Закрыто QQPCTray

Тема в разделе "Лечение компьютерных вирусов", создана пользователем nikis25, 1 ноя 2015.

Статус темы:
Закрыта.
  1. nikis25
    Оффлайн

    nikis25 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Подхватил заразу, как избавиться? Прикрепляю логи
     

    Вложения:

  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    смотрю логи
     
  3. nikis25
    Оффлайн

    nikis25 Новый пользователь

    Сообщения:
    9
    Симпатии:
    0
    Жду
     
  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    nikis25, Следующее ПО вам знакомо? Сами устанавливали?
    Код (Text):
    DriverRevolution
    AnySend
    Feed Notifier 2.6
    Line Task
    Unity Web Player
    Служба автоматического обновления программ
    через Панель управления удалите следующее ПО:
    Код (Text):
    application extension version 1.5
    CiPlus-4.5vV25.10
    Compatible Web Directory
    Content Defender
    Crossbrowse
    GamesDesktop 033.005010126
    GamesDesktop 033.005010132
    HP Defender
    MediaGet
    Kometa
    Shop and Save Up
    Time tasks
    VkontakteDJ
    - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
    Код (Text):

    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
    C:\Users\Максим\Desktop\Google Chrome.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VkontakteDJ\Страничка в интернете.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Vkontakte DJ.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\MediaGet.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage\Configure.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\MediaGet.lnk
    C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VkontakteDJ\Vkontakte DJ.lnk
    C:\Users\Максим\Desktop\MediaGet.lnk
     
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.0.16794.227\plugins\qmnetmon\qqpcnetflow.exe');
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.0.16794.227\qmusbguard.exe');
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.0.16794.227\qmdl.exe');
    TerminateProcessByName('c:\programdata\swminipros\wminipro.exe');
    TerminateProcessByName('c:\users\2ba0~1\appdata\local\temp\mazda21\qqbrowser.exe');
    TerminateProcessByName('c:\users\2ba0~1\appdata\local\temp\nsq1f46.tmp');
    TerminateProcessByName('c:\users\2ba0~1\appdata\local\temp\nsn7b7f.tmp');
    TerminateProcessByName('c:\users\2ba0~1\appdata\local\temp\nsl69d7.tmp');
    TerminateProcessByName('c:\programdata\lwminiprol\wminipro.exe');
    TerminateProcessByName('c:\program files\common files\tencent\qqdownload\130\tencentdl.exe');
    TerminateProcessByName('c:\users\Максим\appdata\local\03000200-1445698732-0500-0006-000700080009\snsl94e7.tmp');
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.0.16794.227\qqpctray.exe');
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.0.16794.227\qqpcrtp.exe');
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.0.16794.227\qqpcrealtimespeedup.exe');
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.0.16794.227\plugins\qmnetmon\qqpcnetflow.exe');
    TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.0.16794.227\qmusbguard.exe');
    TerminateProcessByName('c:\program files\03000200-1445677083-0500-0006-000700080009\knsta0b6.tmp');
    TerminateProcessByName('c:\program files\03000200-1445677083-0500-0006-000700080009\jnsk6dd.tmp');
    StopService('TSSysKit');
    StopService('TSKSP');
    StopService('TsFltMgr');
    StopService('TSDefenseBt');
    StopService('TS888');
    StopService('TFsFlt');
    StopService('TAOKernelDriver');
    StopService('TAOAccelerator');
    StopService('QQSysMon');
    StopService('QMUdisk');
    StopService('SSFK');
    StopService('dijojyvi');
    StopService('WdsManPro');
    StopService('tovirohu');
    StopService('QQPCRTP');
    StopService('byjicofy');
    QuarantineFile('c:\programdata\swminipros\wminipro.exe', '');
    QuarantineFile('c:\users\2ba0~1\appdata\local\temp\mazda21\qqbrowser.exe', '');
    QuarantineFile('c:\users\2ba0~1\appdata\local\temp\nsq1f46.tmp', '');
    QuarantineFile('c:\users\2ba0~1\appdata\local\temp\nsn7b7f.tmp', '');
    QuarantineFile('c:\users\2ba0~1\appdata\local\temp\nsl69d7.tmp', '');
    QuarantineFile('C:\Users\Максим\AppData\Local\PPTAssist\utility\uninst.exe', '');
    QuarantineFile('C:\Program Files\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe', '');
    QuarantineFile('C:\Users\Максим\AppData\Local\nbkxOK\eRKpTOtNNijJ1.bat', '');
    QuarantineFile('C:\ProgramData\UZRxKrhIQSG\tSHuWIE5.bat', '');
    QuarantineFile('c:\users\максим\appdata\local\temp\FF988EA4-B0F49CB8-6AFC5170-C24E93B8\X4fNwOL725hIB.exe', '');
    QuarantineFile('C:\ProgramData\lWMi', '');
    QuarantineFile('C:\wln32\wln32.exe', '');
    QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
    QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
    QuarantineFile('C:\ProgramData\VKSaver\VKSaver.exe', '');
    QuarantineFile('C:\Windows\system32\tssk.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.0.16794.227\QQSysMon.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.0.16794.227\TAOFrame.exe', '');
    QuarantineFile('C:\Program Files\SFK\SSFK.exe', '');
    QuarantineFile('C:\Program Files\03000200-1445677083-0500-0006-000700080009\hnsk1FF5.tmp', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.0.16794.227\TSSysKit.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.0.16794.227\TSKsp.sys', '');
    QuarantineFile('C:\Windows\System32\drivers\TsFltMgr.sys', '');
    QuarantineFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.0.16794.227\TS888.sys', '');
    QuarantineFile('C:\Windows\system32\Drivers\TFsFlt.sys', '');
    QuarantineFile('C:\Windows\System32\Drivers\TAOKernel.sys', '');
    QuarantineFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '');
    QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.0.16794.227\QMUdisk.sys', '');
    QuarantineFile('C:\Users\Максим\AppData\Roaming\Tencent\AndroidServer\1.0.0.500\QQPMIpc.dll', '');
    QuarantineFile('C:\Users\Максим\AppData\Roaming\Tencent\AndroidServer\1.0.0.500\NetworkMgr.dll', '');
    QuarantineFile('C:\Users\Максим\AppData\Roaming\Tencent\AndroidServer\1.0.0.500\AndroidDevice.dll', '');
    QuarantineFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT', '');
    QuarantineFile('C:\program files\common files\tencent\qqdownload\130\dlcore.dll', '');
    QuarantineFile('c:\programdata\lwminiprol\wminipro.exe', '');
    QuarantineFile('c:\program files\common files\tencent\qqdownload\130\tencentdl.exe', '');
    QuarantineFile('c:\users\Максим\appdata\local\03000200-1445698732-0500-0006-000700080009\snsl94e7.tmp', '');
    QuarantineFile('c:\program files\tencent\qqpcmgr\11.0.16794.227\qqpctray.exe', '');
    QuarantineFile('c:\program files\tencent\qqpcmgr\11.0.16794.227\qqpcrtp.exe', '');
    QuarantineFile('c:\program files\tencent\qqpcmgr\11.0.16794.227\qqpcrealtimespeedup.exe', '');
    QuarantineFile('c:\program files\tencent\qqpcmgr\11.0.16794.227\plugins\qmnetmon\qqpcnetflow.exe', '');
    QuarantineFile('c:\program files\tencent\qqpcmgr\11.0.16794.227\qmusbguard.exe', '');
    QuarantineFile('c:\program files\03000200-1445677083-0500-0006-000700080009\knsta0b6.tmp', '');
    QuarantineFile('c:\program files\03000200-1445677083-0500-0006-000700080009\jnsk6dd.tmp', '');
    QuarantineFile('C:\Program.exe', '');
    DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '32');
    DeleteFile('C:\Windows\System32\Drivers\TAOKernel.sys', '32');
    DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys', '32');
    DeleteFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys', '32');
    DeleteFile('C:\Windows\System32\drivers\TsFltMgr.sys', '32');
    DeleteFile('C:\Windows\system32\tssk.sys', '32');
    DeleteFile('C:\wln32\wln32.exe', '32');
    DeleteFile('C:\ProgramData\lWMi', '32');
    DeleteFile('c:\users\максим\appdata\local\temp\FF988EA4-B0F49CB8-6AFC5170-C24E93B8\X4fNwOL725hIB.exe', '32');
    DeleteFile('C:\Windows\Tasks\2YdMaVmbeeUAjiinsG.job', '32');
    DeleteFile('C:\Windows\system32\Tasks\WordWizard Auto Updater 1.10.0.24 Core', '32');
    DeleteFile('C:\Windows\system32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update', '32');
    DeleteFile('C:\Windows\system32\Tasks\{5EA1D4F0-BA34-4AB8-B3D3-47F3BADB8FDE}', '32');
    DeleteFile('c:\users\2ba0~1\appdata\local\temp\nsl69d7.tmp', '32');
    DeleteFile('c:\users\2ba0~1\appdata\local\temp\nsn7b7f.tmp', '32');
    DeleteFile('c:\users\2ba0~1\appdata\local\temp\nsq1f46.tmp', '32');
    DeleteFile('c:\users\2ba0~1\appdata\local\temp\mazda21\qqbrowser.exe', '32');
    DeleteFile('c:\programdata\swminipros\wminipro.exe', '32');
    DeleteFile('C:\Program.exe', '');
    DeleteService('TSSK');
    DeleteService('TSSysKit');
    DeleteService('TSKSP');
    DeleteService('TsFltMgr');
    DeleteService('TSDefenseBt');
    DeleteService('TS888');
    DeleteService('TFsFlt');
    DeleteService('TAOKernelDriver');
    DeleteService('TAOAccelerator');
    DeleteService('QQSysMon');
    DeleteService('QMUdisk');
    DeleteService('TAOFrame');
    DeleteService('SSFK');
    DeleteService('dijojyvi');
    DeleteService('WdsManPro');
    DeleteService('tovirohu');
    DeleteService('QQPCRTP');
    DeleteService('byjicofy');
    DeleteService('byjicofy');
    DeleteService('dijojyvi');
    DeleteService('xomegyku');
    DeleteFileMask('C:\Users\Максим\AppData\Local\PPTAssist', '*', true);
    DeleteFileMask('C:\Program Files\WordWizard_1.10.0.24', '*', true);
    DeleteFileMask('C:\Users\Максим\AppData\Local\nbkxOK\', '*', true);
    DeleteFileMask('C:\ProgramData\UZRxKrhIQSG', '*', true);
    DeleteFileMask('C:\wln32', '*', true);
    DeleteFileMask('C:\Program Files\Zaxar', '*', true);
    DeleteFileMask('C:\ProgramData\VKSaver', '*', true);
    DeleteFileMask('C:\Program Files\SFK', '*', true);
    DeleteFileMask('C:\Program Files\Tencent\QQPCMgr\11.0.16794.227', '*', true);
    DeleteFileMask('C:\Program Files\Tencent\QQPCMgr', '*', true);
    DeleteFileMask('C:\Program Files\Tencent', '*', true);
    DeleteFileMask('C:\Program Files\03000200-1445677083-0500-0006-000700080009', '*', true);
    DeleteFileMask('C:\ProgramData\lWMiniProl', '*', true);
    DeleteFileMask('C:\Users\Максим\AppData\Local\03000200-1445698732-0500-0006-000700080009', '*', true);
    DeleteFileMask('C:\program files\common files\tencent', '*', true);
    DeleteFileMask('C:\Users\Максим\AppData\Roaming\Tencent', '*', true);
    DeleteFileMask('C:\ProgramData\Tencent', '*', true);
    DeleteFileMask('c:\programdata\swminipros', '*', true);
    DeleteFileMask('c:\users\2ba0~1\appdata\local\temp\mazda21', '*', true);
    DeleteDirectory('C:\Users\Максим\AppData\Local\PPTAssist');
    DeleteDirectory('C:\Program Files\WordWizard_1.10.0.24');
    DeleteDirectory('C:\Users\Максим\AppData\Local\nbkxOK\');
    DeleteDirectory('C:\ProgramData\UZRxKrhIQSG');
    DeleteDirectory('C:\wln32');
    DeleteDirectory('C:\Program Files\Zaxar');
    DeleteDirectory('C:\ProgramData\VKSaver');
    DeleteDirectory('C:\Program Files\SFK');
    DeleteDirectory('C:\Program Files\Tencent');
    DeleteDirectory('C:\Program Files\03000200-1445677083-0500-0006-000700080009');
    DeleteDirectory('C:\ProgramData\lWMiniProl');
    DeleteDirectory('C:\Users\Максим\AppData\Local\03000200-1445698732-0500-0006-000700080009');
    DeleteDirectory('C:\program files\common files\tencent');
    DeleteDirectory('C:\Users\Максим\AppData\Roaming\Tencent');
    DeleteDirectory('C:\ProgramData\Tencent');
    DeleteDirectory('c:\programdata\swminipros');
    DeleteDirectory('c:\users\2ba0~1\appdata\local\temp\mazda21');
    DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
    DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'VKSaver');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'win32');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{63332668-8CE1-445D-A5EE-25929176714E}');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
    Последнее редактирование: 1 ноя 2015
Статус темы:
Закрыта.

Поделиться этой страницей