Решена Подцепил китайскую заразу QQPCRTP.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем KEDR, 11 авг 2015.

Статус темы:
Закрыта.
  1. KEDR
    Оффлайн

    KEDR Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Помогите разобраться с китайской гадостью. Какието китайские иероглифы присутствуют.
    Кое что удалось почистить через установку удаление программ.
    Перепробовал много антивирусных, ничего не выходит.
    Всё равно ещё что-то осталось. При загрузке системы на рабочем столе
    выскакивает морда какого-то Льва жёлтого потом исчезает.. ярлык....
     

    Вложения:

  2. KEDR
    Оффлайн

    KEDR Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    28 июля. пасадил эту заразу. когда захотел
    медиа проигрыватель установить.
     
  3. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Загрузите систему в безопасном режиме.
    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
    Код (Text):

    begin
     DeleteFile('C:\Windows\System32\Drivers\360AntiHacker64.sys', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\360AvFlt.sys', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\360Box64.sys', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\360FsFlt.sys', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\rsutils.sys', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\sysmon.sys', '32');
     DeleteFile('C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe', '32');
     DeleteFile('C:\Program Files (x86)\Rising\RAV\wbprotect.dll', '32');
     DeleteFile('c:\program files (x86)\rising\rav\ravmond.exe', '32');
     DeleteFile('c:\program files (x86)\rising\rsd\rsmgrsvc.exe', '32');
     DeleteFile('c:\program files (x86)\rising\rav\rstray.exe', '32');
     DeleteService('sysmon');
     DeleteService('rsutils');
     DeleteService('BAPIDRV');
     DeleteService('360FsFlt');
     DeleteService('360Box64');
     DeleteService('RsRavMon');
     DeleteService('RsMgrSvc');
     DeleteService('360AvFlt');
     DeleteService('360AntiHacker');
     DeleteFileMask('C:\Program Files (x86)\Rising', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Rising');
     DelBHO('{B69F34DD-F0F9-42DC-9EDD-957187DA688D}');
     ExecuteFile('schtasks.exe', '/delete /TN "RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{DF6323AD-1E58-4E4F-BD3F-CC7D1F2F5DFE}" /F', 0, 15000, true);
     DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_98D5BFA13B21B1F6BD544833CA6BEA23', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RavTRAY');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{63332668-8CE1-445D-A5EE-25929176714E}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid', 'command');
    ExecuteSysClean;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Сделайте лог Farbar Recovery Scan Tool.
     
  4. KEDR
    Оффлайн

    KEDR Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот что вышло..
     

    Вложения:

    • hijackthis.log
      Размер файла:
      6,9 КБ
      Просмотров:
      5
    • info.txt
      Размер файла:
      15,3 КБ
      Просмотров:
      4
    • log.txt
      Размер файла:
      59,6 КБ
      Просмотров:
      4
  5. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Но лог Farbar Recovery Scan Tool я не вижу.
     
  6. KEDR
    Оффлайн

    KEDR Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот ещё., а то я плохо разбираюсь.
    --- Объединённое сообщение, 11 авг 2015, Дата первоначального сообщения: 11 авг 2015 ---
    вот гляжу где китайское-та
     

    Вложения:

    • FRST.txt
      Размер файла:
      85,8 КБ
      Просмотров:
      0
    • Addition.txt
      Размер файла:
      32,6 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      72,3 КБ
      Просмотров:
      0
    • 77.PNG
      77.PNG
      Размер файла:
      145 КБ
      Просмотров:
      0
  7. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):

    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt64.dll No File
    BootExecute: autocheck autochk *  bsmain
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll [No File]
    FF Plugin-x32: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV\nprising.dll [No File]
    F Plugin HKU\S-1-5-21-2175854068-730298704-1020427691-1000: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV\nprising.dll No File
    OPR Extension: (No Name) - C:\Users\Клён\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-07-28]
    OPR Extension: (No Name) - C:\Users\Клён\AppData\Roaming\Opera Software\Opera Stable\Extensions\hdhmofnopkgkpgnpggloijpbnaonhplc [2015-07-28]
    2015-07-29 09:06 - 2015-08-10 09:04 - 00000000 __SHD C:\$360Section
    2015-07-29 08:15 - 2015-08-10 09:04 - 00000000 ____D C:\Users\Все пользователи\360Quarant
    2015-07-29 08:15 - 2015-08-10 09:04 - 00000000 ____D C:\ProgramData\360Quarant
    2015-07-28 11:40 - 2015-08-08 08:40 - 00000000 ___RD C:\RavBin
    2015-07-28 11:40 - 2015-07-28 11:40 - 00000150 __RSH C:\rising.ini
    2015-07-28 11:40 - 2015-07-28 11:40 - 00000134 _____ C:\Windows\SysWOW64\BsMain.ini
    2015-07-28 11:40 - 2014-07-30 05:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll
    2015-07-28 11:39 - 2014-01-02 10:37 - 00325400 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\ravext64.dll
    2015-07-28 11:39 - 2013-12-30 10:33 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\ravext.dll
    2015-07-28 11:39 - 2012-09-06 03:30 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\bsmain.exe
    2015-07-28 11:38 - 2014-09-10 09:11 - 00119344 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\sysmon.sys
    2015-07-28 11:38 - 2014-08-15 04:22 - 00069336 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsutils.sys
    2015-07-28 11:38 - 2012-02-29 10:49 - 00011888 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsndisp.sys
    2015-07-28 11:52 - 2015-07-28 11:52 - 00000000 ____D C:\Users\袣谢褢薪
    2015-07-28 11:36 - 2015-07-28 11:40 - 00000000 ____D C:\ProgramData\Rising
    2015-07-28 10:59 - 2015-07-29 09:06 - 00000000 ____D C:\Program Files (x86)\baidu
    2015-07-28 10:58 - 2015-07-28 10:58 - 00000000 _____ C:\Windows\prleth.sys
    2015-07-28 10:58 - 2015-07-28 10:58 - 00000000 _____ C:\Windows\hgfs.sys
    Task: {5B5C3AE9-710E-469B-96B0-98B15250845D} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe
    Task: {9A9B5652-4828-4D78-B59B-1AFF4E7F3D40} - System32\Tasks\{DF6323AD-1E58-4E4F-BD3F-CC7D1F2F5DFE} => pcalua.exe -a "C:\Program Files (x86)\FriendlyError\tmp9FDB.bat"
    globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
    DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^crossbrowse.lnk
    DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk
    DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^爱奇艺PPS影音.lnk
    DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk
    DeleteKey:  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QQPCTray
    DeleteKey:  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid
    FirewallRules: [{A3106390-6165-4212-BCFE-3B555A528A06}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe
    FirewallRules: [{09D0699C-7A5F-49A0-9CF1-C6539D44A295}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
    FirewallRules: [{1C9009C5-711E-4EAE-91D8-05092BAABDF8}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
    FirewallRules: [{6BBAC739-8EAC-4386-85AA-217FE98FB113}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
    FirewallRules: [{31EDDBBD-BD49-44C5-BDCD-2FE5552CF4C5}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
    FirewallRules: [{20C8F163-7219-4210-B76B-17E9A12731AF}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
    FirewallRules: [{E6F7064D-8245-48BD-94A2-439270DF82CF}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
    FirewallRules: [{CD449EB5-B4C3-4189-8D22-61F7AE82AB95}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
    FirewallRules: [{C05EF68E-CCC8-4AFC-9B2F-7D31E6C8F81F}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
    FirewallRules: [{272FD453-4173-4156-A413-F7FF6FB92554}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
    FirewallRules: [{575011AC-777E-415B-9C54-5F7E04018D54}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
    FirewallRules: [{98E37B45-6DD3-41EA-BACB-FC460562DAD3}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
    FirewallRules: [{77FACB89-2D82-4933-917E-BAF3026FCB0F}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
    FirewallRules: [{D367AC80-F9DF-471B-90D4-F891D7D5AC3E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCmgrInstallGuide.exe
    FirewallRules: [{39F95402-0B9E-409E-BB7A-C26232D618EC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe
    FirewallRules: [{0136D99D-C8DE-46C8-9ABB-C278FC795F0A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCMgr.exe
    FirewallRules: [{5823C64E-56A9-4CE7-B3FA-317A2F603FDB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe
    FirewallRules: [{95C19CF1-B931-4523-8DE8-3FE74C2B0EB3}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMDL.exe
    FirewallRules: [{2CCB41EB-1F59-4D19-A18E-6E3186127CD6}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\bugreport.exe
    FirewallRules: [{51871E88-90C5-48DF-859E-9F4511C87131}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCFileOpen.exe
    FirewallRules: [{AA90C335-4815-4B74-AEA2-8F588645F88C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCLeakScan.exe
    FirewallRules: [{9120830B-93C9-428F-A44D-8CC9F79FE806}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPConfig.exe
    FirewallRules: [{F7512356-D620-41E2-8F58-EAC5B9A6EEEC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftMgr.exe
    FirewallRules: [{D342B7BF-93C4-4C9B-89F0-D284A2A44173}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\QMNetMon\QQPCNetFlow.exe
    FirewallRules: [{A4BE89CF-9B92-493D-AA2B-235A9F200B6E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCBTU.exe
    FirewallRules: [{97920F5D-4F5D-4E4D-BF12-91BEF162A98E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCClinic.exe
    FirewallRules: [{3841B85B-9326-4D64-93CF-D9BE366C66C7}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCLaunch.exe
    FirewallRules: [{7C541718-7CED-4447-A14A-22F9A95016C8}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUpdate\QQPCMgrUpdate.exe
    FirewallRules: [{64A37797-7938-4CBE-9F81-2DA2802E788A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftGame.exe
    FirewallRules: [{FA280730-7648-4D5F-AD3A-38F465D38BFA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSysOptimize.exe
    FirewallRules: [{FD8D0BD5-5F17-4B5E-95FF-7D24F0C410DA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCUpdateAVLib.exe
    FirewallRules: [{D157E9B5-93C1-4297-AA0C-FCFC72D844C9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQRepair.exe
    FirewallRules: [{13C824A3-11AB-414F-94A8-17B77BC0680D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe
    FirewallRules: [{C21D2901-8867-4138-9BE2-E365F2265885}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCPatch.exe
    FirewallRules: [{367A4CD4-5A55-48C2-AFE7-317F00A6AFA5}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TpkUpdate.exe
    FirewallRules: [{5942F367-3412-4443-8435-C0B2F54584C0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMRouterMgr.exe
    FirewallRules: [{02E61422-6D18-4562-B670-C3BCE0B228A2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe
    FirewallRules: [{3C9D743C-7FB9-4462-9CB5-AF54DEA52A66}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMAdBlock.exe
    FirewallRules: [{77A000F5-BC36-4ABA-964D-C4C4DE67FD06}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{CC6D5C90-4D01-4B5B-8B7E-2E5B9CCE4354}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    FirewallRules: [{5B2D2AE2-D6BD-4221-A3C1-60C5B81D82AA}] => (Allow) C:\Program Files (x86)\Rising\RAV\ravmond.exe
    FirewallRules: [{71EE922D-063F-4829-A3EC-8EF0368154C4}] => (Allow) C:\Program Files (x86)\Rising\RAV\ravmond.exe
    FirewallRules: [{A16EB100-C73D-4DA3-AB4F-F1EB77D2EB1F}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
    FirewallRules: [{FA1C395C-6940-452F-A4A0-1A5D086A6071}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
    FirewallRules: [{EE16E541-414F-470E-BA76-656D0F1CA1AD}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
    FirewallRules: [{AE3B73D1-CBE1-43AA-A00E-A86B11AA776E}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
    FirewallRules: [{74C7F3DC-4D51-4009-BB87-AFD6F674FA21}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
    InternetURL: C:\ProgramData\Rising\Rav\ShortCut\Repair.url -> hxxp://www.rising.com.cn/2008/repair_rs09/
    EmptyTemp:
    Reboot:
     
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае). При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
     
  8. KEDR
    Оффлайн

    KEDR Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Китайской морды не мелькнуло при перезагрузки...
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      22,3 КБ
      Просмотров:
      0
  9. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Последнее редактирование: 11 авг 2015
  10. KEDR
    Оффлайн

    KEDR Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    лог
     

    Вложения:

  11. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90

    Выполните эти рекомендации.
     
  12. KEDR
    Оффлайн

    KEDR Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Запрос на повышение прав администраторов отключен.

    Как подключить это ??
     
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
  14. KEDR
    Оффлайн

    KEDR Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    [​IMG] Спасибо за оперативную помощь !!
     
Статус темы:
Закрыта.

Поделиться этой страницей