Решена Подцепил китайскую заразу QQPCRTP.

Статус
В этой теме нельзя размещать новые ответы.

KEDR

Новый пользователь
Сообщения
8
Реакции
0
Помогите разобраться с китайской гадостью. Какието китайские иероглифы присутствуют.
Кое что удалось почистить через установку удаление программ.
Перепробовал много антивирусных, ничего не выходит.
Всё равно ещё что-то осталось. При загрузке системы на рабочем столе
выскакивает морда какого-то Льва жёлтого потом исчезает.. ярлык....
 

Вложения

  • CollectionLog-2015.08.11-08.40.zip
    79 KB · Просмотры: 0
28 июля. пасадил эту заразу. когда захотел
медиа проигрыватель установить.
 
Загрузите систему в безопасном режиме.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 DeleteFile('C:\Windows\System32\Drivers\360AntiHacker64.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\360AvFlt.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\360Box64.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\360FsFlt.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\rsutils.sys', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\sysmon.sys', '32');
 DeleteFile('C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe', '32');
 DeleteFile('C:\Program Files (x86)\Rising\RAV\wbprotect.dll', '32');
 DeleteFile('c:\program files (x86)\rising\rav\ravmond.exe', '32');
 DeleteFile('c:\program files (x86)\rising\rsd\rsmgrsvc.exe', '32');
 DeleteFile('c:\program files (x86)\rising\rav\rstray.exe', '32');
 DeleteService('sysmon');
 DeleteService('rsutils');
 DeleteService('BAPIDRV');
 DeleteService('360FsFlt');
 DeleteService('360Box64');
 DeleteService('RsRavMon');
 DeleteService('RsMgrSvc');
 DeleteService('360AvFlt');
 DeleteService('360AntiHacker');
 DeleteFileMask('C:\Program Files (x86)\Rising', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Rising');
 DelBHO('{B69F34DD-F0F9-42DC-9EDD-957187DA688D}');
 ExecuteFile('schtasks.exe', '/delete /TN "RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{DF6323AD-1E58-4E4F-BD3F-CC7D1F2F5DFE}" /F', 0, 15000, true);
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_98D5BFA13B21B1F6BD544833CA6BEA23', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RavTRAY');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid', 'command');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте лог Farbar Recovery Scan Tool.
 
Вот что вышло..
 

Вложения

  • hijackthis.log
    6.9 KB · Просмотры: 5
  • info.txt
    15.3 KB · Просмотры: 4
  • log.txt
    59.6 KB · Просмотры: 4
Но лог Farbar Recovery Scan Tool я не вижу.
 
Вот ещё., а то я плохо разбираюсь.
вот гляжу где китайское-та
 

Вложения

  • FRST.txt
    85.8 KB · Просмотры: 0
  • Addition.txt
    32.6 KB · Просмотры: 1
  • Shortcut.txt
    72.3 KB · Просмотры: 0
  • 77.PNG
    77.PNG
    53.3 KB · Просмотры: 61
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt64.dll No File
BootExecute: autocheck autochk *  bsmain
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll [No File]
FF Plugin-x32: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV\nprising.dll [No File]
F Plugin HKU\S-1-5-21-2175854068-730298704-1020427691-1000: @rising.com.cn/nprising -> C:\Program Files (x86)\Rising\RAV\nprising.dll No File
OPR Extension: (No Name) - C:\Users\Клён\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-07-28]
OPR Extension: (No Name) - C:\Users\Клён\AppData\Roaming\Opera Software\Opera Stable\Extensions\hdhmofnopkgkpgnpggloijpbnaonhplc [2015-07-28]
2015-07-29 09:06 - 2015-08-10 09:04 - 00000000 __SHD C:\$360Section
2015-07-29 08:15 - 2015-08-10 09:04 - 00000000 ____D C:\Users\Все пользователи\360Quarant
2015-07-29 08:15 - 2015-08-10 09:04 - 00000000 ____D C:\ProgramData\360Quarant
2015-07-28 11:40 - 2015-08-08 08:40 - 00000000 ___RD C:\RavBin
2015-07-28 11:40 - 2015-07-28 11:40 - 00000150 __RSH C:\rising.ini
2015-07-28 11:40 - 2015-07-28 11:40 - 00000134 _____ C:\Windows\SysWOW64\BsMain.ini
2015-07-28 11:40 - 2014-07-30 05:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\vpatch.dll
2015-07-28 11:39 - 2014-01-02 10:37 - 00325400 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\ravext64.dll
2015-07-28 11:39 - 2013-12-30 10:33 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\ravext.dll
2015-07-28 11:39 - 2012-09-06 03:30 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\SysWOW64\bsmain.exe
2015-07-28 11:38 - 2014-09-10 09:11 - 00119344 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\sysmon.sys
2015-07-28 11:38 - 2014-08-15 04:22 - 00069336 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsutils.sys
2015-07-28 11:38 - 2012-02-29 10:49 - 00011888 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsndisp.sys
2015-07-28 11:52 - 2015-07-28 11:52 - 00000000 ____D C:\Users\袣谢褢薪
2015-07-28 11:36 - 2015-07-28 11:40 - 00000000 ____D C:\ProgramData\Rising
2015-07-28 10:59 - 2015-07-29 09:06 - 00000000 ____D C:\Program Files (x86)\baidu
2015-07-28 10:58 - 2015-07-28 10:58 - 00000000 _____ C:\Windows\prleth.sys
2015-07-28 10:58 - 2015-07-28 10:58 - 00000000 _____ C:\Windows\hgfs.sys
Task: {5B5C3AE9-710E-469B-96B0-98B15250845D} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe
Task: {9A9B5652-4828-4D78-B59B-1AFF4E7F3D40} - System32\Tasks\{DF6323AD-1E58-4E4F-BD3F-CC7D1F2F5DFE} => pcalua.exe -a "C:\Program Files (x86)\FriendlyError\tmp9FDB.bat"
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^crossbrowse.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^爱奇艺PPS影音.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Клён^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk
DeleteKey:  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QQPCTray
DeleteKey:  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid
FirewallRules: [{A3106390-6165-4212-BCFE-3B555A528A06}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe
FirewallRules: [{09D0699C-7A5F-49A0-9CF1-C6539D44A295}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{1C9009C5-711E-4EAE-91D8-05092BAABDF8}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{6BBAC739-8EAC-4386-85AA-217FE98FB113}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{31EDDBBD-BD49-44C5-BDCD-2FE5552CF4C5}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{20C8F163-7219-4210-B76B-17E9A12731AF}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{E6F7064D-8245-48BD-94A2-439270DF82CF}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{CD449EB5-B4C3-4189-8D22-61F7AE82AB95}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{C05EF68E-CCC8-4AFC-9B2F-7D31E6C8F81F}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{272FD453-4173-4156-A413-F7FF6FB92554}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{575011AC-777E-415B-9C54-5F7E04018D54}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{98E37B45-6DD3-41EA-BACB-FC460562DAD3}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{77FACB89-2D82-4933-917E-BAF3026FCB0F}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
FirewallRules: [{D367AC80-F9DF-471B-90D4-F891D7D5AC3E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCmgrInstallGuide.exe
FirewallRules: [{39F95402-0B9E-409E-BB7A-C26232D618EC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe
FirewallRules: [{0136D99D-C8DE-46C8-9ABB-C278FC795F0A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCMgr.exe
FirewallRules: [{5823C64E-56A9-4CE7-B3FA-317A2F603FDB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe
FirewallRules: [{95C19CF1-B931-4523-8DE8-3FE74C2B0EB3}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMDL.exe
FirewallRules: [{2CCB41EB-1F59-4D19-A18E-6E3186127CD6}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\bugreport.exe
FirewallRules: [{51871E88-90C5-48DF-859E-9F4511C87131}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCFileOpen.exe
FirewallRules: [{AA90C335-4815-4B74-AEA2-8F588645F88C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCLeakScan.exe
FirewallRules: [{9120830B-93C9-428F-A44D-8CC9F79FE806}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPConfig.exe
FirewallRules: [{F7512356-D620-41E2-8F58-EAC5B9A6EEEC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftMgr.exe
FirewallRules: [{D342B7BF-93C4-4C9B-89F0-D284A2A44173}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{A4BE89CF-9B92-493D-AA2B-235A9F200B6E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCBTU.exe
FirewallRules: [{97920F5D-4F5D-4E4D-BF12-91BEF162A98E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCClinic.exe
FirewallRules: [{3841B85B-9326-4D64-93CF-D9BE366C66C7}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCLaunch.exe
FirewallRules: [{7C541718-7CED-4447-A14A-22F9A95016C8}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{64A37797-7938-4CBE-9F81-2DA2802E788A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftGame.exe
FirewallRules: [{FA280730-7648-4D5F-AD3A-38F465D38BFA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSysOptimize.exe
FirewallRules: [{FD8D0BD5-5F17-4B5E-95FF-7D24F0C410DA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCUpdateAVLib.exe
FirewallRules: [{D157E9B5-93C1-4297-AA0C-FCFC72D844C9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQRepair.exe
FirewallRules: [{13C824A3-11AB-414F-94A8-17B77BC0680D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe
FirewallRules: [{C21D2901-8867-4138-9BE2-E365F2265885}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCPatch.exe
FirewallRules: [{367A4CD4-5A55-48C2-AFE7-317F00A6AFA5}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TpkUpdate.exe
FirewallRules: [{5942F367-3412-4443-8435-C0B2F54584C0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMRouterMgr.exe
FirewallRules: [{02E61422-6D18-4562-B670-C3BCE0B228A2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe
FirewallRules: [{3C9D743C-7FB9-4462-9CB5-AF54DEA52A66}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMAdBlock.exe
FirewallRules: [{77A000F5-BC36-4ABA-964D-C4C4DE67FD06}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{CC6D5C90-4D01-4B5B-8B7E-2E5B9CCE4354}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{5B2D2AE2-D6BD-4221-A3C1-60C5B81D82AA}] => (Allow) C:\Program Files (x86)\Rising\RAV\ravmond.exe
FirewallRules: [{71EE922D-063F-4829-A3EC-8EF0368154C4}] => (Allow) C:\Program Files (x86)\Rising\RAV\ravmond.exe
FirewallRules: [{A16EB100-C73D-4DA3-AB4F-F1EB77D2EB1F}] => (Allow) C:\Users\Клён\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{FA1C395C-6940-452F-A4A0-1A5D086A6071}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{EE16E541-414F-470E-BA76-656D0F1CA1AD}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{AE3B73D1-CBE1-43AA-A00E-A86B11AA776E}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{74C7F3DC-4D51-4009-BB87-AFD6F674FA21}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
InternetURL: C:\ProgramData\Rising\Rav\ShortCut\Repair.url -> hxxp://www.rising.com.cn/2008/repair_rs09/
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае). При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Китайской морды не мелькнуло при перезагрузки...
 

Вложения

  • Fixlog.txt
    22.3 KB · Просмотры: 0
лог
 

Вложения

  • SecurityCheck.txt
    6.5 KB · Просмотры: 3
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено

Дата установки обновлений: 2014-03-12 05:09:17
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.8.0.870 Внимание! Скачать обновления
Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Opera 12.16 v.12.16.1860 Внимание! Скачать обновления или удалите программу с уязвимостями.
---------------------------- [ UnwantedApps ] -----------------------------
globalupdate Helper v.1.3.25.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция.

Выполните эти рекомендации.
 
Запрос на повышение прав администраторов отключен.

Как подключить это ??
 
drinks.gif Спасибо за оперативную помощь !!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу