موقع شركة

احس انكم مبالغين بالموضوع وبخصوص انه ينزل بالخفاء طبعا راح ينزل لانه سيادتك لما تثبت اي برنامج بتعمل next بدون ما تعرف ايش هذا
اغلب البرامج للي تنزل بالخفاء عل قولتكم تكون مصاحبة لبرامج انت منزلها واثناء التثبيت يعرض عليك المنتج والامر يعود اليك

اذا تبغوا حل لمشكلة التجسس لاتفتحوا النت من اصله

 

ياسر و اذا امكن اطلعنا على الاسم ايضا اخي الخفوق

------
عرفته
V

 

كل اللي بالبرنامج هو pups وتولبارات لااكثر ولااقل وانتم اهل خبره
اما بالنسبه لموضوع صعوبة الحذف فبرنامج avgمن اسوء البرامج التي واجهتها في الحذف