Решена Китайская программа QQPCTray.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Ephemera, 6 апр 2015.

Статус темы:
Закрыта.
  1. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    Здравствуйте!
    Помогите справиться с этой ерундой.
    Купила новый ноутбук, после включения и настройки я не успела оглянуться, как он наустанавливал всякой всячины, предустановленный McAfee на что-то ругался, но видимо я пропустила...
    В итоге надоедающее всплывающее окно с иероглифами. Удалять через удаление программ не пробовала, т.к. не знаю китайского :) Но из автозагрузки оно не убирается.
    Не удивлюсь, если кроме него еще какие-нибудь зловреды проникли.
    Логи прилагаю.
    Спасибо.
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Удалите через установку и удаление программ:
    电脑管家10.6
    CinemaPlus-3.2cV05.04

    Crossbrowse - это ваше? Знакомо?

    Пофиксите в HijackThis следующие строчки:
    Код (Text):

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95044903_hao_pg
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1428250676&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1428250676&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95044903_hao_pg

     
    Некоторых строк может не быть.
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 6 апр 2015
  3. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    дело в том, что при попытке удаления этой программы с иероглифами, появляется окно с иероглифами, в котором надо нажимать определенные кнопки, и я боюсь нажать что нибудь не то.
    crossbrowse это не мое, похоже что он сам установился тоже.

    p.s. Вроде удалила...на кнопки жала интуитивно ))
     
    Последнее редактирование: 6 апр 2015
  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Давайте пока лог adwcleaner
     
  5. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    Вот лог.
    Сейчас буду фиксить.
     

    Вложения:

  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
    Последнее редактирование: 6 апр 2015
  7. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    Вот.
    --- Объединённое сообщение, 6 апр 2015, Дата первоначального сообщения: 6 апр 2015 ---
    Теперь реклама какая то лезет в браузере...Перенаправляется на левые страницы.
    Вот еще.
     

    Вложения:

  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     TerminateProcessByName('c:\users\Ксения\appdata\local\b5cba486-1428258856-1841-94a0-00e0b8b2178d\snsn453.tmp');
     TerminateProcessByName('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\nstd9ce.tmpfs');
     TerminateProcessByName('c:\users\Ксения\appdata\local\b5cba486-1428258841-1841-94a0-00e0b8b2178d\cnsrceed.tmp');
     TerminateProcessByName('c:\users\Ксения\appdata\local\host installer\2853903760_installcube.exe');
     SetServiceStart('TS888x64', 4);
     SetServiceStart('QMUdisk', 4);
     SetServiceStart('turopylo', 4);
     SetServiceStart('rusoweli', 4);
     SetServiceStart('byhytezy', 4);
     StopService('TS888x64');
     StopService('QMUdisk');
     StopService('turopylo');
     StopService('rusoweli');
     StopService('byhytezy');
     QuarantineFile('C:\Users\??????\AppData\Roaming\SFSHTSVK.exe', '');
     QuarantineFile('C:\Users\Ксения\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
     QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
     QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys', '');
     QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys', '');
     QuarantineFile('c:\users\Ксения\appdata\local\b5cba486-1428258856-1841-94a0-00e0b8b2178d\snsn453.tmp', '');
     QuarantineFile('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\nstd9ce.tmpfs', '');
     QuarantineFile('c:\users\Ксения\appdata\local\b5cba486-1428258841-1841-94a0-00e0b8b2178d\cnsrceed.tmp', '');
     QuarantineFile('c:\users\Ксения\appdata\local\host installer\2853903760_installcube.exe', '');
     DeleteFile('C:\Users\Ксения\AppData\Local\B5CBA486-1428258841-1841-94A0-00E0B8B2178D\cnsrCEED.tmp', '32');
     DeleteFile('C:\Users\Ксения\AppData\Roaming\B5CBA486-1428244228-1841-94A0-00E0B8B2178D\nstD9CE.tmpfs', '32');
     DeleteFile('C:\Users\Ксения\AppData\Local\B5CBA486-1428258856-1841-94A0-00E0B8B2178D\snsn453.tmp', '32');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys', '32');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys', '32');
     DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
     DeleteFile('C:\Users\Ксения\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
     DeleteFile('C:\Users\??????\AppData\Roaming\SFSHTSVK.exe', '32');
     DeleteFile('C:\Users\Ксения\AppData\Local\Host installer\2853903760_installcube.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\Soft installer', '64');
     DeleteFile('C:\Windows\Tasks\SFSHTSVK.job', '64');
     DeleteService('TS888x64');
     DeleteService('QMUdisk');
     DeleteService('turopylo');
     DeleteService('rusoweli');
     DeleteService('byhytezy');
     DeleteFileMask('C:\Users\Ксения\AppData\Roaming\Browsers\', '*', true);
     DeleteDirectory('C:\Users\Ксения\AppData\Roaming\Browsers\');
     DeleteFileMask('C:\Users\Ксения\AppData\Local\Host installer\', '*', true);
     DeleteDirectory('C:\Users\Ксения\AppData\Local\Host installer\');
     DeleteFileMask('C:\Program Files (x86)\Crossbrowse\', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Crossbrowse\');
     DeleteFileMask('C:\Users\Ксения\AppData\Local\B5CBA486-1428258856-1841-94A0-00E0B8B2178D\', '*', true);
     DeleteDirectory('C:\Users\Ксения\AppData\Local\B5CBA486-1428258856-1841-94A0-00E0B8B2178D\');
     DeleteFileMask('C:\Program Files (x86)\Tencent\', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Tencent\');
     DeleteFileMask('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\', '*', true);
     DeleteDirectory('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_E8D6BA4DA78CD852AD27B8DA02DB2CF5');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    BC_ImportAll;
     ExecuteWizard('SCU', 2, 3, true);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  9. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    Архив отправила, вот лог.
     

    Вложения:

  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Архива не вижу продублируйте на почту quarantine <at> safezone.cc (замените <at> на @)
    Логи сейчас посмотрю
    --- Объединённое сообщение, 6 апр 2015, Дата первоначального сообщения: 6 апр 2015 ---
    Почти красиво...

    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".


      [​IMG]

    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
     
    Kиpилл нравится это.
  11. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    Спасибо за помощь))
    но тем не менее реклама в браузере лезет со всех сторон по-прежнему, открывается куча окон, я даже не замечаю как.
    Ваши дальнейшие указания выполню завтра, спокойной ночи))
     
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    А мы к очистке рекламщиков еще и не приступали, как бы так сказать только сковырнули болячку, но перекисью не обрабатывали. Спокойной ночи. Ждем логов.
     
    Kиpилл нравится это.
  13. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    Здравствуйте))
    Продолжаем с новыми силами))
     

    Вложения:

    • Addition.txt
      Размер файла:
      32,6 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      70,9 КБ
      Просмотров:
      2
  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CHR Extension: (CinemaPlus-3.2cV05.04) - C:\Users\Ксения\AppData\Local\Google\Chrome\User Data\Default\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-04-05]
    OPR Extension: (CinemaPlus-3.2cV05.04) - C:\Users\Ксения\AppData\Roaming\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-04-05]
    Task: {EE75F4EA-C18D-43FD-8FD5-4D341D527445} - \Soft installer No Task File <==== ATTENTION
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Сообщите о наличии проблем.
     
  15. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    Реклама пропала, пока визуально больше проблем не вижу.
    Вот лог
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      1,9 КБ
      Просмотров:
      1
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Удалите Farbar Recovery Scan Tool с помощью OTCleanIt
    http://safezone.cc/threads/kak-prav...ye-utility-posle-lechenija.19966/#post-128744

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.

    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


    Выполните рекомендации после лечения.
    --- Объединённое сообщение, 7 апр 2015 ---
    + сделайте скрин папки C:\Users\ и покажите
     
    Последнее редактирование: 7 апр 2015
  17. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    Выполнила все, кроме рекомендаций после лечения, внимательно почитаю и сделаю))
    Огромное спасибо вам, ребята, от всей души))
    Наверно эту папку с иероглифами надо вручную удалять?
     

    Вложения:

  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.837
    Симпатии:
    8.591
    Запустите командную строку от имени администратора, введите

    Код (Text):
    net user 袣褋械薪懈褟 /delete
    нажмите Enter, проверьте наличие папки
     
  19. Ephemera
    Оффлайн

    Ephemera Активный пользователь

    Сообщения:
    86
    Симпатии:
    58
    Сделала, как вы сказали, вышла строка "не найдено имя пользователя", папка на месте.
    Может я что то не так сделала?
     
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    просто удалите эту папку.
     
Статус темы:
Закрыта.

Поделиться этой страницей