Решена Китайский шпиен QQPCTray. Кажется. - Помогите убить!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Rashhin, 18 июн 2015.

Метки:
Статус темы:
Закрыта.
  1. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0
    После распаковки архива - оказался экзэшник - в правом нижнем углу появился информер с цифрами, типа скорость соединения показывает. Выскакивает там же окошки с иероглифами, на рекламу похоже. Также сперва начали устанавливаться разные програмки, вроде как игры - удалил их сразу. Но вот сам экзэшник скачаный не удаляется, из Програм файлз папка Tencent тоже не удаляется. Через установка/удаление программ левых программ и тем более с иероглифами не видно. В меню Пуск появились 2 иконки с квадратиками вместо текста. Вот такая беда.

    Система - ХР СП3. Антивирь - ДрВеб.
     

    Вложения:

  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Деинсталируйте
    Search App by Ask и 电脑管家系统防护 (или другую программу с иероглифами)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0
    Аск удалил, программу с иероглифами не видно.
    Отчет Адв Клинера прилагаю.
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты Main.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  5. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0
    файла shortcut.txt программа не создала...
    --- Объединённое сообщение, 18 июн 2015 ---
    информер справа так и висит..
     

    Вложения:

    • AdwCleaner[R1].txt
      Размер файла:
      15,8 КБ
      Просмотров:
      0
    • AdwCleaner[S1].txt
      Размер файла:
      15,8 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      40,2 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      45,3 КБ
      Просмотров:
      4
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    (Tencent) F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe
    (Tencent) F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe
    (Tencent) F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMNetMon\QQPCNetFlow.exe
    (Tencent) F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCRealTimeSpeedup.exe
    () F:\Documents and Settings\Дима\Application Data\1BD6AB60-1434604673-11D9-A075-14DAE9EDDE25\knsw8E.tmpfs
    (Tencent) F:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe
    HKU\S-1-5-21-1935655697-776561741-682003330-1003\...\MountPoints2: {1ecddbce-63a2-11e3-b898-ae6b288f89cf} - G:\Autoinstaller.exe
    ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt.dll [2015-06-18] (Tencent)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
    HKU\S-1-5-21-1935655697-776561741-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
    FF Plugin: @qq.com/QQPCMgr -> F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll [2015-06-18] (Tencent Technology (Shenzhen) Company Limited
    CHR Extension: (Google Search) - F:\Documents and Settings\Дима\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2013-09-20]
    CHR Extension: (Quick Searcher) - F:\Documents and Settings\Дима\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fjnbnpbmkenffdnngjfgmeleoegfcffe [2015-06-18]
    CHR Extension: (Chrome Hotword Shared Module) - F:\Documents and Settings\Дима\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-20]
    R1 QMIEProtect; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys [49464 2015-06-18] ()
    R1 QMUdisk; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys [62392 2015-06-18] (Tencent)
    R1 QQPCHelper; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCHelper.sys [22880 2015-06-18] (Tencent)
    R2 QQSysMon; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys [108472 2015-06-18] (电脑管家)
    R2 TAOAccelerator; F:\WINDOWS\system32\Drivers\TAOAccelerator.sys [77016 2015-06-18] (Tencent)
    R2 TAOKernelDriver; F:\WINDOWS\system32\Drivers\TAOKernelXP.sys [139064 2015-06-18] (Tencent Technology(Shenzhen) Company Limited)
    R1 TFsFlt; F:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2015-06-18] (电脑管家)
    R3 TS888; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys [30392 2015-06-18] (Tencent)
    R1 TSCPM; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys [43448 2015-06-18] (电脑管家)
    R1 TSDefenseBt; F:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2015-06-18] (Tencent)
    R0 TsFltMgr; F:\WINDOWS\System32\drivers\TsFltMgr.sys [124792 2015-06-18] (电脑管家)
    R1 TSKSP; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys [204920 2015-06-18] (电脑管家)
    R1 TSSysKit; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys [101560 2015-06-18] (电脑管家)
    U5 1070EE3A; F:\Windows\System32\Drivers\1070EE3A.sys [22472 2015-06-18] () [File not signed]
    S3 A6E64E7; \??\F:\WINDOWS\TEMP\A6E64E7.sys [X]
    S3 A994109; \??\F:\WINDOWS\TEMP\A994109.sys [X]
    S3 B281E86; \??\F:\WINDOWS\TEMP\B281E86.sys [X]
    2015-06-18 15:40 - 2015-06-18 15:40 - 00022472 _____ F:\WINDOWS\system32\Drivers\1070EE3A.sys
    2015-06-18 15:38 - 2015-06-18 15:38 - 00000000 ____D F:\Documents and Settings\蔫爨\Application Data\Tencent
    2015-06-18 15:36 - 2015-06-18 15:38 - 00000000 ____D F:\Program Files\Common Files\Tencent
    2015-06-18 15:36 - 2015-06-18 15:36 - 00030392 _____ (Tencent) F:\WINDOWS\system32\Drivers\TS888.sys
    2015-06-18 15:35 - 2015-06-18 15:40 - 00000000 ____D F:\Documents and Settings\Дима\Application Data\Tencent
    2015-06-18 15:35 - 2015-06-18 11:29 - 00139064 _____ (Tencent Technology(Shenzhen) Company Limited) F:\WINDOWS\system32\Drivers\TAOKernelXP.sys
    2015-06-18 15:35 - 2015-06-18 11:29 - 00077016 _____ (Tencent) F:\WINDOWS\system32\Drivers\TAOAccelerator.sys
    2015-06-18 13:55 - 2015-06-18 15:39 - 00000000 ____D F:\Documents and Settings\袛懈屑邪\Local Settings\Temp
    2015-06-18 13:55 - 2015-06-18 13:55 - 00000000 ____D F:\Documents and Settings\袛懈屑邪
    2015-06-18 11:29 - 2015-06-18 11:29 - 00150072 ____N (电脑管家) F:\WINDOWS\system32\Drivers\TFsFlt.sys
    2015-06-18 11:29 - 2015-06-18 11:29 - 00124792 ____N (电脑管家) F:\WINDOWS\system32\Drivers\TsFltMgr.sys
    2015-06-18 11:29 - 2015-06-18 11:29 - 00067896 ____N (电脑管家) F:\WINDOWS\system32\TSSK.sys
    2015-06-18 11:29 - 2015-06-18 11:29 - 00014008 ____N (Tencent) F:\WINDOWS\system32\Drivers\TSDefenseBt.sys
    2015-06-18 11:29 - 2015-06-18 11:29 - 00000852 _____ F:\Documents and Settings\All Users\Главное меню\强力卸载电脑上的软件 .lnk
    2015-06-18 11:29 - 2015-06-18 11:29 - 00000000 ____D F:\Documents and Settings\蔫爨
    2015-06-18 11:29 - 2015-06-18 11:29 - 00000000 ____D F:\Documents and Settings\LocalService\Application Data\Tencent
    2015-06-18 11:28 - 2015-06-18 15:38 - 00000000 ____D F:\Documents and Settings\All Users\Application Data\Tencent
    2015-06-18 11:28 - 2015-06-18 11:28 - 00000000 ____D F:\Program Files\Tencent
    2015-06-18 11:18 - 2015-06-18 11:18 - 00000000 ____D F:\Documents and Settings\Дима\Local Settings\Application Data\Chedot
    F:\Documents and Settings\Дима\Local Settings\Temp\APNSetup.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\ChedotSetup.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\communicator.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\jre-7u67-windows-i586-iftw.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\jre-8u31-windows-au.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\loadmoney.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\mailruhomesearchvbm.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\new-super-ext.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\QQPCMgr_Setup.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\qqpcmgr_v10.10.16434.218_72489_Silence.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\Quarantine.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\rn32.dll
    F:\Documents and Settings\Дима\Local Settings\Temp\Setup-yabrowser.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\siinst.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\SkypeSetup.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\sqlite3.dll
    F:\Documents and Settings\Дима\Local Settings\Temp\strings.dll
    F:\Documents and Settings\Дима\Local Settings\Temp\tmp1B4.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\tmp1B7.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\tmp4A.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\vuupc.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\yupdate-exec-yabrowser.exe
    F:\Documents and Settings\Дима\Local Settings\Temp\{843E5834-688C-4968-B70E-BC86D62F7E72}-35.0.1916.114_chrome_installer.exe
    F:\Documents and Settings\????\Local Settings\Temp\TempQMDTLSDKSetup20141114(1).exe
    F:\Documents and Settings\????\Local Settings\Temp\TempQMDTLSDKSetup20141114.exe
    F:\Documents and Settings\????\Local Settings\Temp\TempQMSystemSetup_10.10.16434.218_112217724(1).exe
    F:\Documents and Settings\????\Local Settings\Temp\TempQMSystemSetup_10.10.16434.218_112217724.exe
    F:\Documents and Settings\????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa.exe
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.
    --- Объединённое сообщение, 18 июн 2015 ---
    После выполнения скрипта сообщите какие проблемы еще остались.
     
  7. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0
    Готово
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      8,9 КБ
      Просмотров:
      2
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Утилита отработала без ошибок? А то лог не полный.
     
  9. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0
    еще раз запущу попробую, были сбои и не запускалась даже было, после выполнения должна быть перезагрузка автоматом? у меня не было.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    С этого места подробнее
    да
    И как альтернативу
    Подготовьте лог UVS
     
  11. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0
    - отключаю антивирус
    - запускаю Frst
    - начинается процесс, потом ч-з нек. время выскакивает окно виндовс: мол, frst.exe обнаружена ошибка, приложение остановлено...
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Понятно, давайте UVS лог тогда
     
  13. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0

    Вложения:

  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    в безопасном режиме попробуйте.
     
  15. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0
    вроде получилось
    --- Объединённое сообщение, 18 июн 2015, Дата первоначального сообщения: 18 июн 2015 ---
    убегаю на работу, буду через 14 часов, надеюсь не забудете про меня за это время:Bye:
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      12,4 КБ
      Просмотров:
      5
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.209
    Симпатии:
    4.977
    Какие проблемы остались?
    Новый лог uvs сделайте.
     
  17. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0
    Все равно висит информер и реклама выскакивает - см. скрины. УВС-лог приложил. Антивирь вроде не ругается, ато периодически троянов ловил.
    --- Объединённое сообщение, 19 июн 2015, Дата первоначального сообщения: 19 июн 2015 ---
    MULDROP.trojan зачекали
    --- Объединённое сообщение, 19 июн 2015 ---
    и еще вот в меню пуск
     

    Вложения:

  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):
      ;uVS v3.85.24 [http://dsrt.dyndns.org]
      ;Target OS: NTv5.1
      v385c
      BREG
      sreg

      chklst
      delvir
      delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\49D2D59D8C0044B69FF4EAA3087930BF\49D2D59D8C0044B69FF4EAA3087930BF.EXE
      deldir %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\TENCENT\
      deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\APPLICATION DATA\TENCENT\
      zoo %Sys32%\DRIVERS\TAOACCELERATOR.SYS
      bl 891671010E3C617091DC8FD99ADAC906 77016
      delall \\?\F:\WINDOWS\SYSTEM32\DRIVERS\TAOACCELERATOR.SYS
      zoo %Sys32%\DRIVERS\TSDEFENSEBT.SYS
      bl DA5F124A8D025AFA1E44E231AD222B8B 14008
      delall \\?\F:\WINDOWS\SYSTEM32\DRIVERS\TSDEFENSEBT.SYS
      deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130
      regt 28
      regt 29
      deltmp
      areg
       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.


    затем сделайте свежий образ автозапуска.
     
    akok нравится это.
  19. Rashhin
    Оффлайн

    Rashhin Новый пользователь

    Сообщения:
    24
    Симпатии:
    0
    ок, делаю
     
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
Статус темы:
Закрыта.

Поделиться этой страницей