• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Китайская программа QQPCTray.exe

Статус
В этой теме нельзя размещать новые ответы.

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Здравствуйте!
Помогите справиться с этой ерундой.
Купила новый ноутбук, после включения и настройки я не успела оглянуться, как он наустанавливал всякой всячины, предустановленный McAfee на что-то ругался, но видимо я пропустила...
В итоге надоедающее всплывающее окно с иероглифами. Удалять через удаление программ не пробовала, т.к. не знаю китайского :) Но из автозагрузки оно не убирается.
Не удивлюсь, если кроме него еще какие-нибудь зловреды проникли.
Логи прилагаю.
Спасибо.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,939
Реакции
6,294
Баллы
993
Удалите через установку и удаление программ:
电脑管家10.6
CinemaPlus-3.2cV05.04

Crossbrowse - это ваше? Знакомо?

Пофиксите в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95044903_hao_pg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1428250676&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1428250676&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95044903_hao_pg
Некоторых строк может не быть.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
дело в том, что при попытке удаления этой программы с иероглифами, появляется окно с иероглифами, в котором надо нажимать определенные кнопки, и я боюсь нажать что нибудь не то.
crossbrowse это не мое, похоже что он сам установился тоже.

p.s. Вроде удалила...на кнопки жала интуитивно ))
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,939
Реакции
6,294
Баллы
993
Давайте пока лог adwcleaner
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Вот лог.
Сейчас буду фиксить.
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,939
Реакции
6,294
Баллы
993
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,486
Реакции
8,871
Баллы
753
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\Ксения\appdata\local\b5cba486-1428258856-1841-94a0-00e0b8b2178d\snsn453.tmp');
 TerminateProcessByName('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\nstd9ce.tmpfs');
 TerminateProcessByName('c:\users\Ксения\appdata\local\b5cba486-1428258841-1841-94a0-00e0b8b2178d\cnsrceed.tmp');
 TerminateProcessByName('c:\users\Ксения\appdata\local\host installer\2853903760_installcube.exe');
 SetServiceStart('TS888x64', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('turopylo', 4);
 SetServiceStart('rusoweli', 4);
 SetServiceStart('byhytezy', 4);
 StopService('TS888x64');
 StopService('QMUdisk');
 StopService('turopylo');
 StopService('rusoweli');
 StopService('byhytezy');
 QuarantineFile('C:\Users\??????\AppData\Roaming\SFSHTSVK.exe', '');
 QuarantineFile('C:\Users\Ксения\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys', '');
 QuarantineFile('c:\users\Ксения\appdata\local\b5cba486-1428258856-1841-94a0-00e0b8b2178d\snsn453.tmp', '');
 QuarantineFile('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\nstd9ce.tmpfs', '');
 QuarantineFile('c:\users\Ксения\appdata\local\b5cba486-1428258841-1841-94a0-00e0b8b2178d\cnsrceed.tmp', '');
 QuarantineFile('c:\users\Ксения\appdata\local\host installer\2853903760_installcube.exe', '');
 DeleteFile('C:\Users\Ксения\AppData\Local\B5CBA486-1428258841-1841-94A0-00E0B8B2178D\cnsrCEED.tmp', '32');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\B5CBA486-1428244228-1841-94A0-00E0B8B2178D\nstD9CE.tmpfs', '32');
 DeleteFile('C:\Users\Ксения\AppData\Local\B5CBA486-1428258856-1841-94A0-00E0B8B2178D\snsn453.tmp', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Users\??????\AppData\Roaming\SFSHTSVK.exe', '32');
 DeleteFile('C:\Users\Ксения\AppData\Local\Host installer\2853903760_installcube.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer', '64');
 DeleteFile('C:\Windows\Tasks\SFSHTSVK.job', '64');
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
 DeleteService('turopylo');
 DeleteService('rusoweli');
 DeleteService('byhytezy');
 DeleteFileMask('C:\Users\Ксения\AppData\Roaming\Browsers\', '*', true);
 DeleteDirectory('C:\Users\Ксения\AppData\Roaming\Browsers\');
 DeleteFileMask('C:\Users\Ксения\AppData\Local\Host installer\', '*', true);
 DeleteDirectory('C:\Users\Ксения\AppData\Local\Host installer\');
 DeleteFileMask('C:\Program Files (x86)\Crossbrowse\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Crossbrowse\');
 DeleteFileMask('C:\Users\Ксения\AppData\Local\B5CBA486-1428258856-1841-94A0-00E0B8B2178D\', '*', true);
 DeleteDirectory('C:\Users\Ксения\AppData\Local\B5CBA486-1428258856-1841-94A0-00E0B8B2178D\');
 DeleteFileMask('C:\Program Files (x86)\Tencent\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Tencent\');
 DeleteFileMask('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\', '*', true);
 DeleteDirectory('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_E8D6BA4DA78CD852AD27B8DA02DB2CF5');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
 ExecuteWizard('SCU', 2, 3, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,486
Реакции
8,871
Баллы
753
Архива не вижу продублируйте на почту quarantine <at> safezone.cc (замените <at> на @)
Логи сейчас посмотрю
Почти красиво...

Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".




  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Спасибо за помощь))
но тем не менее реклама в браузере лезет со всех сторон по-прежнему, открывается куча окон, я даже не замечаю как.
Ваши дальнейшие указания выполню завтра, спокойной ночи))
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,486
Реакции
8,871
Баллы
753
А мы к очистке рекламщиков еще и не приступали, как бы так сказать только сковырнули болячку, но перекисью не обрабатывали. Спокойной ночи. Ждем логов.
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Здравствуйте))
Продолжаем с новыми силами))
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,939
Реакции
6,294
Баллы
993
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CHR Extension: (CinemaPlus-3.2cV05.04) - C:\Users\Ксения\AppData\Local\Google\Chrome\User Data\Default\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-04-05]
OPR Extension: (CinemaPlus-3.2cV05.04) - C:\Users\Ксения\AppData\Roaming\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-04-05]
Task: {EE75F4EA-C18D-43FD-8FD5-4D341D527445} - \Soft installer No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сообщите о наличии проблем.
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Реклама пропала, пока визуально больше проблем не вижу.
Вот лог
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,939
Реакции
6,294
Баллы
993
Удалите Farbar Recovery Scan Tool с помощью OTCleanIt
http://safezone.cc/threads/kak-prav...ye-utility-posle-lechenija.19966/#post-128744

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Выполните рекомендации после лечения.
+ сделайте скрин папки C:\Users\ и покажите
 
Последнее редактирование:

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Выполнила все, кроме рекомендаций после лечения, внимательно почитаю и сделаю))
Огромное спасибо вам, ребята, от всей души))
Наверно эту папку с иероглифами надо вручную удалять?
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,486
Реакции
8,871
Баллы
753
Наверно эту папку с иероглифами надо вручную удалять?
Запустите командную строку от имени администратора, введите

Код:
net user 袣褋械薪懈褟 /delete
нажмите Enter, проверьте наличие папки
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Сделала, как вы сказали, вышла строка "не найдено имя пользователя", папка на месте.
Может я что то не так сделала?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,456
Реакции
6,033
Баллы
1,008
просто удалите эту папку.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу