Закрыто Помощь с китайским вирусом QQPCTRAY

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Diktor1993, 1 июл 2015.

Статус темы:
Закрыта.
  1. Diktor1993
    Оффлайн

    Diktor1993 Новый пользователь

    Сообщения:
    6
    Симпатии:
    1
    Подхватил с пакетом разных "Амиго". Потратил несколько часов, все же удалить не получилось. Прошу помощи.
     

    Вложения:

  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Diktor1993 нравится это.
  3. Diktor1993
    Оффлайн

    Diktor1993 Новый пользователь

    Сообщения:
    6
    Симпатии:
    1
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    Выполните скрипт UVS
    Код (Text):

    ;uVS v3.85.25 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    OFFSGNSAVE
    exec32 cmd.exe /c move/y %WinDir%\system32\GroupPolicy\Machine\Registry.pol %WinDir%\system32\GroupPolicy\Machine\Registry.pol.old & move/y %WinDir%\system32\GroupPolicy\Machine\Registry.pol.bak %WinDir%\system32\GroupPolicy\Machine\Registry.pol & gpupdate.exe /force & reg.exe DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2AEF02C3-5159-4C81-A688-8D954F0DEE56}_NewSearch /f & start "" "http://spacesearch.ru/?ri=1&rsid=279b4485e58210599ab20cc546abf01f&q=&uninstall=1"
    ;------------------------autoscript---------------------------

    sreg



    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE
    bl DACBEBE491EB6029FD72F600AB2E7171 297608
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE

    zoo %SystemDrive%\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\ANDROIDDEVICE.DLL
    ; C:\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\ANDROIDDEVICE.DLL
    bl 8BB90D087B1F21C8C16413E16669F485 367672
    delref \\?\C:\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\ANDROIDDEVICE.DLL
    del \\?\C:\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\ANDROIDDEVICE.DLL

    zoo %SystemDrive%\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\QQPMIPC.DLL
    ; C:\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\QQPMIPC.DLL
    bl A4B1F42F3154FB9396D72D6C8A1530BD 80952
    delref \\?\C:\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\QQPMIPC.DLL
    del \\?\C:\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\QQPMIPC.DLL

    zoo %SystemDrive%\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\SDKCLIENT.DLL
    ; C:\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\SDKCLIENT.DLL
    bl 42AFD977B3B51EE054C5EDFDCDA25576 608312
    delref \\?\C:\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\SDKCLIENT.DLL
    del \\?\C:\USERS\DIKTOR\APPDATA\ROAMING\TENCENT\ANDROIDSERVER\1.0.0.485\SDKCLIENT.DLL

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ANDROIDASSISTHELPER.DLL
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ANDROIDASSISTHELPER.DLL
    bl 2E2CEEFF63C41293AFC213A2CD025FF5 411704
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ANDROIDASSISTHELPER.DLL
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\ANDROIDASSISTHELPER.DLL

    zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198\NPQQPHONEMANAGEREXT.DLL
    ; C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198\NPQQPHONEMANAGEREXT.DLL
    bl 3B91BD8CDDA20F8C7F57FF3D0680A8C2 140344
    delref \\?\C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198\NPQQPHONEMANAGEREXT.DLL
    del \\?\C:\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198\NPQQPHONEMANAGEREXT.DLL

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK64.SYS
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK64.SYS
    bl D37EA3CF679CAD8CD6B34163B85FBCDB 62264
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK64.SYS
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK64.SYS

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMONX64.SYS
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMONX64.SYS
    bl F3CFAAACDD1B3DA0EAF8335967E1D16C 129336
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMONX64.SYS
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMONX64.SYS

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE
    bl 366A7869E9E72D579FF2341C4CC7B8E1 293856
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE

    zoo %Sys32%\DRIVERS\TFSFLTX64.SYS
    ; C:\WINDOWS\SYSTEM32\DRIVERS\TFSFLTX64.SYS
    bl 510466333F1647D444742819E7DE951F 87864
    delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TFSFLTX64.SYS
    del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TFSFLTX64.SYS

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TS888X64.SYS
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TS888X64.SYS
    bl DA947B9CAE18C14C497D01417E242FBE 28984
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TS888X64.SYS
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TS888X64.SYS

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSCPM64.SYS
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSCPM64.SYS
    bl 4833F5BE6843247F3E35842532F2682D 42296
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSCPM64.SYS
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSCPM64.SYS

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSDEFENSEBT64.SYS
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSDEFENSEBT64.SYS
    bl 6416EFF7B5B704469B3B7AFB6665E71F 28472
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSDEFENSEBT64.SYS
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSDEFENSEBT64.SYS

    zoo %Sys32%\DRIVERS\TSSKX64.SYS
    ; C:\WINDOWS\SYSTEM32\DRIVERS\TSSKX64.SYS
    bl 566770559DCFB325BB589CB602FAA531 38200
    delref \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TSSKX64.SYS
    del \\?\C:\WINDOWS\SYSTEM32\DRIVERS\TSSKX64.SYS

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT64.SYS
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT64.SYS
    bl CB0FCAF7C06DF799CA37A12BFE220D34 87352
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT64.SYS
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT64.SYS

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSKSP.SYS
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSKSP.SYS
    bl 55034646DB6E0183F32BFF356BAE0A4B 204920
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSKSP.SYS
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\TSKSP.SYS

    zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QQPCB1ANDROIDJMP\APPASSISTANT.EXE
    ; C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QQPCB1ANDROIDJMP\APPASSISTANT.EXE
    bl 5EA8863BFED09552975BF167FE30EC50 85560
    delref \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QQPCB1ANDROIDJMP\APPASSISTANT.EXE
    del \\?\C:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\QQPCB1ANDROIDJMP\APPASSISTANT.EXE
    deldir %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT
    deldir %SystemDrive%\USERS\DIKTOR\APPDATA\ROAMING\TENCENT
    regt 27

    ;-------------------------------------------------------------

    delref %SystemDrive%\USERS\DIKTOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\2.4_0\电脑管家上网防护
    czoo
    areg

     
    После выполнения скрипта компьютер перезагрузится.


    Нужен будет свежий лог UVS
     
    Diktor1993 нравится это.
  5. Diktor1993
    Оффлайн

    Diktor1993 Новый пользователь

    Сообщения:
    6
    Симпатии:
    1
    Скрипт выполнил. После перезагрузки Tencnet предложил внести изменения в системе - я отказался. В Хроме предложил добавить новое приложение - я удалил. В процессах его, по крайней мере иероглифов и QQ-процессов больше нет, но много других процессов, о которых я мало знаю, но не уверен, вредоносное ли это ПО.

    Так же отчет ЮВС.
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    NETBET POKER - используете?

    Второй скрипт нужно выполнять из безопасного режима (во вложении)
     

    Вложения:

    Diktor1993 нравится это.
  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    И нужен еще один лог, нужно посмотреть, что осталось.
     
    Diktor1993 нравится это.
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    + содержимое папки
    Код (Text):
    C:\WINDOWS\SYSTEM32\GroupPolicy\
    заархивируйте и прикрепите к сообщению.
     
    Diktor1993 нравится это.
  9. Diktor1993
    Оффлайн

    Diktor1993 Новый пользователь

    Сообщения:
    6
    Симпатии:
    1
    Огромное спасибо!)
    --- Объединённое сообщение, 3 июл 2015 ---
    Есть папка GroupPolicyUsers, но она пуста. Прикрепил C:\WINDOWS\SysWOW64\GroupPolicy
     

    Вложения:

    Последнее редактирование: 3 июл 2015
    SNS-amigo нравится это.
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    спасибо, это как раз то что нужно было. Файл после запуска которого это началось у вас не сохранился?

    Выполните ещё один скрипт в UVS
    Код (Text):
    ;uVS v3.85.25 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    vreg
    zoo %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
    bl D4AEDDCC80AE2781A1E0C89484C27D4B 99640
    delall %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
    zoo %Sys32%\DRIVERS\TAOKERNEL64.SYS
    bl EB42B24ACCB1E700AC00912EA2F3C2D2 174392
    delall %Sys32%\DRIVERS\TAOKERNEL64.SYS
    delall %SystemDrive%\USERS\DIKTOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\2.4_0\电脑管家上网防护
    delall HTTP://SPACESEARCH.RU/?RI=1&RSID=279B4485E58210599AB20CC546ABF01F&Q={SEARCHTERMS}
    delref HTTP://MAIL.RU/CNT/10445?GP=ANVIR1
    czoo
    areg
    restart
    после этого сделайте свежий образ автозапуска uVS.
     
    Diktor1993 нравится это.
  11. Diktor1993
    Оффлайн

    Diktor1993 Новый пользователь

    Сообщения:
    6
    Симпатии:
    1
    P.S. Прошелся AdwCleaner. Удалил, что знал, в остальном не уверен. Прикрепил логи(Удалено - то, что удалил. Осталось - то, что осталось при повторном скане)

    Можно ли удалить эти файлы из папки "Карантин" безвозвратно или они находятся в другом месте?
     

    Вложения:

  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Удаляйте всё найденное, свежий отчёт об удаление прикрите. Только лучше сначала выполнить скрипт в uVS.
    по окончанию работы с программой (когда она всё удалит)
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.
    при этом будет удалён и карантин и записи о программе из реестра.
     
    Diktor1993 нравится это.
  13. Diktor1993
    Оффлайн

    Diktor1993 Новый пользователь

    Сообщения:
    6
    Симпатии:
    1
    1)Файл не сохранился.
    2)Выполнил uVS script. Свежий образ:
    3)Удалил все AdwCleaner:
     

    Вложения:

    Последнее редактирование: 3 июл 2015
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей