Закрыто Как удалить qqpcrtp.exe?

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Molodets, 6 июл 2015.

Статус темы:
Закрыта.
  1. Molodets
    Оффлайн

    Molodets Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Проявил неосторожность, скачал файл с левого сайта. Появился какой-то китайский(японский?) вирус.

    Собственными силами справиться не могу. Логи прилагаются

    [​IMG]
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Здравствуйте.

    Удалите через установку и удаление программ:
    webalta toolbar


    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):


    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\10.10.16434.218\qqpctray.exe');
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe');
    TerminateProcessByName('c:\program files\application assistance\ap.exe');
    SetServiceStart('EagleXNt', 4);
    SetServiceStart('TSSysKit', 4);
    SetServiceStart('TSKSP', 4);
    SetServiceStart('TsFltMgr', 4);
    SetServiceStart('TSCPM', 4);
    SetServiceStart('TS888', 4);
    SetServiceStart('TFsFlt', 4);
    SetServiceStart('TAOKernelDriver', 4);
    SetServiceStart('TAOAccelerator', 4);
    SetServiceStart('QQSysMon', 4);
    SetServiceStart('QMUdisk', 4);
    SetServiceStart('QMIEProtect', 4);
    SetServiceStart('QQPCRTP', 4);
    StopService('Frost_6_8_0_3');
    StopService('EagleXNt');
    StopService('TSSysKit');
    StopService('TSKSP');
    StopService('TsFltMgr');
    StopService('TSDefenseBt');
    StopService('TSCPM');
    StopService('TS888');
    StopService('TFsFlt');
    StopService('TAOKernelDriver');
    StopService('TAOAccelerator');
    StopService('QQSysMon');
    StopService('QMUdisk');
    StopService('QMIEProtect');
    StopService('QQPCRTP');
    QuarantineFile('D:\firefox.bat', '');
    QuarantineFile('C:\Users\Администратор\AppData\Local\Google\chrome.bat', '');
    QuarantineFile('D:\Launcher.bat', '');
    QuarantineFile('C:\Program Files\diary.bat', '');
    QuarantineFile('C:\Program Files\layouts.bat', '');
    QuarantineFile('C:\Program Files\WelcomeToPunto.bat', '');
    QuarantineFile('C:\Program Files\ps.bat', '');
    QuarantineFile('D:\Borderlands 2\Launcher.bat', '');
    QuarantineFile('D:\starwars jedy knght outcast\GameData\demo.bat', '');
    QuarantineFile('D:\TheSims2-sp2\run6.bat', '');
    QuarantineFile('D:\TheSims2-sp2\run1.bat', '');
    QuarantineFile('D:\TheSims2-sp2\run4.bat', '');
    QuarantineFile('D:\TheSims2-sp2\run2.bat', '');
    QuarantineFile('D:\TheSims2-sp2\run3.bat', '');
    QuarantineFile('D:\TheSims2-sp2\run0.bat', '');
    QuarantineFile('D:\TheSims2-sp2\run5.bat', '');
    QuarantineFile('C:\Users\Администратор\appdata\local\kometa\kometaup.exe', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt.dll', '');
    QuarantineFile('\??\C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys', '');
    QuarantineFile('C:\Program Files\punto.bat --http://searchydas.ru', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMContextUninstall.dll', '');
    QuarantineFile('C:\Windows\system32\drivers\wpnfd_1_10_0_5.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TAOFrame.exe', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys', '');
    QuarantineFile('C:\Windows\system32\drivers\TsFltMgr.sys', '');
    QuarantineFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys', '');
    QuarantineFile('C:\Windows\system32\Drivers\TFsFlt.sys', '');
    QuarantineFile('C:\Windows\system32\Drivers\TAOKernel.sys', '');
    QuarantineFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\zlib.dll', '');
    QuarantineFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT', '');
    QuarantineFile('C:\Users\Администратор\AppData\Roaming\Tencent\AndroidServer\1.0.0.485\Sdkclient.dll', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSZip.dll', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\7z.dll', '');
    QuarantineFile('c:\program files\tencent\qqpcmgr\10.10.16434.218\qqpctray.exe', '');
    QuarantineFile('c:\program files\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe', '');
    QuarantineFile('c:\program files\application assistance\ap.exe', '');
    QuarantineFile('C:\Program Files\punto.bat', '');
    QuarantineFile('C:\iexplore.bat', '');
    QuarantineFile('C:\Users\Администратор\appdata\roaming\closer.exe', '');
    DeleteFile('D:\firefox.bat', '');
    DeleteFile('C:\Program Files\punto.bat', '');
    DeleteFile('C:\iexplore.bat', '');
    DeleteFile('C:\Users\Администратор\AppData\Local\Google\chrome.bat', '');
    DeleteFile('D:\Launcher.bat', '');
    DeleteFile('C:\Program Files\diary.bat', '');
    DeleteFile('C:\Program Files\layouts.bat', '');
    DeleteFile('C:\Program Files\WelcomeToPunto.bat', '');
    DeleteFile('C:\Program Files\ps.bat', '');
    DeleteFile('D:\Borderlands 2\Launcher.bat', '');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\7z.dll', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSZip.dll', '32');
    DeleteFile('C:\Users\Администратор\AppData\Roaming\Tencent\AndroidServer\1.0.0.485\Sdkclient.dll', '32');
    DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\zlib.dll', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys', '32');
    DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '32');
    DeleteFile('C:\Windows\system32\Drivers\TAOKernel.sys', '32');
    DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys', '32');
    DeleteFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys', '32');
    DeleteFile('C:\Windows\system32\drivers\TsFltMgr.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TAOFrame.exe', '32');
    DeleteFile('C:\Windows\system32\drivers\wpnfd_1_10_0_5.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTRAY.EXE', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMContextUninstall.dll', '32');
    DeleteFile('C:\Program Files\punto.bat --http://searchydas.ru', '32');
    DeleteFile('c:\program files\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe', '32');
    DeleteFile('\??\C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys', '32');
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt.dll', '32');
    DeleteFile('C:\Users\Администратор\appdata\local\kometa\kometaup.exe', '32');
    DeleteFile('C:\Users\Администратор\appdata\roaming\closer.exe', '32');
    DeleteFile('C:\Program Files\Application Assistance\ap.exe', '32');
    DeleteFile('C:\Program Files\punto.bat');
    DeleteFile('C:\iexplore.bat');
    DeleteFile('C:\Users\Администратор\appdata\roaming\closer.exe');
    DeleteService('wpnfd_1_10_0_5');
    DeleteService('Frost_6_8_0_3');
    DeleteService('EagleXNt');
    DeleteService('TSSysKit');
    DeleteService('TSKSP');
    DeleteService('TsFltMgr');
    DeleteService('TSDefenseBt');
    DeleteService('TSCPM');
    DeleteService('TFsFlt');
    DeleteService('TAOKernelDriver');
    DeleteService('TAOAccelerator');
    DeleteService('QQSysMon');
    DeleteService('QMUdisk');
    DeleteService('QMIEProtect');
    DeleteService('TAOFrame');
    DeleteService('QQPCRTP');
    DeleteFileMask('C:\Program Files\Tencent', '*', true);
    DeleteFileMask('C:\Users\Администратор\AppData\Roaming\Tencent', '*', true);
    DeleteDirectory('C:\Program Files\Tencent', '');
    DeleteDirectory('C:\Users\Администратор\AppData\Roaming\Tencent', '');
    DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
    DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ApnTBMon');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QQPCTray');
    ExecuteRepair(2);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 7 июл 2015
    VOV нравится это.
  3. Molodets
    Оффлайн

    Molodets Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Выполнил скрипт в АВЗ, файл quarantine.zip отправил по форме.
    Какие галочки ставить в программе HijackThis?
     
  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Никакие,пропустите этот шаг,переходите к следующему.
     
  5. Molodets
    Оффлайн

    Molodets Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Отчеты
     

    Вложения:

  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Загрузитесь в безопасном режиме.
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


    Затем:
     
  7. Molodets
    Оффлайн

    Molodets Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Очередные отчеты
     

    Вложения:

  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):


    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTRAY.EXE', '');
    QuarantineFileF('C:\Users\Администратор\AppData\Roaming\smw_inst', '*', true, '', 0 , 0);
    DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTRAY.EXE', '32');
    DeleteFileMask('C:\Program Files\Tencent', '*', true);
    DeleteFileMask('C:\Users\Администратор\AppData\Roaming\smw_inst', '*', true);
    DeleteDirectory('C:\Program Files\Tencent', '');
    DeleteDirectory('C:\Users\Администратор\AppData\Roaming\smw_inst', '');
    DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QQPCTray');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Папки
    C:\Users\冷扈龛耱疣蝾餦AppData
    C:\Users\袗写屑懈薪懈褋褌褉邪褌芯褉


    Удалите вручную.

    Повторите лог adwcleaner.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 6 июл 2015
  9. Molodets
    Оффлайн

    Molodets Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Скрипт запустил.
    quarantine.zip отправил по форме.

    Отчеты:
     

    Вложения:

    • AdwCleaner[S1].txt
      Размер файла:
      1,1 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      80,3 КБ
      Просмотров:
      3
    • FRST.txt
      Размер файла:
      47,2 КБ
      Просмотров:
      2
    • Shortcut.txt
      Размер файла:
      179,9 КБ
      Просмотров:
      1
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2636371864-3145406048-2627013714-500_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> No Filepath
    AlternateDataStreams: C:\Users\Администратор\Local Settings:wa
    AlternateDataStreams: C:\Users\Администратор\AppData\Local:wa
    AlternateDataStreams: C:\Users\Администратор\AppData\Local\Application Data:wa
    FirewallRules: [{FD468101-DF7B-4F8D-A90B-6BC4F0DF2640}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCmgrInstallGuide.exe
    FirewallRules: [{C7BEA7D5-CAF3-4355-A618-464D7A215A2A}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe
    FirewallRules: [{EDF70923-D3AC-4A3C-B474-5344FDD6B5C5}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCMgr.exe
    FirewallRules: [{67487A8E-322D-4F14-9254-7E995EB87E67}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe
    FirewallRules: [{DBDCD4B0-31C8-47AC-8626-684BEE4657B2}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMDL.exe
    FirewallRules: [{3E722497-FDCF-444F-91B6-F02DBDA9D6DB}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\bugreport.exe
    FirewallRules: [{11A28E78-2588-45AB-9272-6987C95D3FED}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCFileOpen.exe
    FirewallRules: [{58703A0B-3D68-40F8-AA16-B776484B2924}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCLeakScan.exe
    FirewallRules: [{307B7432-350C-4BE0-B483-0D27382D240F}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPConfig.exe
    FirewallRules: [{F554F751-2039-49C0-AFDA-B66E8D2B8B85}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftMgr.exe
    FirewallRules: [{F8DD2D5F-205E-4B28-B203-FD4758F2FCB6}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMNetMon\QQPCNetFlow.exe
    FirewallRules: [{A5033852-727A-4922-8FF5-10A7B16747D2}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCBTU.exe
    FirewallRules: [{6E2BF27F-3F20-4C31-80F5-08215BEDA0B4}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCClinic.exe
    FirewallRules: [{CCBB794C-3660-482B-AC65-A03B2AECB53E}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCLaunch.exe
    FirewallRules: [{A21AD552-CDAB-4421-B438-7667C3437448}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUpdate\QQPCMgrUpdate.exe
    FirewallRules: [{CBE36984-E98A-4CE4-B651-963E924068C7}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftGame.exe
    FirewallRules: [{5FE97D06-7A90-41E3-82FF-1411CE8B55F6}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCSysOptimize.exe
    FirewallRules: [{251ACBAB-3D01-43C9-AF39-3038C4E8AD71}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCUpdateAVLib.exe
    FirewallRules: [{091DE825-964B-4942-913C-DC5269E1390D}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQRepair.exe
    FirewallRules: [{6D07E05F-4CC0-4078-8D7C-F923E827996D}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe
    FirewallRules: [{F49A6021-8848-4146-BEE8-BE4CC2C5DB5C}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCPatch.exe
    FirewallRules: [{7EA1F182-2259-4014-8C29-67194D49B62D}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TpkUpdate.exe
    FirewallRules: [{53076675-A113-42DA-A238-2CB0B879BD3A}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMRouterMgr.exe
    FirewallRules: [{50DC75B5-1C07-469D-8ED2-4FE1B2469CA8}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe
    FirewallRules: [{4582C7DC-A152-4008-9F07-5E4E5BDA6B4B}] => (Allow) C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAdBlock.exe
    FirewallRules: [{4FCCAF7F-2473-47B3-984E-624D0811426A}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
    FirewallRules: [{E55AFA81-D478-49EA-A143-2D1BF1532E84}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
    HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
    HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    URLSearchHook: [S-1-5-21-2636371864-3145406048-2627013714-500] ATTENTION ==> Default URLSearchHook is missing.
    HKU\S-1-5-21-2636371864-3145406048-2627013714-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.megapage.com/?aid=1&sid=6
    FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
    CHR Extension: (VK Спалили) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\hkkbaejbbllidbipniacgjojfbcadbga [2014-07-15]
    StartMenuInternet: Google Chrome.BAH43LX2GJGAOCCMFHCG5ILT24 - C:\Users\Администратор\AppData\Local\Google\Chrome\Application\chrome.exe
    2015-07-06 21:35 - 2015-07-06 21:35 - 00000118 ____H C:\Program Files\WelcomeToPunto.bat
    2015-07-06 21:35 - 2012-08-29 14:05 - 01571216 ____H (ООО Яндекс) C:\Program Files\puntо.bаt.exe
    2015-07-06 21:35 - 2012-08-29 14:05 - 00033168 ____H (ООО Яндекс) C:\Program Files\lаyоuts.bаt.exe
    2015-07-06 21:35 - 2012-08-29 14:04 - 00290192 ____H (ООО Яндекс) C:\Program Files\diаry.bаt.exe
    2015-07-06 21:35 - 2009-07-14 12:17 - 00673048 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
    2015-06-27 15:23 - 2015-06-27 15:24 - 00029755 _____ C:\Users\Администратор\Downloads\[pornolab.net].t1824324.torrent

    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

     begin
     QuarantineFile('D:\Launcher.bat', '');
     QuarantineFile('C:\Program Files\diary.bat', '');
     QuarantineFile('C:\Program Files\layouts.bat', '');
     QuarantineFile('C:\Program Files\WelcomeToPunto.bat', '');
     QuarantineFile('C:\Program Files\ps.bat', '');
     QuarantineFile('D:\Borderlands 2\Launcher.bat', '');
     QuarantineFile('D:\starwars jedy knght outcast\GameData\demo.bat', '');
     QuarantineFile('D:\TheSims2-sp2\run6.bat', '');
     QuarantineFile('D:\TheSims2-sp2\run1.bat', '');
     QuarantineFile('D:\TheSims2-sp2\run4.bat', '');
     QuarantineFile('D:\TheSims2-sp2\run2.bat', '');
     QuarantineFile('D:\TheSims2-sp2\run3.bat', '');
     QuarantineFile('D:\TheSims2-sp2\run0.bat', '');
     QuarantineFile('D:\TheSims2-sp2\run5.bat', '');
     DeleteFile('D:\Launcher.bat');
     DeleteFile('C:\Program Files\diary.bat');
     DeleteFile('C:\Program Files\layouts.bat');
     DeleteFile('C:\Program Files\WelcomeToPunto.bat');
     DeleteFile('C:\Program Files\ps.bat');
     DeleteFile('D:\Borderlands 2\Launcher.bat');
     DeleteFile('D:\starwars jedy knght outcast\GameData\demo.bat');
     DeleteFile('D:\TheSims2-sp2\run6.bat');
     DeleteFile('D:\TheSims2-sp2\run1.bat');
     DeleteFile('D:\TheSims2-sp2\run4.bat');
     DeleteFile('D:\TheSims2-sp2\run2.bat');
     DeleteFile('D:\TheSims2-sp2\run3.bat');
     DeleteFile('D:\TheSims2-sp2\run0.bat');
     DeleteFile('D:\TheSims2-sp2\run5.bat');
    RebootWindows(false);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Сообщите какие проблемы остаются.
     
  12. Molodets
    Оффлайн

    Molodets Новый пользователь

    Сообщения:
    6
    Симпатии:
    0
    Проблем нет.
    Китайский ПО, вместе с прилагаемым совтом випилился под корень.

    Спасибо!:Good: Тему можно закрывать.
     

    Вложения:

  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Chrome Search и Skype Click to Call удалите через установку и удаление программ.

    Удалите расширения chrome:
    Google Search 0.0.0.30
    Chrome Hotword Shared Module 0.3.0.5
    VK Спалили 0.6.13
    Skype Click to Call 7.3.16540.9015
    电脑管家上网防护 2.4
    Из мозиллы:
    QQPCMgr

    Повторите лог frsit
     
Статус темы:
Закрыта.

Поделиться этой страницей