• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена как удалить QQPCRTP?

Статус
В этой теме нельзя размещать новые ответы.

Nikita

Пользователь
Сообщения
8
Реакции
0
Баллы
41
Китайское зло антивирусами не выковыревается.
Видел похожие темы в интернете, пути решения разные. Качал авс, копировал скрипты, толка ноль.
Видно требуются творческий подход)
(что такое логи даже не знаю...)
 

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
Эти программы вам знакомы?
AnySend

Удалите через установку и удаление программ:
Edu App
eTranslator
GamesDesktop
TSearch

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\10.9.16349.225\qqpcrtp.exe');
 TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe');
 TerminateProcessByName('c:\program files (x86)\torrent search\ieef\mux7e0wesq.exe');
 TerminateProcessByName('c:\users\user\appdata\local\kometa\kometaup.exe');
 TerminateProcessByName('c:\program files (x86)\miuitab\hpnotify.exe');
 TerminateProcessByName('c:\users\user\appdata\roaming\15af8b42-1433522005-11e3-8635-448a5b977f9b\hnsc5d67.tmp');
 SetServiceStart('TSSysKit', 4);
 SetServiceStart('TSCPM', 4);
 SetServiceStart('TS888x64', 4);
 SetServiceStart('TFsFlt', 4);
 SetServiceStart('TAOKernelDriver', 4);
 SetServiceStart('TAOAccelerator', 4);
 SetServiceStart('QQSysMonX64', 4);
 SetServiceStart('innfd_1_10_0_14', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('QQPCRTP', 4);
 SetServiceStart('IHProtect Service', 4);
 SetServiceStart('dequzody', 4);
 StopService('TSSysKit');
 StopService('TSCPM');
 StopService('TS888x64');
 StopService('TFsFlt');
 StopService('TAOKernelDriver');
 StopService('TAOAccelerator');
 StopService('QQSysMonX64');
 StopService('innfd_1_10_0_14');
 StopService('QMUdisk');
 StopService('QQPCRTP');
 StopService('IHProtect Service');
 StopService('dequzody');
 QuarantineFile('C:\Users\user\appdata\local\smartweb\swhk.dll', '');
 QuarantineFile('C:\Users\user\appdata\roaming\aspackage\aspackage.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\Host installer\350893170_monster.exe', '');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\a2OQY6mTtk.dll', '');
 QuarantineFile('C:\Program Files (x86)\Edu App\EduAppbho.dll', '');
 QuarantineFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe', '');
 QuarantineFile('C:\ProgramData\WindowsMangerPro', '');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
 QuarantineFileF('C:\Program Files (x86)\Tencent', '*', true, '', 0 , 0);
 QuarantineFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys', '');
 QuarantineFile('C:\WINDOWS\System32\Drivers\TAOKernel64.sys', '');
 QuarantineFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys', '');
 QuarantineFile('c:\program files (x86)\tencent\qqpcmgr\10.9.16349.225\qqpcrtp.exe', '');
 QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe', '');
 QuarantineFile('c:\program files (x86)\torrent search\ieef\mux7e0wesq.exe', '');
 QuarantineFile('c:\users\user\appdata\local\kometa\kometaup.exe', '');
 QuarantineFile('c:\program files (x86)\miuitab\hpnotify.exe', '');
 QuarantineFile('c:\users\user\appdata\roaming\15af8b42-1433522005-11e3-8635-448a5b977f9b\hnsc5d67.tmp', '');
 QuarantineFileF('C:\Program Files (x86)\MiuiTab', '*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\WindowsMangerPro', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\user\appdata\local\kometa', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\user\appdata\local\smartweb', '*', true, '', 0 , 0);
 QuarantineFileF('C:\Program Files (x86)\Torrent Search', '*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '');
 DeleteFile('c:\program files (x86)\miuitab\hpnotify.exe', '32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\10.9.16349.225\qqpcrtp.exe', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys', '32');
 DeleteFile('C:\WINDOWS\System32\Drivers\TAOKernel64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\15AF8B42-1433522005-11E3-8635-448A5B977F9B\hnsc5D67.tmp', '32');
 DeleteFile('C:\Program Files (x86)\MiuiTab\ProtectService.exe', '32');
 DeleteFile('C:\ProgramData\WindowsMangerPro', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe', '32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\a2OQY6mTtk.dll', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer', '64');
 DeleteFile('C:\Users\user\AppData\Local\Host installer\350893170_monster.exe', '32');
 DeleteFile('C:\Users\user\appdata\roaming\aspackage\aspackage.exe', '32');
 DeleteFile('C:\Users\user\appdata\local\smartweb\swhk.dll', '32');
 DeleteFile('C:\Users\user\appdata\local\kometa\kometaup.exe', '32');
 DeleteService('TSDefenseBt');
 DeleteService('TSSysKit');
 DeleteService('TSCPM');
 DeleteService('TS888x64');
 DeleteService('TFsFlt');
 DeleteService('TAOKernelDriver');
 DeleteService('TAOAccelerator');
 DeleteService('QQSysMonX64');
 DeleteService('innfd_1_10_0_14');
 DeleteService('QMUdisk');
 DeleteService('TAOFrame');
 DeleteService('QQPCRTP');
 DeleteService('IHProtect Service');
 DeleteService('dequzody');
 DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
 DeleteFileMask('C:\Program Files (x86)\MiuiTab', '*', true);
 DeleteFileMask('C:\ProgramData\WindowsMangerPro', '*', true);
 DeleteFileMask('C:\Users\user\appdata\local\kometa', '*', true);
 DeleteFileMask('C:\Users\user\appdata\local\smartweb', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Torrent Search', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Tencent', '');
 DeleteDirectory('C:\Program Files (x86)\MiuiTab', '');
 DeleteDirectory('C:\ProgramData\WindowsMangerPro', '');
 DeleteDirectory('C:\Users\user\appdata\local\kometa', '');
 DeleteDirectory('C:\Users\user\appdata\local\smartweb', '');
 DeleteDirectory('C:\Program Files (x86)\Torrent Search', '');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'QQPCTray');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kometaup');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'eTranslator Automatic Update');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 ExecuteRepair(2);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Nikita

Пользователь
Сообщения
8
Реакции
0
Баллы
41
авз пишет, что в тексте скрипта ошибка, либо не содержит команд авз
программы удалил
с anysend был не знаком, погуглил, удалил.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,943
Баллы
998

Nikita

Пользователь
Сообщения
8
Реакции
0
Баллы
41
я старый авз качал 385.. он при целом скрипте выдает ошибку.
он же при проверке скрипта выдал тоннуу иероглифов (...敢楧൮匊潨䵷獥慳敧❥‬✧...)
может его кореец попортить успел.
авз из папки аутологер перемещает фаилы в карантин, затем перестает отвечать
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,324
Реакции
5,943
Баллы
998
Где написано, что надо качать AVZ? А тем более старую версию в которой куча ошибок. Зайдите в папку AutoLogger и там есть AVZ со свежими базами.
авз из папки аутологер перемещает фаилы в карантин, затем перестает отвечать
скорее всего просто надо подождать.
 

Nikita

Пользователь
Сообщения
8
Реакции
0
Баллы
41
Спасибо большое!
панели пропали, реклама пропала, процессов с иероглифами нет)
adwcleaner запускал несколько раз, с первого раза не все очистил
прикрепляю на всякий случай первый и последний отчет.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:

Nikita

Пользователь
Сообщения
8
Реакции
0
Баллы
41
До 19 числа я буду в далеке от дома.
Не закрывайте, пожалуйста, тему.
По приезду продолжу работу и отпишусь
 

Nikita

Пользователь
Сообщения
8
Реакции
0
Баллы
41
Удалил.
Вирусов не обнаружено.
Спасибо большое!
 

Nikita

Пользователь
Сообщения
8
Реакции
0
Баллы
41
отчет после сканирования..
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,811
Реакции
6,163
Баллы
913
Nikita, ,будьте внимательнее!
По окончанию работы в папке AutoLogger расположенной там же куда распаковали архив, вы найдёте архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2013.11.09-21.04
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу