• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена как удалить QQPCRTP?

Статус
В этой теме нельзя размещать новые ответы.

Nikita

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
Китайское зло антивирусами не выковыревается.
Видел похожие темы в интернете, пути решения разные. Качал авс, копировал скрипты, толка ноль.
Видно требуются творческий подход)
(что такое логи даже не знаю...)
 

Nikita

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
Лог
 

Вложения

  • CollectionLog-2015.06.06-10.41.zip
    79.1 KB · Просмотры: 9

Кирилл

Команда форума
Администратор
Сообщения
14,134
Реакции
6,171
Баллы
1,003
Эти программы вам знакомы?
AnySend

Удалите через установку и удаление программ:
Edu App
eTranslator
GamesDesktop
TSearch

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\10.9.16349.225\qqpcrtp.exe');
 TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe');
 TerminateProcessByName('c:\program files (x86)\torrent search\ieef\mux7e0wesq.exe');
 TerminateProcessByName('c:\users\user\appdata\local\kometa\kometaup.exe');
 TerminateProcessByName('c:\program files (x86)\miuitab\hpnotify.exe');
 TerminateProcessByName('c:\users\user\appdata\roaming\15af8b42-1433522005-11e3-8635-448a5b977f9b\hnsc5d67.tmp');
 SetServiceStart('TSSysKit', 4);
 SetServiceStart('TSCPM', 4);
 SetServiceStart('TS888x64', 4);
 SetServiceStart('TFsFlt', 4);
 SetServiceStart('TAOKernelDriver', 4);
 SetServiceStart('TAOAccelerator', 4);
 SetServiceStart('QQSysMonX64', 4);
 SetServiceStart('innfd_1_10_0_14', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('QQPCRTP', 4);
 SetServiceStart('IHProtect Service', 4);
 SetServiceStart('dequzody', 4);
 StopService('TSSysKit');
 StopService('TSCPM');
 StopService('TS888x64');
 StopService('TFsFlt');
 StopService('TAOKernelDriver');
 StopService('TAOAccelerator');
 StopService('QQSysMonX64');
 StopService('innfd_1_10_0_14');
 StopService('QMUdisk');
 StopService('QQPCRTP');
 StopService('IHProtect Service');
 StopService('dequzody');
 QuarantineFile('C:\Users\user\appdata\local\smartweb\swhk.dll', '');
 QuarantineFile('C:\Users\user\appdata\roaming\aspackage\aspackage.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\Host installer\350893170_monster.exe', '');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\a2OQY6mTtk.dll', '');
 QuarantineFile('C:\Program Files (x86)\Edu App\EduAppbho.dll', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe', '');
 QuarantineFile('C:\ProgramData\WindowsMangerPro', '');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
 QuarantineFileF('C:\Program Files (x86)\Tencent', '*', true, '', 0 , 0);
 QuarantineFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys', '');
 QuarantineFile('C:\WINDOWS\System32\Drivers\TAOKernel64.sys', '');
 QuarantineFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys', '');
 QuarantineFile('c:\program files (x86)\tencent\qqpcmgr\10.9.16349.225\qqpcrtp.exe', '');
 QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe', '');
 QuarantineFile('c:\program files (x86)\torrent search\ieef\mux7e0wesq.exe', '');
 QuarantineFile('c:\users\user\appdata\local\kometa\kometaup.exe', '');
 QuarantineFile('c:\program files (x86)\miuitab\hpnotify.exe', '');
 QuarantineFile('c:\users\user\appdata\roaming\15af8b42-1433522005-11e3-8635-448a5b977f9b\hnsc5d67.tmp', '');
 QuarantineFileF('C:\Program Files (x86)\MiuiTab', '*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\WindowsMangerPro', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\user\appdata\local\kometa', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\user\appdata\local\smartweb', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Program Files (x86)\Torrent Search', '*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '');
 DeleteFile('c:\program files (x86)\miuitab\hpnotify.exe', '32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\10.9.16349.225\qqpcrtp.exe', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys', '32');
 DeleteFile('C:\WINDOWS\System32\Drivers\TAOKernel64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\15AF8B42-1433522005-11E3-8635-448A5B977F9B\hnsc5D67.tmp', '32');
 DeleteFile('C:\Program Files (x86)\MiuiTab\ProtectService.exe', '32');
 DeleteFile('C:\ProgramData\WindowsMangerPro', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe', '32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\a2OQY6mTtk.dll', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer', '64');
 DeleteFile('C:\Users\user\AppData\Local\Host installer\350893170_monster.exe', '32');
 DeleteFile('C:\Users\user\appdata\roaming\aspackage\aspackage.exe', '32');
 DeleteFile('C:\Users\user\appdata\local\smartweb\swhk.dll', '32');
 DeleteFile('C:\Users\user\appdata\local\kometa\kometaup.exe', '32');
 DeleteService('TSDefenseBt');
 DeleteService('TSSysKit');
 DeleteService('TSCPM');
 DeleteService('TS888x64');
 DeleteService('TFsFlt');
 DeleteService('TAOKernelDriver');
 DeleteService('TAOAccelerator');
 DeleteService('QQSysMonX64');
 DeleteService('innfd_1_10_0_14');
 DeleteService('QMUdisk');
 DeleteService('TAOFrame');
 DeleteService('QQPCRTP');
 DeleteService('IHProtect Service');
 DeleteService('dequzody');
 DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
 DeleteFileMask('C:\Program Files (x86)\MiuiTab', '*', true);
 DeleteFileMask('C:\ProgramData\WindowsMangerPro', '*', true);
 DeleteFileMask('C:\Users\user\appdata\local\kometa', '*', true);
 DeleteFileMask('C:\Users\user\appdata\local\smartweb', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Torrent Search', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Tencent', '');
 DeleteDirectory('C:\Program Files (x86)\MiuiTab', '');
 DeleteDirectory('C:\ProgramData\WindowsMangerPro', '');
 DeleteDirectory('C:\Users\user\appdata\local\kometa', '');
 DeleteDirectory('C:\Users\user\appdata\local\smartweb', '');
 DeleteDirectory('C:\Program Files (x86)\Torrent Search', '');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QQPCTray');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kometaup');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'eTranslator Automatic Update');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 ExecuteRepair(2);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Nikita

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
авз пишет, что в тексте скрипта ошибка, либо не содержит команд авз
программы удалил
с anysend был не знаком, погуглил, удалил.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,802
Реакции
6,082
Баллы
1,008

Nikita

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
я старый авз качал 385.. он при целом скрипте выдает ошибку.
он же при проверке скрипта выдал тоннуу иероглифов (...敢楧൮匊潨䵷獥慳敧❥‬✧...)
может его кореец попортить успел.
авз из папки аутологер перемещает фаилы в карантин, затем перестает отвечать
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,802
Реакции
6,082
Баллы
1,008
Где написано, что надо качать AVZ? А тем более старую версию в которой куча ошибок. Зайдите в папку AutoLogger и там есть AVZ со свежими базами.
авз из папки аутологер перемещает фаилы в карантин, затем перестает отвечать
скорее всего просто надо подождать.
 

Nikita

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
Спасибо большое!
панели пропали, реклама пропала, процессов с иероглифами нет)
adwcleaner запускал несколько раз, с первого раза не все очистил
прикрепляю на всякий случай первый и последний отчет.
 

Вложения

  • AdwCleaner[R0].txt
    11.5 KB · Просмотры: 5
  • AdwCleaner[S2].txt
    1.3 KB · Просмотры: 4

Кирилл

Команда форума
Администратор
Сообщения
14,134
Реакции
6,171
Баллы
1,003
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:

Nikita

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
До 19 числа я буду в далеке от дома.
Не закрывайте, пожалуйста, тему.
По приезду продолжу работу и отпишусь
 

Nikita

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
Удалил.
Вирусов не обнаружено.
Спасибо большое!
 

Nikita

Активный пользователь
Сообщения
8
Реакции
0
Баллы
171
отчет после сканирования..
 

Вложения

  • avz_log.txt
    4.4 KB · Просмотры: 4

Кирилл

Команда форума
Администратор
Сообщения
14,134
Реакции
6,171
Баллы
1,003
Nikita, ,будьте внимательнее!
По окончанию работы в папке AutoLogger расположенной там же куда распаковали архив, вы найдёте архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2013.11.09-21.04
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу