• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Подцепил китайскую заразу QQPCRTP.

Статус
В этой теме нельзя размещать новые ответы.

KEDR

Новый пользователь
Сообщения
8
Симпатии
0
#1
Помогите разобраться с китайской гадостью. Какието китайские иероглифы присутствуют.
Кое что удалось почистить через установку удаление программ.
Перепробовал много антивирусных, ничего не выходит.
Всё равно ещё что-то осталось. При загрузке системы на рабочем столе
выскакивает морда какого-то Льва жёлтого потом исчезает.. ярлык....
 

Вложения

KEDR

Новый пользователь
Сообщения
8
Симпатии
0
#2
28 июля. пасадил эту заразу. когда захотел
медиа проигрыватель установить.
 

Vvvyg

Ассоциация VN
Сообщения
217
Симпатии
80
#3
Загрузите систему в безопасном режиме.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 DeleteFile('C:\Windows\System32\Drivers\360AntiHacker64.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\360AvFlt.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\360Box64.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\360FsFlt.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\rsutils.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\sysmon.sys', '32');
 DeleteFile('C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe', '32');
 DeleteFile('C:\Program Files (x86)\Rising\RAV\wbprotect.dll', '32');
 DeleteFile('c:\program files (x86)\rising\rav\ravmond.exe', '32');
 DeleteFile('c:\program files (x86)\rising\rsd\rsmgrsvc.exe', '32');
 DeleteFile('c:\program files (x86)\rising\rav\rstray.exe', '32');
 DeleteService('sysmon');
 DeleteService('rsutils');
 DeleteService('BAPIDRV');
 DeleteService('360FsFlt');
 DeleteService('360Box64');
 DeleteService('RsRavMon');
 DeleteService('RsMgrSvc');
 DeleteService('360AvFlt');
 DeleteService('360AntiHacker');
 DeleteFileMask('C:\Program Files (x86)\Rising', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Rising');
 DelBHO('{B69F34DD-F0F9-42DC-9EDD-957187DA688D}');
 ExecuteFile('schtasks.exe', '/delete /TN "RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{DF6323AD-1E58-4E4F-BD3F-CC7D1F2F5DFE}" /F', 0, 15000, true);
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_98D5BFA13B21B1F6BD544833CA6BEA23', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RavTRAY');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid', 'command');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

Сделайте лог Farbar Recovery Scan Tool.
 

Vvvyg

Ассоциация VN
Сообщения
217
Симпатии
80
#5
Но лог Farbar Recovery Scan Tool я не вижу.
 

KEDR

Новый пользователь
Сообщения
8
Симпатии
0
#6
Вот ещё., а то я плохо разбираюсь.
вот гляжу где китайское-та
 

Вложения

Vvvyg

Ассоциация VN
Сообщения
217
Симпатии
80
#7
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt64.dll No File
BootExecute: autocheck autochk *  bsmain
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll [No File]
FF Plugin-x32: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV\nprising.dll [No File]
F Plugin HKU\S-1-5-21-2175854068-730298704-1020427691-1000: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV\nprising.dll No File
OPR Extension: (No Name) - C:\Users\Клён\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-07-28]
OPR Extension: (No Name) - C:\Users\Клён\AppData\Roaming\Opera Software\Opera Stable\Extensions\hdhmofnopkgkpgnpggloijpbnaonhplc [2015-07-28]
2015-07-29 09:06 - 2015-08-10 09:04 - 00000000 __SHD C:\$360Section
2015-07-29 08:15 - 2015-08-10 09:04 - 00000000 ____D C:\Users\Все пользователи\360Quarant
2015-07-29 08:15 - 2015-08-10 09:04 - 00000000 ____D C:\ProgramData\360Quarant
2015-07-28 11:40 - 2015-08-08 08:40 - 00000000 ___RD C:\RavBin
2015-07-28 11:40 - 2015-07-28 11:40 - 00000150 __RSH C:\rising.ini
2015-07-28 11:40 - 2015-07-28 11:40 - 00000134 _____ C:\Windows\SysWOW64\BsMain.ini
2015-07-28 11:40 - 2014-07-30 05:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll
2015-07-28 11:39 - 2014-01-02 10:37 - 00325400 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\ravext64.dll
2015-07-28 11:39 - 2013-12-30 10:33 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\ravext.dll
2015-07-28 11:39 - 2012-09-06 03:30 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\bsmain.exe
2015-07-28 11:38 - 2014-09-10 09:11 - 00119344 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\sysmon.sys
2015-07-28 11:38 - 2014-08-15 04:22 - 00069336 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsutils.sys
2015-07-28 11:38 - 2012-02-29 10:49 - 00011888 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsndisp.sys
2015-07-28 11:52 - 2015-07-28 11:52 - 00000000 ____D C:\Users\袣谢褢薪
2015-07-28 11:36 - 2015-07-28 11:40 - 00000000 ____D C:\ProgramData\Rising
2015-07-28 10:59 - 2015-07-29 09:06 - 00000000 ____D C:\Program Files (x86)\baidu
2015-07-28 10:58 - 2015-07-28 10:58 - 00000000 _____ C:\Windows\prleth.sys
2015-07-28 10:58 - 2015-07-28 10:58 - 00000000 _____ C:\Windows\hgfs.sys
Task: {5B5C3AE9-710E-469B-96B0-98B15250845D} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe
Task: {9A9B5652-4828-4D78-B59B-1AFF4E7F3D40} - System32\Tasks\{DF6323AD-1E58-4E4F-BD3F-CC7D1F2F5DFE} => pcalua.exe -a "C:\Program Files (x86)\FriendlyError\tmp9FDB.bat"
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^crossbrowse.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^爱奇艺PPS影音.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk
DeleteKey:  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QQPCTray
DeleteKey:  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid
FirewallRules: [{A3106390-6165-4212-BCFE-3B555A528A06}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe
FirewallRules: [{09D0699C-7A5F-49A0-9CF1-C6539D44A295}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{1C9009C5-711E-4EAE-91D8-05092BAABDF8}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{6BBAC739-8EAC-4386-85AA-217FE98FB113}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{31EDDBBD-BD49-44C5-BDCD-2FE5552CF4C5}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{20C8F163-7219-4210-B76B-17E9A12731AF}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{E6F7064D-8245-48BD-94A2-439270DF82CF}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{CD449EB5-B4C3-4189-8D22-61F7AE82AB95}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{C05EF68E-CCC8-4AFC-9B2F-7D31E6C8F81F}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{272FD453-4173-4156-A413-F7FF6FB92554}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{575011AC-777E-415B-9C54-5F7E04018D54}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{98E37B45-6DD3-41EA-BACB-FC460562DAD3}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{77FACB89-2D82-4933-917E-BAF3026FCB0F}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
FirewallRules: [{D367AC80-F9DF-471B-90D4-F891D7D5AC3E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCmgrInstallGuide.exe
FirewallRules: [{39F95402-0B9E-409E-BB7A-C26232D618EC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe
FirewallRules: [{0136D99D-C8DE-46C8-9ABB-C278FC795F0A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCMgr.exe
FirewallRules: [{5823C64E-56A9-4CE7-B3FA-317A2F603FDB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe
FirewallRules: [{95C19CF1-B931-4523-8DE8-3FE74C2B0EB3}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMDL.exe
FirewallRules: [{2CCB41EB-1F59-4D19-A18E-6E3186127CD6}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\bugreport.exe
FirewallRules: [{51871E88-90C5-48DF-859E-9F4511C87131}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCFileOpen.exe
FirewallRules: [{AA90C335-4815-4B74-AEA2-8F588645F88C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCLeakScan.exe
FirewallRules: [{9120830B-93C9-428F-A44D-8CC9F79FE806}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPConfig.exe
FirewallRules: [{F7512356-D620-41E2-8F58-EAC5B9A6EEEC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftMgr.exe
FirewallRules: [{D342B7BF-93C4-4C9B-89F0-D284A2A44173}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{A4BE89CF-9B92-493D-AA2B-235A9F200B6E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCBTU.exe
FirewallRules: [{97920F5D-4F5D-4E4D-BF12-91BEF162A98E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCClinic.exe
FirewallRules: [{3841B85B-9326-4D64-93CF-D9BE366C66C7}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCLaunch.exe
FirewallRules: [{7C541718-7CED-4447-A14A-22F9A95016C8}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{64A37797-7938-4CBE-9F81-2DA2802E788A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftGame.exe
FirewallRules: [{FA280730-7648-4D5F-AD3A-38F465D38BFA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSysOptimize.exe
FirewallRules: [{FD8D0BD5-5F17-4B5E-95FF-7D24F0C410DA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCUpdateAVLib.exe
FirewallRules: [{D157E9B5-93C1-4297-AA0C-FCFC72D844C9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQRepair.exe
FirewallRules: [{13C824A3-11AB-414F-94A8-17B77BC0680D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe
FirewallRules: [{C21D2901-8867-4138-9BE2-E365F2265885}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCPatch.exe
FirewallRules: [{367A4CD4-5A55-48C2-AFE7-317F00A6AFA5}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TpkUpdate.exe
FirewallRules: [{5942F367-3412-4443-8435-C0B2F54584C0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMRouterMgr.exe
FirewallRules: [{02E61422-6D18-4562-B670-C3BCE0B228A2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe
FirewallRules: [{3C9D743C-7FB9-4462-9CB5-AF54DEA52A66}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMAdBlock.exe
FirewallRules: [{77A000F5-BC36-4ABA-964D-C4C4DE67FD06}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{CC6D5C90-4D01-4B5B-8B7E-2E5B9CCE4354}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{5B2D2AE2-D6BD-4221-A3C1-60C5B81D82AA}] => (Allow) C:\Program Files (x86)\Rising\RAV\ravmond.exe
FirewallRules: [{71EE922D-063F-4829-A3EC-8EF0368154C4}] => (Allow) C:\Program Files (x86)\Rising\RAV\ravmond.exe
FirewallRules: [{A16EB100-C73D-4DA3-AB4F-F1EB77D2EB1F}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{FA1C395C-6940-452F-A4A0-1A5D086A6071}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{EE16E541-414F-470E-BA76-656D0F1CA1AD}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{AE3B73D1-CBE1-43AA-A00E-A86B11AA776E}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{74C7F3DC-4D51-4009-BB87-AFD6F674FA21}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
InternetURL: C:\ProgramData\Rising\Rav\ShortCut\Repair.url -> hxxp://www.rising.com.cn/2008/repair_rs09/
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае). При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 

KEDR

Новый пользователь
Сообщения
8
Симпатии
0
#8
Китайской морды не мелькнуло при перезагрузки...
 

Вложения

Vvvyg

Ассоциация VN
Сообщения
217
Симпатии
80
#11
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено

Дата установки обновлений: 2014-03-12 05:09:17
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.8.0.870 Внимание! Скачать обновления
Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Opera 12.16 v.12.16.1860 Внимание! Скачать обновления или удалите программу с уязвимостями.
---------------------------- [ UnwantedApps ] -----------------------------
globalupdate Helper v.1.3.25.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция.

Выполните эти рекомендации.
 

KEDR

Новый пользователь
Сообщения
8
Симпатии
0
#12
Запрос на повышение прав администраторов отключен.

Как подключить это ??
 

KEDR

Новый пользователь
Сообщения
8
Симпатии
0
#14
Спасибо за оперативную помощь !!
 
Статус
В этой теме нельзя размещать новые ответы.