Решена Китайский шпиен QQPCTray. Кажется. - Помогите убить!

[Rashhin]

После распаковки архива - оказался экзэшник - в правом нижнем углу появился информер с цифрами, типа скорость соединения показывает. Выскакивает там же окошки с иероглифами, на рекламу похоже. Также сперва начали устанавливаться разные програмки, вроде как игры - удалил их сразу. Но вот сам экзэшник скачаный не удаляется, из Програм файлз папка Tencent тоже не удаляется. Через установка/удаление программ левых программ и тем более с иероглифами не видно. В меню Пуск появились 2 иконки с квадратиками вместо текста. Вот такая беда.

Система - ХР СП3. Антивирь - ДрВеб.

 

[akok]

Деинсталируйте
Search App by Ask и 电脑管家系统防护 (или другую программу с иероглифами)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Rashhin]

Аск удалил, программу с иероглифами не видно.
Отчет Адв Клинера прилагаю.

 

[akok]

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты Main.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Rashhin]

файла shortcut.txt программа не создала...
информер справа так и висит..

 

[akok]

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
CreateRestorePoint:
(Tencent) F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe
(Tencent) F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe
(Tencent) F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\plugins\QMNetMon\QQPCNetFlow.exe
(Tencent) F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCRealTimeSpeedup.exe
() F:\Documents and Settings\Дима\Application Data\1BD6AB60-1434604673-11D9-A075-14DAE9EDDE25\knsw8E.tmpfs
(Tencent) F:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe
HKU\S-1-5-21-1935655697-776561741-682003330-1003\...\MountPoints2: {1ecddbce-63a2-11e3-b898-ae6b288f89cf} - G:\Autoinstaller.exe
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt.dll [2015-06-18] (Tencent)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
HKU\S-1-5-21-1935655697-776561741-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=97951667_hao_pg
FF Plugin: @qq.com/QQPCMgr -> F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll [2015-06-18] (Tencent Technology (Shenzhen) Company Limited
CHR Extension: (Google Search) - F:\Documents and Settings\Дима\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2013-09-20]
CHR Extension: (Quick Searcher) - F:\Documents and Settings\Дима\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fjnbnpbmkenffdnngjfgmeleoegfcffe [2015-06-18]
CHR Extension: (Chrome Hotword Shared Module) - F:\Documents and Settings\Дима\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-20]
R1 QMIEProtect; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMIEProtect.sys [49464 2015-06-18] ()
R1 QMUdisk; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys [62392 2015-06-18] (Tencent)
R1 QQPCHelper; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQPCHelper.sys [22880 2015-06-18] (Tencent)
R2 QQSysMon; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QQSysMon.sys [108472 2015-06-18] (电脑管家)
R2 TAOAccelerator; F:\WINDOWS\system32\Drivers\TAOAccelerator.sys [77016 2015-06-18] (Tencent)
R2 TAOKernelDriver; F:\WINDOWS\system32\Drivers\TAOKernelXP.sys [139064 2015-06-18] (Tencent Technology(Shenzhen) Company Limited)
R1 TFsFlt; F:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2015-06-18] (电脑管家)
R3 TS888; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys [30392 2015-06-18] (Tencent)
R1 TSCPM; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\tscpm.sys [43448 2015-06-18] (电脑管家)
R1 TSDefenseBt; F:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2015-06-18] (Tencent)
R0 TsFltMgr; F:\WINDOWS\System32\drivers\TsFltMgr.sys [124792 2015-06-18] (电脑管家)
R1 TSKSP; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSKsp.sys [204920 2015-06-18] (电脑管家)
R1 TSSysKit; F:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TSSysKit.sys [101560 2015-06-18] (电脑管家)
U5 1070EE3A; F:\Windows\System32\Drivers\1070EE3A.sys [22472 2015-06-18] () [File not signed]
S3 A6E64E7; \??\F:\WINDOWS\TEMP\A6E64E7.sys [X]
S3 A994109; \??\F:\WINDOWS\TEMP\A994109.sys [X]
S3 B281E86; \??\F:\WINDOWS\TEMP\B281E86.sys [X]
2015-06-18 15:40 - 2015-06-18 15:40 - 00022472 _____ F:\WINDOWS\system32\Drivers\1070EE3A.sys
2015-06-18 15:38 - 2015-06-18 15:38 - 00000000 ____D F:\Documents and Settings\蔫爨\Application Data\Tencent
2015-06-18 15:36 - 2015-06-18 15:38 - 00000000 ____D F:\Program Files\Common Files\Tencent
2015-06-18 15:36 - 2015-06-18 15:36 - 00030392 _____ (Tencent) F:\WINDOWS\system32\Drivers\TS888.sys
2015-06-18 15:35 - 2015-06-18 15:40 - 00000000 ____D F:\Documents and Settings\Дима\Application Data\Tencent
2015-06-18 15:35 - 2015-06-18 11:29 - 00139064 _____ (Tencent Technology(Shenzhen) Company Limited) F:\WINDOWS\system32\Drivers\TAOKernelXP.sys
2015-06-18 15:35 - 2015-06-18 11:29 - 00077016 _____ (Tencent) F:\WINDOWS\system32\Drivers\TAOAccelerator.sys
2015-06-18 13:55 - 2015-06-18 15:39 - 00000000 ____D F:\Documents and Settings\袛懈屑邪\Local Settings\Temp
2015-06-18 13:55 - 2015-06-18 13:55 - 00000000 ____D F:\Documents and Settings\袛懈屑邪
2015-06-18 11:29 - 2015-06-18 11:29 - 00150072 ____N (电脑管家) F:\WINDOWS\system32\Drivers\TFsFlt.sys
2015-06-18 11:29 - 2015-06-18 11:29 - 00124792 ____N (电脑管家) F:\WINDOWS\system32\Drivers\TsFltMgr.sys
2015-06-18 11:29 - 2015-06-18 11:29 - 00067896 ____N (电脑管家) F:\WINDOWS\system32\TSSK.sys
2015-06-18 11:29 - 2015-06-18 11:29 - 00014008 ____N (Tencent) F:\WINDOWS\system32\Drivers\TSDefenseBt.sys
2015-06-18 11:29 - 2015-06-18 11:29 - 00000852 _____ F:\Documents and Settings\All Users\Главное меню\强力卸载电脑上的软件 .lnk
2015-06-18 11:29 - 2015-06-18 11:29 - 00000000 ____D F:\Documents and Settings\蔫爨
2015-06-18 11:29 - 2015-06-18 11:29 - 00000000 ____D F:\Documents and Settings\LocalService\Application Data\Tencent
2015-06-18 11:28 - 2015-06-18 15:38 - 00000000 ____D F:\Documents and Settings\All Users\Application Data\Tencent
2015-06-18 11:28 - 2015-06-18 11:28 - 00000000 ____D F:\Program Files\Tencent
2015-06-18 11:18 - 2015-06-18 11:18 - 00000000 ____D F:\Documents and Settings\Дима\Local Settings\Application Data\Chedot
F:\Documents and Settings\Дима\Local Settings\Temp\APNSetup.exe
F:\Documents and Settings\Дима\Local Settings\Temp\ChedotSetup.exe
F:\Documents and Settings\Дима\Local Settings\Temp\communicator.exe
F:\Documents and Settings\Дима\Local Settings\Temp\jre-7u67-windows-i586-iftw.exe
F:\Documents and Settings\Дима\Local Settings\Temp\jre-8u31-windows-au.exe
F:\Documents and Settings\Дима\Local Settings\Temp\loadmoney.exe
F:\Documents and Settings\Дима\Local Settings\Temp\mailruhomesearchvbm.exe
F:\Documents and Settings\Дима\Local Settings\Temp\new-super-ext.exe
F:\Documents and Settings\Дима\Local Settings\Temp\QQPCMgr_Setup.exe
F:\Documents and Settings\Дима\Local Settings\Temp\qqpcmgr_v10.10.16434.218_72489_Silence.exe
F:\Documents and Settings\Дима\Local Settings\Temp\Quarantine.exe
F:\Documents and Settings\Дима\Local Settings\Temp\rn32.dll
F:\Documents and Settings\Дима\Local Settings\Temp\Setup-yabrowser.exe
F:\Documents and Settings\Дима\Local Settings\Temp\siinst.exe
F:\Documents and Settings\Дима\Local Settings\Temp\SkypeSetup.exe
F:\Documents and Settings\Дима\Local Settings\Temp\sqlite3.dll
F:\Documents and Settings\Дима\Local Settings\Temp\strings.dll
F:\Documents and Settings\Дима\Local Settings\Temp\tmp1B4.exe
F:\Documents and Settings\Дима\Local Settings\Temp\tmp1B7.exe
F:\Documents and Settings\Дима\Local Settings\Temp\tmp4A.exe
F:\Documents and Settings\Дима\Local Settings\Temp\vuupc.exe
F:\Documents and Settings\Дима\Local Settings\Temp\yupdate-exec-yabrowser.exe
F:\Documents and Settings\Дима\Local Settings\Temp\{843E5834-688C-4968-B70E-BC86D62F7E72}-35.0.1916.114_chrome_installer.exe
F:\Documents and Settings\????\Local Settings\Temp\TempQMDTLSDKSetup20141114(1).exe
F:\Documents and Settings\????\Local Settings\Temp\TempQMDTLSDKSetup20141114.exe
F:\Documents and Settings\????\Local Settings\Temp\TempQMSystemSetup_10.10.16434.218_112217724(1).exe
F:\Documents and Settings\????\Local Settings\Temp\TempQMSystemSetup_10.10.16434.218_112217724.exe
F:\Documents and Settings\????\Local Settings\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
После выполнения скрипта сообщите какие проблемы еще остались.

 

[Rashhin]

Готово

 

[akok]

Утилита отработала без ошибок? А то лог не полный.

 

[Rashhin]

еще раз запущу попробую, были сбои и не запускалась даже было, после выполнения должна быть перезагрузка автоматом? у меня не было.

 

[akok]

были сбои и не запускалась даже было

С этого места подробнее

перезагрузка автоматом?

да
И как альтернативу
Подготовьте лог UVS

 

[Rashhin]

- отключаю антивирус
- запускаю Frst
- начинается процесс, потом ч-з нек. время выскакивает окно виндовс: мол, frst.exe обнаружена ошибка, приложение остановлено...

 

[akok]

Понятно, давайте UVS лог тогда

 

[Rashhin]

лог UVS

 

[regist]

- начинается процесс, потом ч-з нек. время выскакивает окно виндовс: мол, frst.exe обнаружена ошибка, приложение остановлено...

в безопасном режиме попробуйте.

 

[Rashhin]

вроде получилось
убегаю на работу, буду через 14 часов, надеюсь не забудете про меня за это время

 

[Кирилл]

вроде получилось

Какие проблемы остались?
Новый лог uvs сделайте.

 

[Rashhin]

Все равно висит информер и реклама выскакивает - см. скрины. УВС-лог приложил. Антивирь вроде не ругается, ато периодически троянов ловил.
MULDROP.trojan зачекали
и еще вот в меню пуск

 

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   ;uVS v3.85.24 [http://dsrt.dyndns.org]
   ;Target OS: NTv5.1
   v385c
   BREG
   sreg
   
   chklst
   delvir
   delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\49D2D59D8C0044B69FF4EAA3087930BF\49D2D59D8C0044B69FF4EAA3087930BF.EXE
   deldir %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\
   deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\TENCENT\
   deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\APPLICATION DATA\TENCENT\
   zoo %Sys32%\DRIVERS\TAOACCELERATOR.SYS
   bl 891671010E3C617091DC8FD99ADAC906 77016
   delall \\?\F:\WINDOWS\SYSTEM32\DRIVERS\TAOACCELERATOR.SYS
   zoo %Sys32%\DRIVERS\TSDEFENSEBT.SYS
   bl DA5F124A8D025AFA1E44E231AD222B8B 14008
   delall \\?\F:\WINDOWS\SYSTEM32\DRIVERS\TSDEFENSEBT.SYS
   deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130
   regt 28
   regt 29
   deltmp
   areg
4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

затем сделайте свежий образ автозапуска.

 

[Rashhin]

ок, делаю

 

[regist]

Rashhin, в предыдущем посте забыл написать, что скрипт желательно выполнить из безопасного режима.