• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Китайская программа QQPCTray.exe

Статус
В этой теме нельзя размещать новые ответы.

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Здравствуйте!
Помогите справиться с этой ерундой.
Купила новый ноутбук, после включения и настройки я не успела оглянуться, как он наустанавливал всякой всячины, предустановленный McAfee на что-то ругался, но видимо я пропустила...
В итоге надоедающее всплывающее окно с иероглифами. Удалять через удаление программ не пробовала, т.к. не знаю китайского :) Но из автозагрузки оно не убирается.
Не удивлюсь, если кроме него еще какие-нибудь зловреды проникли.
Логи прилагаю.
Спасибо.
 

Вложения

  • CollectionLog-2015.04.06-17.57.zip
    144.9 KB · Просмотры: 14

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
Удалите через установку и удаление программ:
电脑管家10.6
CinemaPlus-3.2cV05.04

Crossbrowse - это ваше? Знакомо?

Пофиксите в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95044903_hao_pg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1428250704&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1428250676&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1428250676&from=face&uid=WDCXWD10JPVX-22JC3T0_WD-WXV1E74YTUAWYTUAW&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95044903_hao_pg

Некоторых строк может не быть.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
дело в том, что при попытке удаления этой программы с иероглифами, появляется окно с иероглифами, в котором надо нажимать определенные кнопки, и я боюсь нажать что нибудь не то.
crossbrowse это не мое, похоже что он сам установился тоже.

p.s. Вроде удалила...на кнопки жала интуитивно ))
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
Давайте пока лог adwcleaner
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Вот лог.
Сейчас буду фиксить.
 

Вложения

  • AdwCleaner[R0].txt
    16 KB · Просмотры: 8

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Вот.
Теперь реклама какая то лезет в браузере...Перенаправляется на левые страницы.
Вот еще.
 

Вложения

  • AdwCleaner[S0].txt
    14.7 KB · Просмотры: 4
  • CollectionLog-2015.04.06-19.46.zip
    77.9 KB · Просмотры: 4
  • ClearLNK-06.04.2015_19-57.log
    3.3 KB · Просмотры: 2

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,497
Реакции
5,670
Баллы
753
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\Ксения\appdata\local\b5cba486-1428258856-1841-94a0-00e0b8b2178d\snsn453.tmp');
 TerminateProcessByName('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\nstd9ce.tmpfs');
 TerminateProcessByName('c:\users\Ксения\appdata\local\b5cba486-1428258841-1841-94a0-00e0b8b2178d\cnsrceed.tmp');
 TerminateProcessByName('c:\users\Ксения\appdata\local\host installer\2853903760_installcube.exe');
 SetServiceStart('TS888x64', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('turopylo', 4);
 SetServiceStart('rusoweli', 4);
 SetServiceStart('byhytezy', 4);
 StopService('TS888x64');
 StopService('QMUdisk');
 StopService('turopylo');
 StopService('rusoweli');
 StopService('byhytezy');
 QuarantineFile('C:\Users\??????\AppData\Roaming\SFSHTSVK.exe', '');
 QuarantineFile('C:\Users\Ксения\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys', '');
 QuarantineFile('c:\users\Ксения\appdata\local\b5cba486-1428258856-1841-94a0-00e0b8b2178d\snsn453.tmp', '');
 QuarantineFile('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\nstd9ce.tmpfs', '');
 QuarantineFile('c:\users\Ксения\appdata\local\b5cba486-1428258841-1841-94a0-00e0b8b2178d\cnsrceed.tmp', '');
 QuarantineFile('c:\users\Ксения\appdata\local\host installer\2853903760_installcube.exe', '');
 DeleteFile('C:\Users\Ксения\AppData\Local\B5CBA486-1428258841-1841-94A0-00E0B8B2178D\cnsrCEED.tmp', '32');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\B5CBA486-1428244228-1841-94A0-00E0B8B2178D\nstD9CE.tmpfs', '32');
 DeleteFile('C:\Users\Ксения\AppData\Local\B5CBA486-1428258856-1841-94A0-00E0B8B2178D\snsn453.tmp', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
 DeleteFile('C:\Users\Ксения\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Users\??????\AppData\Roaming\SFSHTSVK.exe', '32');
 DeleteFile('C:\Users\Ксения\AppData\Local\Host installer\2853903760_installcube.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer', '64');
 DeleteFile('C:\Windows\Tasks\SFSHTSVK.job', '64');
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
 DeleteService('turopylo');
 DeleteService('rusoweli');
 DeleteService('byhytezy');
 DeleteFileMask('C:\Users\Ксения\AppData\Roaming\Browsers\', '*', true);
 DeleteDirectory('C:\Users\Ксения\AppData\Roaming\Browsers\');
 DeleteFileMask('C:\Users\Ксения\AppData\Local\Host installer\', '*', true);
 DeleteDirectory('C:\Users\Ксения\AppData\Local\Host installer\');
 DeleteFileMask('C:\Program Files (x86)\Crossbrowse\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Crossbrowse\');
 DeleteFileMask('C:\Users\Ксения\AppData\Local\B5CBA486-1428258856-1841-94A0-00E0B8B2178D\', '*', true);
 DeleteDirectory('C:\Users\Ксения\AppData\Local\B5CBA486-1428258856-1841-94A0-00E0B8B2178D\');
 DeleteFileMask('C:\Program Files (x86)\Tencent\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Tencent\');
 DeleteFileMask('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\', '*', true);
 DeleteDirectory('c:\users\Ксения\appdata\roaming\b5cba486-1428244228-1841-94a0-00e0b8b2178d\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GoogleChromeAutoLaunch_E8D6BA4DA78CD852AD27B8DA02DB2CF5');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
 ExecuteWizard('SCU', 2, 3, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Архив отправила, вот лог.
 

Вложения

  • CollectionLog-2015.04.06-22.12.zip
    70.9 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,497
Реакции
5,670
Баллы
753
Архива не вижу продублируйте на почту quarantine <at> safezone.cc (замените <at> на @)
Логи сейчас посмотрю
Почти красиво...

Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".




  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Спасибо за помощь))
но тем не менее реклама в браузере лезет со всех сторон по-прежнему, открывается куча окон, я даже не замечаю как.
Ваши дальнейшие указания выполню завтра, спокойной ночи))
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,497
Реакции
5,670
Баллы
753
А мы к очистке рекламщиков еще и не приступали, как бы так сказать только сковырнули болячку, но перекисью не обрабатывали. Спокойной ночи. Ждем логов.
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Здравствуйте))
Продолжаем с новыми силами))
 

Вложения

  • Addition.txt
    32.6 KB · Просмотры: 1
  • FRST.txt
    70.9 KB · Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
CHR Extension: (CinemaPlus-3.2cV05.04) - C:\Users\Ксения\AppData\Local\Google\Chrome\User Data\Default\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-04-05]
OPR Extension: (CinemaPlus-3.2cV05.04) - C:\Users\Ксения\AppData\Roaming\Opera Software\Opera Stable\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-04-05]
Task: {EE75F4EA-C18D-43FD-8FD5-4D341D527445} - \Soft installer No Task File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Сообщите о наличии проблем.
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Реклама пропала, пока визуально больше проблем не вижу.
Вот лог
 

Вложения

  • Fixlog.txt
    1.9 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
Удалите Farbar Recovery Scan Tool с помощью OTCleanIt
http://safezone.cc/threads/kak-prav...ye-utility-posle-lechenija.19966/#post-128744

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Выполните рекомендации после лечения.
+ сделайте скрин папки C:\Users\ и покажите
 
Последнее редактирование:

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Выполнила все, кроме рекомендаций после лечения, внимательно почитаю и сделаю))
Огромное спасибо вам, ребята, от всей души))
Наверно эту папку с иероглифами надо вручную удалять?
 

Вложения

  • SecurityCheck.txt
    1.9 KB · Просмотры: 3
  • Снимок экрана (1).png
    Снимок экрана (1).png
    119.1 KB · Просмотры: 39

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,497
Реакции
5,670
Баллы
753
Наверно эту папку с иероглифами надо вручную удалять?

Запустите командную строку от имени администратора, введите

Код:
net user 袣褋械薪懈褟 /delete
нажмите Enter, проверьте наличие папки
 

Ephemera

Активный пользователь
Сообщения
86
Реакции
54
Баллы
408
Сделала, как вы сказали, вышла строка "не найдено имя пользователя", папка на месте.
Может я что то не так сделала?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,001
Реакции
6,181
Баллы
1,008
просто удалите эту папку.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу