Поиск по умолчанию yamdex.net в chrome + китайский вирус

@Velesik · Регистрация: 12.09.2015

Author24 — интернет-сервис помощи студентам

Добрый день!
В браузере Chrome поиском по умолчанию установлен yamdex.net
В настройках поисковых систем удалить невозможно, появляется сообщение "Этот параметр включен администратором".
Также при загрузке появляется программа с иероглифами (китайский антивирус?). В разделе удаления программ ее нет. В диспетчере задач также нельзя завершить его процесс.
Прошу помочь!
Файл с логами прилагаю. Заранее спасибо!

@Sandor · 12.09.2015, 18:40

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Velesik. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Боковая панель - Комета

В безопасном режиме:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\10.8.16208.227\qqpcrtp.exe');
 StopService('TSSysKit');
 StopService('TSCPM');
 StopService('TFsFlt');
 StopService('TAOKernelDriver');
 StopService('TAOAccelerator');
 StopService('QQSysMonX64');
 StopService('QMUdisk');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TSSysKit64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\tscpm64.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\TAOKernel64.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQSysMonX64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUdisk64.sys','');
 QuarantineFile('C:\Program Files (x86)\Yandex\Punto Switcher\punto.bat','');
 QuarantineFile('C:\Program Files (x86)\Yandex\Punto Switcher\diary.bat','');
 QuarantineFile('C:\Program Files (x86)\Yandex\Punto Switcher\layouts.bat','');
 QuarantineFile('C:\Program Files (x86)\Yandex\Punto Switcher\WelcomeToPunto.bat','');
 QuarantineFile('C:\Program Files (x86)\Yandex\Punto Switcher\ps.bat','');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQSysMonX64.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOKernel64.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\tscpm64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TSSysKit64.sys','32');
 DeleteFile('C:\Program Files (x86)\Yandex\Punto Switcher\punto.bat','32');
 DeleteFile('C:\Program Files (x86)\Yandex\Punto Switcher\diary.bat','32');
 DeleteFile('C:\Program Files (x86)\Yandex\Punto Switcher\layouts.bat','32');
 DeleteFile('C:\Program Files (x86)\Yandex\Punto Switcher\WelcomeToPunto.bat','32');
 DeleteFile('C:\Program Files (x86)\Yandex\Punto Switcher\ps.bat','32');
 DeleteService('TSSysKit');
 DeleteService('TSCPM');
 DeleteService('TFsFlt');
 DeleteService('TAOKernelDriver');
 DeleteService('TAOAccelerator');
 DeleteService('QQSysMonX64');
 DeleteService('QMUdisk');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Далее работайте в обычном режиме.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы в верху или с помощью этой формы.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Velesik · 12.09.2015, 20:06 **[ТС]**

Скрипт запустил
Файл quarantine.zip отправил
Логи прилагаю

@Velesik · 12.09.2015, 20:16 **[ТС]**

После перезапуск autologger

@Sandor · 12.09.2015, 20:27

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки отметьте галочками:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Velesik · 12.09.2015, 22:38 **[ТС]**

yamdex.net разблокировался - удалил. Браузер работает как должен.
Китайский антивирус не загружается.
Вроде все в порядке. Большое спасибо!

@Sandor · 12.09.2015, 22:49

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
CreateRestorePoint:
(IObit) C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCTRAY.EXE" /regrun /qqrepair
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMGCShellExt64.dll No File
S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TSDefenseBT64.sys [X]
2015-08-26 10:25 - 2015-08-26 11:25 - 00000000 ____D C:\IObit
2015-09-12 22:07 - 2015-07-27 21:37 - 00000000 ____D C:\Users\Все пользователи\Tencent
2015-09-12 22:07 - 2015-07-27 21:37 - 00000000 ____D C:\ProgramData\Tencent
C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114(1).exe
C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114.exe
C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQMSystemSetup_10.8.16208.227_2814024435(1) .exe
C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQMSystemSetup_10.8.16208.227_2814024435.ex e
C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQQPhoneManager-5.1.2_710201.4552.pa.exe
Task: {9A1B0FC1-C38F-4A54-875C-64E6C9ECDF82} - System32\Tasks\Uninstaller_SkipUac_Игорь => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Игорь.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
2015-07-31 05:52 - 2015-08-26 09:42 - 02874656 _____ () C:\Program Files (x86)\IObit\LiveUpdate\IObitLauncher.exe
2015-07-27 21:38 - 2014-10-16 10:26 - 00622880 _____ () C:\Program Files (x86)\IObit\LiveUpdate\ProductStatistics.dll
FirewallRules: [{35BC4B8E-98C2-4AFB-AC08-C9CB302F703C}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{C58ADD55-8AFF-4DA4-B764-914E79593657}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{C0E10A5C-3598-4FBC-8F32-D3B418773D81}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCmgrInstallGuide.exe
FirewallRules: [{0F8F0712-A464-4825-B1B2-63522F9147C0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCTray.exe
FirewallRules: [{10758198-5FF6-4913-8855-0878346AB298}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCMgr.exe
FirewallRules: [{C09FB1E6-BC8C-4F07-8457-BF9664271A1C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRTP.exe
FirewallRules: [{08A59F80-39E2-4D9B-977F-CBC0708ABC44}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMDL.exe
FirewallRules: [{A97A1034-C33F-4555-A462-4FFBC1505F51}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\bugreport.exe
FirewallRules: [{4561EABE-5402-4AA1-B821-0C8F0B96F9DC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCFileOpen.exe
FirewallRules: [{1EE0289C-79EA-4AD5-8A00-F1E269866E19}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCLeakScan.exe
FirewallRules: [{2DDD7CD3-F5C9-4B17-B45C-C685951E1354}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPConfig.exe
FirewallRules: [{50B331D9-CDBA-4C56-B310-2EC06DCDA336}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCSoftMgr.exe
FirewallRules: [{2C3AC67D-E7D1-4A29-A204-8E1B4A3A667B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{28B67F5F-2081-4DE2-A4D7-D5986342D3DF}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCBTU.exe
FirewallRules: [{10E47EDB-542F-43EC-9239-BFAE8C41C581}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCClinic.exe
FirewallRules: [{56BB1239-3152-4BB4-90E3-9783BD98B741}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCLaunch.exe
FirewallRules: [{FAB69651-78ED-4D7A-956C-D5AED311CF78}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{2B314FAD-A63F-4510-8AD9-3BC9704FB865}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCSoftGame.exe
FirewallRules: [{C1F2CB5D-CF40-4E9A-843C-E1408FCF782E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCSysOptimize.exe
FirewallRules: [{67B71755-F4A3-4949-9636-8A8509E3B767}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCUpdateAVLib.exe
FirewallRules: [{0ED1F863-79AB-426E-951B-CD2E62091A04}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQRepair.exe
FirewallRules: [{CCFE33F2-71D2-471F-AC36-7D3A7BEF96E9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\Uninst.exe
FirewallRules: [{5010C0CC-A2CA-4F3D-9CBA-5CD45A87B8D1}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCPatch.exe
FirewallRules: [{A527D16E-0DA5-4BAA-8B61-40D350D3876F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TpkUpdate.exe
FirewallRules: [{C11C9100-3079-428F-A11D-3EE554A29F67}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMRouterMgr.exe
FirewallRules: [{B84BA9A2-EFDD-4E9D-9826-BC57C1CA9F5E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMAccountProtection.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@Velesik · 12.09.2015, 23:40 **[ТС]**

Сделано

@Sandor · 13.09.2015, 11:58

Подготовьте лог uVS.

@Velesik · 14.09.2015, 00:47 **[ТС]**

Готово

@Velesik · 14.09.2015, 00:50 **[ТС]**

2 попытка)

@Sandor · 14.09.2015, 08:25

Выполните скрипт в UVS.

Код

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
BREG
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\NPQMEXTENSIONSIE.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\QMCONTEXTSCAN.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\QMCONTEXTSCAN64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\QMCONTEXTUNINSTALL64.DLL
delall %SystemRoot%\SYSWOW64\RSTRUI.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\TAOFRAME.EXE
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A534AAF29BD80EFDB0F9BF2995185E74C48531A161DFA3BDF9B7213DADC2C5977F42FA8065073 64 tencent

zoo %Sys32%\DRIVERS\TFSFLTX64.SYS
bl 6F591025E6EDDC322E7C1B1A0E56F57A 87864
delall %SystemDrive%\USERS\D395~1\APPDATA\LOCAL\TEMP\029103~1.EXE
delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
delref %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\2.6_0\电脑管家上网防护
chklst
delvir

deltmp
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите контрольный лог uVS.

@Velesik · 14.09.2015, 17:19 **[ТС]**

Результаты выполнения скрипта отправил
Лог прилагаю

@Sandor · 14.09.2015, 19:17

Установлен Аваст? Видны следы Касперского.

Чистка системы после некорректного удаления антивируса

В остальном - порядок. А как внешне?

@Velesik · 14.09.2015, 20:41 **[ТС]**

Сейчас Avast. Была пробная версия Касперского до этого.
Внешне все хорошо - еще после чистки в ADWCleaner.
Большое спасибо за помощь!

@Sandor · 14.09.2015, 20:46

Сообщение от Velesik

Была пробная версия Касперского

Удалите хвосты.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Velesik · 15.09.2015, 00:02 **[ТС]**

Прикрепил

@Sandor · 15.09.2015, 09:07

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Velesik · 15.09.2015, 09:52 **[ТС]**

Спасибо!

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	12.09.2015, 20:27	5
	Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки отметьте галочками: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	12.09.2015, 22:49	7
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. start CreateRestorePoint: (IObit) C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCTRAY.EXE" /regrun /qqrepair ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMGCShellExt64.dll No File S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TSDefenseBT64.sys [X] 2015-08-26 10:25 - 2015-08-26 11:25 - 00000000 ____D C:\IObit 2015-09-12 22:07 - 2015-07-27 21:37 - 00000000 ____D C:\Users\Все пользователи\Tencent 2015-09-12 22:07 - 2015-07-27 21:37 - 00000000 ____D C:\ProgramData\Tencent C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114(1).exe C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114.exe C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQMSystemSetup_10.8.16208.227_2814024435(1) .exe C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQMSystemSetup_10.8.16208.227_2814024435.ex e C:\Users\袠谐芯褉褜\AppData\Local\Temp\TempQQPhoneManager-5.1.2_710201.4552.pa.exe Task: {9A1B0FC1-C38F-4A54-875C-64E6C9ECDF82} - System32\Tasks\Uninstaller_SkipUac_Игорь => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_Игорь.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe 2015-07-31 05:52 - 2015-08-26 09:42 - 02874656 _____ () C:\Program Files (x86)\IObit\LiveUpdate\IObitLauncher.exe 2015-07-27 21:38 - 2014-10-16 10:26 - 00622880 _____ () C:\Program Files (x86)\IObit\LiveUpdate\ProductStatistics.dll FirewallRules: [{35BC4B8E-98C2-4AFB-AC08-C9CB302F703C}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{C58ADD55-8AFF-4DA4-B764-914E79593657}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{C0E10A5C-3598-4FBC-8F32-D3B418773D81}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCmgrInstallGuide.exe FirewallRules: [{0F8F0712-A464-4825-B1B2-63522F9147C0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCTray.exe FirewallRules: [{10758198-5FF6-4913-8855-0878346AB298}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCMgr.exe FirewallRules: [{C09FB1E6-BC8C-4F07-8457-BF9664271A1C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRTP.exe FirewallRules: [{08A59F80-39E2-4D9B-977F-CBC0708ABC44}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMDL.exe FirewallRules: [{A97A1034-C33F-4555-A462-4FFBC1505F51}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\bugreport.exe FirewallRules: [{4561EABE-5402-4AA1-B821-0C8F0B96F9DC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCFileOpen.exe FirewallRules: [{1EE0289C-79EA-4AD5-8A00-F1E269866E19}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCLeakScan.exe FirewallRules: [{2DDD7CD3-F5C9-4B17-B45C-C685951E1354}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPConfig.exe FirewallRules: [{50B331D9-CDBA-4C56-B310-2EC06DCDA336}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCSoftMgr.exe FirewallRules: [{2C3AC67D-E7D1-4A29-A204-8E1B4A3A667B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\plugins\QMNetMon\QQPCNetFlow.exe FirewallRules: [{28B67F5F-2081-4DE2-A4D7-D5986342D3DF}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCBTU.exe FirewallRules: [{10E47EDB-542F-43EC-9239-BFAE8C41C581}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCClinic.exe FirewallRules: [{56BB1239-3152-4BB4-90E3-9783BD98B741}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCLaunch.exe FirewallRules: [{FAB69651-78ED-4D7A-956C-D5AED311CF78}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{2B314FAD-A63F-4510-8AD9-3BC9704FB865}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCSoftGame.exe FirewallRules: [{C1F2CB5D-CF40-4E9A-843C-E1408FCF782E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCSysOptimize.exe FirewallRules: [{67B71755-F4A3-4949-9636-8A8509E3B767}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCUpdateAVLib.exe FirewallRules: [{0ED1F863-79AB-426E-951B-CD2E62091A04}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQRepair.exe FirewallRules: [{CCFE33F2-71D2-471F-AC36-7D3A7BEF96E9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\Uninst.exe FirewallRules: [{5010C0CC-A2CA-4F3D-9CBA-5CD45A87B8D1}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCPatch.exe FirewallRules: [{A527D16E-0DA5-4BAA-8B61-40D350D3876F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TpkUpdate.exe FirewallRules: [{C11C9100-3079-428F-A11D-3EE554A29F67}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMRouterMgr.exe FirewallRules: [{B84BA9A2-EFDD-4E9D-9826-BC57C1CA9F5E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMAccountProtection.exe EmptyTemp: Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	13.09.2015, 11:58	9
	Подготовьте лог uVS. 0

@Velesik 0 / 0 / 0 Регистрация: 12.09.2015 Сообщений: 11
	14.09.2015, 00:47 [ТС]	10
	Готово 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	14.09.2015, 08:25	12
	Выполните скрипт в UVS. Код ;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c BREG delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\NPQMEXTENSIONSIE.DLL delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\QMCONTEXTSCAN.DLL delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\QMCONTEXTSCAN64.DLL delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\QMCONTEXTUNINSTALL64.DLL delall %SystemRoot%\SYSWOW64\RSTRUI.EXE delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.8.16208.227\TAOFRAME.EXE addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A534AAF29BD80EFDB0F9BF2995185E74C48531A161DFA3BDF9B7213DADC2C5977F42FA8065073 64 tencent zoo %Sys32%\DRIVERS\TFSFLTX64.SYS bl 6F591025E6EDDC322E7C1B1A0E56F57A 87864 delall %SystemDrive%\USERS\D395~1\APPDATA\LOCAL\TEMP\029103~1.EXE delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/ delref %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\2.6_0\电脑管家上网防护 chklst delvir deltmp czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите контрольный лог uVS. 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	14.09.2015, 19:17	14
	Установлен Аваст? Видны следы Касперского. Чистка системы после некорректного удаления антивируса В остальном - порядок. А как внешне? 0

@Velesik 0 / 0 / 0 Регистрация: 12.09.2015 Сообщений: 11
	14.09.2015, 20:41 [ТС]	15
	Сейчас Avast. Была пробная версия Касперского до этого. Внешне все хорошо - еще после чистки в ADWCleaner. Большое спасибо за помощь! 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	14.09.2015, 20:46	16
	Сообщение от Velesik Была пробная версия Касперского Удалите хвосты. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	15.09.2015, 09:07	18
	Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@Velesik 0 / 0 / 0 Регистрация: 12.09.2015 Сообщений: 11
	15.09.2015, 09:52 [ТС]	19
	Спасибо! 0