Закрыто Заражение QQPCRTP

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Banana, 6 июл 2015.

Статус темы:
Закрыта.
  1. Banana
    Оффлайн

    Banana Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Подобрал данный вирус через установку программы(автоматизация действий, кликер одним словом)
    Прошу помощи)
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Здравствуйте.
    Удалите через установку и удаление программ:

    Ask Toolbar
    Search App by Ask

    Эта программа вам знакома?
    Менеджер браузеров

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\program files\tencent\qqpcmgr\10.7.16066.216\plugins\qmnetmon\qqpcnetflow.exe');
     TerminateProcessByName('c:\program files\tencent\qqpcmgr\10.7.16066.216\qqpcrealtimespeedup.exe');
     TerminateProcessByName('c:\program files\tencent\qqpcmgr\10.7.16066.216\taoframe.exe');
     TerminateProcessByName('c:\users\qqq\appdata\roaming\7b719380-1436171393-11d5-aa9a-002215e0dddd\knso3ea7.tmpfs');
     TerminateProcessByName('c:\users\qqq\appdata\local\host installer\1552028846_monster.exe');
     TerminateProcessByName('c:\program files\common files\tencent\qqdownload\130\tencentdl.exe');
     TerminateProcessByName('c:\program files\tencent\qqpcmgr\10.7.16066.216\qqpcrtp.exe');
     TerminateProcessByName('c:\program files\tencent\qqpcmgr\10.7.16066.216\qqpctray.exe');
     TerminateProcessByName('c:\program files\teamviewer\teamviewer_service.exe');
     SetServiceStart('nohyfury', 4);
     SetServiceStart('QQPCRTP', 4);
     SetServiceStart('TAOFrame', 4);
     SetServiceStart('QMIEProtect', 4);
     SetServiceStart('QMUdisk', 4);
     SetServiceStart('QQSysMon', 4);
     SetServiceStart('TAOAccelerator', 4);
     SetServiceStart('TAOKernelDriver', 4);
     SetServiceStart('TFsFlt', 4);
     SetServiceStart('TS888', 4);
     SetServiceStart('TSCPM', 4);
     SetServiceStart('TSDefenseBt', 4);
     SetServiceStart('TsFltMgr', 4);
     SetServiceStart('TSKSP', 4);
     SetServiceStart('TSSysKit', 4);
     StopService('nohyfury');
     StopService('QQPCRTP');
     StopService('TAOFrame');
     StopService('QMIEProtect');
     StopService('QMUdisk');
     StopService('QQSysMon');
     StopService('TAOAccelerator');
     StopService('TAOKernelDriver');
     StopService('TFsFlt');
     StopService('TS888');
     StopService('TSCPM');
     StopService('TSDefenseBt');
     StopService('TsFltMgr');
     StopService('TSKSP');
     StopService('TSSysKit');
     QuarantineFile('c:\program files\tencent\qqpcmgr\10.7.16066.216\plugins\qmnetmon\qqpcnetflow.exe', '');
     QuarantineFile('c:\program files\tencent\qqpcmgr\10.7.16066.216\qqpcrealtimespeedup.exe', '');
     QuarantineFile('C:\program files\common files\tencent\qqdownload\130\dlcore.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\SoftMgr\processlogdll.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\sqlite.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\StartupMgrDll.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\SXComBase.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAOBase.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAOClient.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAOKernelControl.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAOWorkFlowMgr.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAVCache.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\tave.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAVEng.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAVInterface.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAVUpload.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\tpk\1.0.0.1\tpktt.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSClinicWebFix.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSPDLdr.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSSysKitProxy.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSWebMon.dat', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSZip.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\UDiskShellExt.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\xGraphic32.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\xImage.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\zlib.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAOFrame.exe', '');
     QuarantineFile('C:\Users\qqq\AppData\Roaming\7B719380-1436171393-11D5-AA9A-002215E0DDDD\hnstA30C.tmp', '');
     QuarantineFile('C:\Windows\system32\drivers\TsFltMgr.sys', '');
     QuarantineFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\tscpm.sys', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TS888.sys', '');
     QuarantineFile('C:\Windows\system32\Drivers\TFsFlt.sys', '');
     QuarantineFile('C:\Windows\system32\Drivers\TAOKernel.sys', '');
     QuarantineFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QQSysMon.sys', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMUdisk.sys', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMIEProtect.sys', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSSysKit.sys', '');
     QuarantineFile('Archiver\HamsterArc.exe', '');
     QuarantineFile('C:\Program Files\Hamster', '');
     QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe', '');
     QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMContextUninstall.dll', '');
     QuarantineFile('c:\users\qqq\appdata\roaming\7b719380-1436171393-11d5-aa9a-002215e0dddd\knso3ea7.tmpfs', '');
     QuarantineFile('c:\users\qqq\appdata\local\host installer\1552028846_monster.exe', '');
     QuarantineFile('c:\program files\common files\tencent\qqdownload\130\tencentdl.exe', '');
     QuarantineFile('c:\program files\tencent\qqpcmgr\10.7.16066.216\qqpcrtp.exe', '');
     QuarantineFile('c:\program files\tencent\qqpcmgr\10.7.16066.216\qqpctray.exe', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSKsp.sys', '');
     QuarantineFile('\??\C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSKsp.sys', '');
     QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMGCShellExt.dll', '');
     QuarantineFile('C:\Program Files\application assistance\ap.exe', '');
     QuarantineFileF('C:\Users\qqq\AppData\Roaming\7B719380-1436171393-11D5-AA9A-002215E0DDDD', '*', true, '', 0 , 0);
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMGCShellExt.dll', '32');
     DeleteFile('\??\C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSKsp.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSKsp.sys', '32');
     DeleteFile('c:\program files\common files\tencent\qqdownload\130\tencentdl.exe', '32');
     DeleteFile('C:\Users\qqq\AppData\Local\Host installer\1552028846_monster.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\Soft installer', '32');
     DeleteFile('C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMContextUninstall.dll', '32');
     DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QQPCTray.exe', '32');
     DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe', '32');
     DeleteFile('C:\Program Files\Hamster', '32');
     DeleteFile('Archiver\HamsterArc.exe', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSSysKit.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMIEProtect.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMUdisk.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QQSysMon.sys', '32');
     DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '32');
     DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TS888.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\tscpm.sys', '32');
     DeleteFile('C:\Windows\system32\DRIVERS\TSDefenseBt.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\TsFltMgr.sys', '32');
     DeleteFile('C:\Users\qqq\AppData\Roaming\7B719380-1436171393-11D5-AA9A-002215E0DDDD\hnstA30C.tmp', '32');
     DeleteFile('C:\Users\qqq\AppData\Roaming\7B719380-1436171393-11D5-AA9A-002215E0DDDD\knso3EA7.tmpfs', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QQPCRTP.exe', '32');
     DeleteFile('C:\Windows\System32\Drivers\TAOKernel.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\zlib.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\xImage.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\xGraphic32.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\UDiskShellExt.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSZip.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSWebMon.dat', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSSysKitProxy.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSPDLdr.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TSClinicWebFix.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\tpk\1.0.0.1\tpktt.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAVUpload.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAVInterface.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAVEng.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\tave.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAVCache.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAOWorkFlowMgr.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAOKernelControl.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAOClient.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\TAOBase.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\SXComBase.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\StartupMgrDll.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\sqlite.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\SoftMgr\processlogdll.dll', '32');
     DeleteFile('C:\program files\common files\tencent\qqdownload\130\dlcore.dll', '32');
     DeleteFile('c:\program files\tencent\qqpcmgr\10.7.16066.216\taoframe.exe', '32');
     DeleteFile('c:\program files\tencent\qqpcmgr\10.7.16066.216\qqpcrealtimespeedup.exe', '32');
     DeleteFile('c:\program files\tencent\qqpcmgr\10.7.16066.216\plugins\qmnetmon\qqpcnetflow.exe', '32');
     DeleteService('nohyfury');
     DeleteService('QQPCRTP');
     DeleteService('TAOFrame');
     DeleteService('vicoqudu');
     DeleteService('QMIEProtect');
     DeleteService('QMUdisk');
     DeleteService('QQSysMon');
     DeleteService('TAOAccelerator');
     DeleteService('TAOKernelDriver');
     DeleteService('TFsFlt');
     DeleteService('TS888');
     DeleteService('TSCPM');
     DeleteService('TSDefenseBt');
     DeleteService('TsFltMgr');
     DeleteService('TSKSP');
     DeleteService('TSSysKit');
     DeleteFileMask('C:\Users\qqq\AppData\Roaming\7B719380-1436171393-11D5-AA9A-002215E0DDDD', '*', true);
     DeleteFileMask('C:\program files\common files\tencent', '*', true);
     DeleteFileMask('c:\program files\tencent', '*', true);
     DeleteDirectory('C:\Users\qqq\AppData\Roaming\7B719380-1436171393-11D5-AA9A-002215E0DDDD', '');
     DeleteDirectory('C:\program files\common files\tencent', '');
     DeleteDirectory('c:\program files\tencent', '');
     DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
     DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QQPCTray');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HFALoader', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ApnTBMon');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon', 'command');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. Banana
    Оффлайн

    Banana Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Нет,не знакома данная программа.
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Тоже удалите.

    Выполните загрузку системы в безопасном режиме.

    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

    Затем загрузка в обычном режиме.

    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.
     
  5. Banana
    Оффлайн

    Banana Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Сделано
     

    Вложения:

  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Теперь сделайте новые логи с помощью autologger
     
Статус темы:
Закрыта.

Поделиться этой страницей