HolyMental Opublikowano 8 Maja 2016 Zgłoś Udostępnij Opublikowano 8 Maja 2016 Witam. Ściągnąłem dzisiaj pewne spolszczenie do gry, które okazało się być złośliwym chińskim oprogramowaniem. W programfiles pojawił mi się folder Tencent, 7 różnych procesów z chińskimi krzaczkami. Używałem CCleaner, Adwcleaner oraz FRST. Usuwałem bez neta te programy oraz do cna usunąłem ślad z rejestru po Tencencie. Niestety gdy tylko podepnę internet, od razu instalują się na nowo. Kilka razy również miałem problem z wyłączającym się monitorem. Proszę o pomoc, bo niestety moja wiedza nie jest wystarczająca by to ogarnąć Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Search.txtPobieranie informacji ... AdwCleanerS7.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 8 Maja 2016 Zgłoś Udostępnij Opublikowano 8 Maja 2016 Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Tencent jest w pełni zainstalowany - multum obiektów startowych, w tych te odnawiające modyfikacje / "reinstalujące" komponenty. Prócz Tencent, także inne szkodniki. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe S2 GoogleChromeUpService; C:\ProgramData\service.exe [1755136 2016-04-27] () [brak podpisu cyfrowego] S2 GoogleChromeUpSvc; C:\ProgramData\Windows Update\svrupg.exe [2783744 2016-05-07] (TODO: ) [brak podpisu cyfrowego] S2 lrcReportsService; C:\Program Files (x86)\Lorckphsary\lrcReportsService.exe [1005736 2016-05-06] () R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-05-08] (Tencent) U2 QQRepair1f75; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1f75 [136512 2016-05-08] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC [136512 2016-05-08] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [184952 2016-04-18] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [154744 2016-05-08] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [44664 2016-05-08] (Tencent) R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [168568 2016-05-08] () R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99480 2016-05-08] (Tencent) R1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [147576 2016-05-08] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-05-08] (电脑管家) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [28984 2016-05-08] (Tencent) R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [57976 2016-05-08] () R3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-05-08] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSSysKit64.sys [96888 2016-05-08] (电脑管家) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [tasklist] => C:\Users\HOLYEM~1\AppData\Local\Temp\28565\tasklist HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-05-08] (Tencent) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll [2016-05-08] (Tencent) BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat [2016-05-08] (Tencent) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk [2014-07-26] BootExecute: Task: {2B9F9597-A439-4A05-BA64-BC748F5CF1F4} - System32\Tasks\{E7AC9377-C964-4B3F-A37B-88299B43EC22} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\seba86mu ModPack (0.9.10 v8) + XVM 6.1.4.2.exe" -d "C:\Users\Holy Emperor\Desktop" Task: {34B42ABB-F17D-464E-857F-C8B8FA3B09F6} - System32\Tasks\{1FD127C0-9FA6-429F-8147-C848062854A8} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\intel_sct\intel_sct_9\Setup.exe" -d "C:\Users\Holy Emperor\Desktop\intel_sct\intel_sct_9" Task: {6818633B-413F-4265-ACB1-9EC9F70CE4EF} - System32\Tasks\Lorckphsary Reports => C:\Program Files (x86)\Lorckphsary\lrcReportsTask.exe [2016-05-06] () Task: {762815A5-7F8E-4CB5-AD94-D123F0F9D6F2} - System32\Tasks\{507F26FF-B854-4BF7-9C1D-3596555B0027} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\MMD3 PL.exe" -d "C:\Users\Holy Emperor\Desktop" Task: {A20D3C18-974F-4ABD-BECE-79B4BF3C1E21} - \GoogleUpdateTaskMachineUA -> Brak pliku FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\npQMExtensionsMozilla.dll [2016-05-08] (Tencent Technology (Shenzhen) Company Limited) FF Plugin HKU\S-1-5-21-3489827281-3978022601-1105995746-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{B7667919-3765-4815-A66D-98A09BE662D6} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tasklist DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKU\QMConfig Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\opendlg\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i CMD: netsh advfirewall reset C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Firewatch C:\Program Files (x86)\hohobnd C:\Program Files (x86)\Lorckphsary C:\Program Files (x86)\osTip C:\Program Files (x86)\Tencent C:\Program Files (x86)\Common Files\Tencent C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\*.* C:\ProgramData\Tencent C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Windows Update C:\Users\Holy Emperor\AppData\Roaming\Tencent C:\Users\Holy Emperor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Holy Emperor\Downloads\CCleaner-13061-dp.exe C:\Users\Holy Emperor\Downloads\yet_another_cleaner_sk_5721297.exe C:\Users\Holy Emperor\Downloads\yet_another_cleaner_sk_5721297 (1).exe C:\Users\Public\Desktop\软件管理.lnk C:\Users\Public\Documents\dmp C:\Users\Public\Thunder Network C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut oraz wyszukiwanie w rejestrze na warunki: Tencent;QQPCMgr Dołącz też plik fixlog.txt. Odnośnik do komentarza
HolyMental Opublikowano 8 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2016 Dzięki za pomoc. Zrobiłem naprawę i po restarcie nie instalują się już ponownie te dziadostwa. Wszystko jest chyba okej, aczkolwiek byłbym wdzięczny gdybyś mógł rzucić na te logi swoim okiem. Chyba jeszcze rejestr do wyczyszczenia mi pozostanie? Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Search.txtPobieranie informacji ... Odnośnik do komentarza
Rucek Opublikowano 8 Maja 2016 Zgłoś Udostępnij Opublikowano 8 Maja 2016 Cytat gdybyś mógł rzucić na te logi swoim okiem. Picasso to kobieta. Odnośnik do komentarza
picasso Opublikowano 10 Maja 2016 Zgłoś Udostępnij Opublikowano 10 Maja 2016 Fix FRST uruchomiłeś aż 4 razy! To skrypt jednorazowego użytku, po pierwszym użyciu jest już nieaktualny i należy dopasować wyniki z nowego skanu do ewentualnych poprawek. Prawie wszystko usunięte. Drobne poprawki. Otwórz Notatnik i wklej w nim: S2 QQRepair1a76; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1a76" [X] S2 QQRepairb49; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairb49" [X] R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] DeleteKey: HKU\S-1-5-18\Software\Tencent RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\WindowsMsg RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blade&Soul RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StepMania RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{0ABF504E-04CB-48FC-8E63-23828D0762A0} RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{2A3DF11A-13E4-4740-B42D-48CB9938AE0E} RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{2C49EA32-C910-4908-887F-4B1B66C6F708} RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{E212B6B8-B82B-4B0E-B2E2-7598E32F9214} RemoveDirectory: C:\Users\Holy Emperor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft CMD: del /q "C:\Users\Holy Emperor\AppData\Roaming\GiftBag.db" CMD: del /q "C:\Users\Holy Emperor\Desktop\programy\Adobe Reader XI.lnk" CMD: del /q "C:\Users\Holy Emperor\Desktop\programy\World of Warships.lnk" Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\Uninst.exe" /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
HolyMental Opublikowano 12 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2016 Bardzo Ci dziękuję za pomoc Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 13 Maja 2016 Zgłoś Udostępnij Opublikowano 13 Maja 2016 Wszystko pomyślnie usunięte. Kończymy: 1. W Dzienniku zdarzeń jest drobny nieszkodliwy błąd WMI. Zastosuj narzędzie Fix-it go usuwające: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pobranych folder FRST z FRST i jego logami. Następnie zastosuj DelFix. To wszystko. Odnośnik do komentarza
HolyMental Opublikowano 13 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2016 Mam jeszcze jeden problem, który moim zdaniem może mieć coś wspólnego z tym wirusem. Otóż po zainstalowaniu tego badziewia wyłączył mi się monitor ale po resecie znowu działał. Niestety po wykasowaniu tego, mam już drugi dzień problem z włączeniem monitora przy odpaleniu kompa Odnośnik do komentarza
driven Opublikowano 13 Maja 2016 Zgłoś Udostępnij Opublikowano 13 Maja 2016 Masz inny komputer w domu pod który mógłbyś podłączyć ten monitor albo inny monitor/TV, który mógłbyś podłączyć zamiast tego "popsutego"? Tak by było najłatwiej sprawdzić. Ja bym nie wiązał tego problemu z wirusem, czysty zbieg okoliczności. Temat powinieneś założyć w dziale Hardware. Odnośnik do komentarza
Rekomendowane odpowiedzi