Решена И снова Tencent QQPCMgr!!! нет Unist.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем lyuDOTCHKA, 18 сен 2015.

Статус темы:
Закрыта.
  1. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Ребята!!! почитайте до конца! накуралесина так, что уже не помню что наделала...
    Вообщем поймала. Пошла в диспетчер, удалила все программы от сегодняшнего числа (там же все кубиками, вот и чистила все), не помогло. пошла по папкам, нашла Tencent, но не удалялся просил права админа, но я он и есть. вообщем пошла, проверила, переназначала, но все равно не дался. Папку удаляла путем Shift+Del может поэтому заветный файлик и пропал. В процессе диспера задач тоже ничего нет. Пыталась удалить в безопасном режиме пишет, что какая то программа его использует и удалить не возможно. помогите, а? что вам загрузить чтобы вам нагляднее проблемку увидеть?
     

    Вложения:

  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
  3. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Надеюсь все получилось
     

    Вложения:

  4. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
  5. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Здравствуйте.
    Удалите через установку и удаление программ:
    Search App by Ask


    Выполните скрипт в АВЗ (Файл - Выполнить скрипт) в безопасном режиме:

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64  then
        begin
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
        end;
     SetServiceStart('TSKSP', 4);
     SetServiceStart('TS888', 4);
     SetServiceStart('QQSysMon', 4);
     SetServiceStart('QMUdisk', 4);
     SetServiceStart('TsFltMgr', 4);
     SetServiceStart('TFsFlt', 4);
     SetServiceStart('TAOKernelDriver', 4);
     SetServiceStart('TAOAccelerator', 4);
     SetServiceStart('QQPCRTP', 4);
     StopService('TSKSP');
     StopService('TS888');
     StopService('QQSysMon');
     StopService('QMUdisk');
     StopService('TsFltMgr');
     StopService('TFsFlt');
     StopService('TAOKernelDriver');
     StopService('TAOAccelerator');
     StopService('QQPCRTP');
     QuarantineFile('C:\Users\компик\appdata\roaming\windowsupdater\updater.exe', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMContextUninstall.dll', '');
     QuarantineFileF('C:\Program Files\Tencent', '*', true, '', 0 , 0);
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TAOFrame.exe', '');
     QuarantineFile('C:\Windows\system32\drivers\TsFltMgr.sys', '');
     QuarantineFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys', '');
     QuarantineFile('C:\Windows\system32\Drivers\TFsFlt.sys', '');
     QuarantineFile('C:\Windows\System32\Drivers\TAOKernel.sys', '');
     QuarantineFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\plugins\QMHipsEngine.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\dr.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\communic.dll', '');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\dr.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\communic.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\plugins\QMHipsEngine.dll', '32');
     DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '32');
     DeleteFile('C:\Windows\System32\Drivers\TAOKernel.sys', '32');
     DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\TsFltMgr.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TAOFrame.exe', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMContextUninstall.dll', '32');
     DeleteFile('C:\Users\компик\appdata\roaming\windowsupdater\updater.exe', '32');
     DeleteService('TSKSP');
     DeleteService('TS888');
     DeleteService('QQSysMon');
     DeleteService('QMUdisk');
     DeleteService('TsFltMgr');
     DeleteService('TFsFlt');
     DeleteService('TAOKernelDriver');
     DeleteService('TAOAccelerator');
     DeleteService('TAOFrame');
     DeleteService('QQPCRTP');
     DeleteService('APNMCP');
     DeleteFileMask('C:\Program Files\Tencent', '*', true);
     DeleteDirectory('C:\Program Files\Tencent', '');
     DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
     DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
    Theriollaria нравится это.
  6. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    файл quarantine.zip отправлен по форме.
    файл повторной диагностики прикреплен
     

    Вложения:

  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.86 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1
      v385c
      breg

      sreg

      delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\NPQMEXTENSIONSIE.DLL
      delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\NPQMEXTENSIONSMOZILLA.DLL
      delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\QMCONTEXTUNINSTALL.DLL
      delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\QMGCSHELLEXT.DLL
      delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\QQPCTRAY.EXE
      delref %SystemDrive%\PROGRAM FILES\RISING\RAV\RSDELAYLAUNCHER.EXE
      delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\TAOFRAME.EXE
      delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
      delref %Sys32%\TSSK.SYS
      ; C:\WINDOWS\SYSTEM32\TSSK.SYS
      addsgn 79132211B982F18DF42BF3581CFFEDFAE946D82789FA1F7885C3C5BC50D6299F23175BF93E5591982B80849F461649FA7DDF36AA55DA30822D77A42FC7062273 64 Tencent

      zoo %Sys32%\TSSK.SYS
      bl EF467361FB406F1B3E1BDF07C8671966 67896
      ; C:\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
      addsgn 71905392541F499A75D2AFB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB340239C87733A03AEBF1046F183AE025FFA7D89BE24038C772C3B77A42F2FC29B8C 64 Tencent

      zoo %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
      bl 87B817519FEA413E0377BA4C6AA8E4B4 665952
      delref %SystemDrive%\USERS\КОМПИК\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE
      deldir %SystemDrive%\PROGRAM FILES\TENCENT
      delref HTTP://WWW.HAO123.COM/?TN=97951667_HAO_PG
      delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
      dirzoo %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW
      deldir %SystemDrive%\PROGRAMDATA\TENCENT
      deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT

      deltmp
      czoo
      chklst
      delvir
      areg
      restart

       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.

    Сообщите как проблема.
    Повторите лог UVS
     
    Theriollaria нравится это.
  8. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    Было сообщение об ошибки о невозможности замены (чего то). Отправить архив не удается, яндекс не дает
    --- Объединённое сообщение, 19 сен 2015, Дата первоначального сообщения: 19 сен 2015 ---
    отправила с рамблера
    --- Объединённое сообщение, 19 сен 2015 ---
    повторная диагностика
     

    Вложения:

  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Ошибка при замене реестра при виртуализации.
    Давайте такой скрипт попробуем:
    Код (Text):
    ;uVS v3.86 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    breg

    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\NPQMEXTENSIONSIE.DLL
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\NPQMEXTENSIONSMOZILLA.DLL
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\QMCONTEXTUNINSTALL.DLL
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\QMGCSHELLEXT.DLL
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\QQPCTRAY.EXE
    delref %SystemDrive%\PROGRAM FILES\RISING\RAV\RSDELAYLAUNCHER.EXE
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.11.16588.235\TAOFRAME.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
    delref %Sys32%\TSSK.SYS
    ; C:\WINDOWS\SYSTEM32\TSSK.SYS
    addsgn 79132211B982F18DF42BF3581CFFEDFAE946D82789FA1F7885C3C5BC50D6299F23175BF93E5591982B80849F461649FA7DDF36AA55DA30822D77A42FC7062273 64 Tencent

    zoo %Sys32%\TSSK.SYS
    bl EF467361FB406F1B3E1BDF07C8671966 67896
    ; C:\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
    addsgn 71905392541F499A75D2AFB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB340239C87733A03AEBF1046F183AE025FFA7D89BE24038C772C3B77A42F2FC29B8C 64 Tencent

    zoo %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
    bl 87B817519FEA413E0377BA4C6AA8E4B4 665952
    delref %SystemDrive%\USERS\КОМПИК\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE
    deldir %SystemDrive%\PROGRAM FILES\TENCENT
    delref HTTP://WWW.HAO123.COM/?TN=97951667_HAO_PG
    delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
    dirzoo %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW
    deldir %SystemDrive%\PROGRAMDATA\TENCENT
    deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT

    deltmp
    czoo
    chklst
    delvir
    restart
    Затем повторите лог.
     
  10. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    сделала.
    повторный прикрепляю
     

    Вложения:

  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.

    Сообщите какие проблемы остаются.
     
  12. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0

    Вложения:

  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
  14. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    SecurityCheck by glax24 результат прикреплен
    --- Объединённое сообщение, 20 сен 2015 ---
    AdwCleaner (by Xplode) делает сканирование, а потом ждет от меня действий...я нажала удалить (надеюсь правильно) и тогда только он продолжил работу
     

    Вложения:

  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Запустите заново и повторите сканирование.
     
    Последнее редактирование: 20 сен 2015
  16. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0

    Вложения:

  17. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.



    Service Pack не установлен Внимание! Скачать обновления
    ^Возможно потребуется повторная активация Windows^
    Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя включен

    -------------------------------- [ Java ] ---------------------------------
    Java 8 Update 40 v.8.0.400 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u60-windows-i586.exe)^
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe Flash Player Plugin v.9.0.124.0 Внимание! Скачать обновления



    Выполните рекомендации после лечения.


    Я так понимаю все проблемы решены?
     
  18. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    нет не решены, кубики висят в пуске и в правом углу скрытых значков
    --- Объединённое сообщение, 20 сен 2015, Дата первоначального сообщения: 20 сен 2015 ---
    вот
    --- Объединённое сообщение, 20 сен 2015 ---
    вот что выдал поиск "Tencent"
     

    Вложения:

    • рис1.jpg
      рис1.jpg
      Размер файла:
      58 КБ
      Просмотров:
      7
    • рис2.jpg
      рис2.jpg
      Размер файла:
      68,1 КБ
      Просмотров:
      7
    • рис3.jpg
      рис3.jpg
      Размер файла:
      78,1 КБ
      Просмотров:
      7
  19. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Тогда frst нужен.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  20. lyuDOTCHKA
    Оффлайн

    lyuDOTCHKA Новый пользователь

    Сообщения:
    16
    Симпатии:
    0
    не дает закачку, пишет там угроза
     
Статус темы:
Закрыта.

Поделиться этой страницей