В очередной раз залезли, куда не надо

@cactys · Регистрация: 10.03.2015

Author24 — интернет-сервис помощи студентам

В очередной раз прошу Вас помощи. На ноутбуке сотрудницы, вылезли программы на китайском, залезла куда-то и что-то установила. Пытаюсь удалить лишнее через Your Uninstaller 7. Без безрезультатно.
Файл лога во вложение.

@Sandor · 26.05.2015, 10:40

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя cactys. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

电脑管家10.9 []-->"C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\Uninst.exe"
百度杀毒3.0 []-->C:\Program Files\Baidu\BaiduSd\3.0.0.4605\uninst.exe

Эти программы удалите по этой инструкции.

Далее подготовьте лог uVS.

@cactys · 26.05.2015, 11:23 **[ТС]**

Удалил как смог Your Uninstaller'ом, сделал лог UVS во вложение.

@Sandor · 26.05.2015, 11:52

Выполните скрипт в UVS из вложенного файла.
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Повторите контрольный лог uVS.

@cactys · 26.05.2015, 12:36 **[ТС]**

Удалил какой-то, но не все.

@Sandor · 26.05.2015, 12:44

Выполните скрипт в UVS.

Код

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
zoo %Sys32%\DRIVERS\TSDEFENSEBT.SYS
bl DA5F124A8D025AFA1E44E231AD222B8B 14008
addsgn 79132211B982F18DF42BF3582830EDFAE94668FA89FA1F7885C3C5BC50D64D422317CB5D3E5511452B80849F461649FA7DDFB67C55DAB0262D77A42FC7062273 64 Tencent

delref HTTP://WWW.HAO123.COM/?TN=95085962_HAO_PG
delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\2.4_0\电脑管家上网防护

czoo

chklst
delvir

restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Добавлено через 42 секунды
Далее:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@cactys · 26.05.2015, 13:23 **[ТС]**

не могу выполнить сканирование Farbar Recovery Scan Tool, пишет в статусе scanning office session error 8821

@Sandor · 26.05.2015, 13:30

Попробуйте собрать лог из среды восстановления Windows.

@cactys · 26.05.2015, 14:19 **[ТС]**

в режиме восстановления получилось выудить только один файл.

@Sandor · 26.05.2015, 14:42

Вложенный файл fixlist.zip сохраните рядом с FRST.exe, распакуйте, в безопасном режиме запустите FRST и нажмите Fix.
По окончании вручную перегрузите компьютер. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

@cactys · 26.05.2015, 14:59 **[ТС]**

компьютер перезагрузился сам.

@Sandor · 26.05.2015, 15:01

Так, уже лучше)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@cactys · 26.05.2015, 15:19 **[ТС]**

Вот.

@Sandor · 26.05.2015, 15:30

В безопасном режиме закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('TSSysKit');
 StopService('TSKSP');
 StopService('TsFltMgr');
 StopService('TSDefenseBt');
 StopService('KDHacker');
 StopService('KAVBootC');
 StopService('6694');
 StopService('PCGuangjia');
 QuarantineFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQPCTray.exe','');
 QuarantineFile('C:\windows\system32\tssk.sys','');
 QuarantineFile('C:\windows\system32\Drivers\TFsFlt.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQSysMon.sys','');
 QuarantineFile('C:\windows\system32\drivers\ksapi.sys','');
 QuarantineFile('C:\windows\system32\drivers\kisknl.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TSSysKit.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TSKsp.sys','');
 QuarantineFile('C:\windows\system32\drivers\TsFltMgr.sys','');
 QuarantineFile('C:\windows\system32\DRIVERS\TSDefenseBt.sys','');
 QuarantineFile('c:\program files\kingsoft\kingsoft antivirus\security\kxescan\kdhacker.sys','');
 QuarantineFile('C:\windows\system32\Drivers\KAVBootC.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQPCRTP.exe','');
 QuarantineFile('C:\windows\temp\6694', '');
 QuarantineFile('C:\windows\temp\PCGuangjia', '');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQPCRTP.exe','32');
 DeleteFile('C:\windows\system32\Drivers\KAVBootC.sys','32');
 DeleteFile('c:\program files\kingsoft\kingsoft antivirus\security\kxescan\kdhacker.sys','32');
 DeleteFile('C:\windows\system32\DRIVERS\TSDefenseBt.sys','32');
 DeleteFile('C:\windows\system32\drivers\TsFltMgr.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TSKsp.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TSSysKit.sys','32');
 DeleteFile('C:\windows\system32\drivers\kisknl.sys','32');
 DeleteFile('C:\windows\system32\drivers\ksapi.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQSysMon.sys','32');
 DeleteFile('C:\windows\system32\Drivers\TFsFlt.sys','32');
 DeleteFile('C:\windows\system32\tssk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQPCTray.exe','32');
 DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kxetray.exe','32');
 DeleteFile('C:\windows\temp\6694', '32');
 DeleteFile('C:\windows\temp\PCGuangjia', '32');
 DeleteService('TSSK');
 DeleteService('TFsFlt');
 DeleteService('QQSysMon');
 DeleteService('ksapi');
 DeleteService('kisknl');
 DeleteService('TSSysKit');
 DeleteService('TSKSP');
 DeleteService('TsFltMgr');
 DeleteService('TSDefenseBt');
 DeleteService('KDHacker');
 DeleteService('KAVBootC');
 DeleteService('QQPCRTP');
 DeleteService('6694');
 DeleteService('PCGuangjia');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YandexElements','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','kxesc');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Подготовьте новый CollectionLog из обычного режима. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@cactys · 26.05.2015, 16:16 **[ТС]**

Вот. Но помоему уже чистенько все? =).

@Sandor · 26.05.2015, 16:27

Почти)

1. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2. Пофиксите в HijackThis следующие строчки (утилиту запускать правой кнопкой от имени Администратора!):

Код

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95085962_hao_pg
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95085962_hao_pg
O2 - BHO: (no name) - {10AD2C61-0898-4348-8600-14A342F22AC3} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

3. Из обычного режима попробуйте собрать еще раз логи FRST.

@cactys · 26.05.2015, 16:42 **[ТС]**

FRST так и не удалось запустить из нормального режима. Вернее запускается, но снова подвисает ошибка 8821

@Sandor · 26.05.2015, 16:44

Тогда так посмотрим:

Подготовьте лог OTL by OldTimer, как описано на этой странице.
Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
Если логи не прикрепляются запакуйте их в архив.

@cactys · 26.05.2015, 17:12 **[ТС]**

Готово

@Sandor · 28.05.2015, 08:54

Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

Код

:processes
killallprocesses
:OTL

:Services
DRV - (TSSK) -- System32\tssk.sys File not found
DRV - (TsFltMgr) -- system32\drivers\TsFltMgr.sys File not found
DRV - (TSDefenseBt) -- system32\DRIVERS\TSDefenseBt.sys File not found
DRV - (TFsFlt) -- system32\Drivers\TFsFlt.sys File not found
DRV - (QQSysMon) -- C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQSysMon.sys File not found
DRV - (ksapi) -- C:\windows\system32\drivers\ksapi.sys File not found
DRV - (kisknl) -- C:\windows\system32\drivers\kisknl.sys File not found
DRV - (KDHacker) -- c:\program files\kingsoft\kingsoft antivirus\security\kxescan\kdhacker.sys File not found
DRV - (KAVBootC) -- system32\Drivers\KAVBootC.sys File not found
:Files
[2015.05.26 11:24:28 | 000,000,000 | ---D | M] -- C:\Users\Владелец\AppData\Roaming\Kingsoft
@Alternate Data Stream - 154 bytes -> C:\ProgramData\Temp:1CE11B51

autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
ipconfig /release /c
ipconfig /renew /c
:Reg

:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot]

Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log) и прикрепите его к следующему сообщению.

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,087
	26.05.2015, 10:40	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя cactys. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ 电脑管家10.9 []-->"C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\Uninst.exe" 百度杀毒3.0 []-->C:\Program Files\Baidu\BaiduSd\3.0.0.4605\uninst.exe Эти программы удалите по этой инструкции. Далее подготовьте лог uVS. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,087
	26.05.2015, 12:44	6
	Выполните скрипт в UVS. Код ;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG zoo %Sys32%\DRIVERS\TSDEFENSEBT.SYS bl DA5F124A8D025AFA1E44E231AD222B8B 14008 addsgn 79132211B982F18DF42BF3582830EDFAE94668FA89FA1F7885C3C5BC50D64D422317CB5D3E5511452B80849F461649FA7DDFB67C55DAB0262D77A42FC7062273 64 Tencent delref HTTP://WWW.HAO123.COM/?TN=95085962_HAO_PG delref %SystemDrive%\USERS\ВЛАДЕЛЕЦ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\2.4_0\电脑管家上网防护 czoo chklst delvir restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Добавлено через 42 секунды Далее: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@cactys 0 / 0 / 0 Регистрация: 10.03.2015 Сообщений: 112
	26.05.2015, 13:23 [ТС]	7
	не могу выполнить сканирование Farbar Recovery Scan Tool, пишет в статусе scanning office session error 8821 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,087
	26.05.2015, 13:30	8
	Попробуйте собрать лог из среды восстановления Windows. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,087
	26.05.2015, 15:01	12
	Так, уже лучше) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,087
	26.05.2015, 16:27	16
	Почти) 1. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 2. Пофиксите в HijackThis следующие строчки (утилиту запускать правой кнопкой от имени Администратора!): Код R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95085962_hao_pg R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=95085962_hao_pg O2 - BHO: (no name) - {10AD2C61-0898-4348-8600-14A342F22AC3} - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) 3. Из обычного режима попробуйте собрать еще раз логи FRST. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,087
	26.05.2015, 16:44	18
	Тогда так посмотрим: Подготовьте лог OTL by OldTimer, как описано на этой странице. Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению. Если логи не прикрепляются запакуйте их в архив. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,087
	28.05.2015, 08:54	20
	Запустите повторно OTL by OldTimer или OTL.com или OTL.scr. Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". В окно Custom Scans/Fixes скопируйте следующую информацию: Код :processes killallprocesses :OTL :Services DRV - (TSSK) -- System32\tssk.sys File not found DRV - (TsFltMgr) -- system32\drivers\TsFltMgr.sys File not found DRV - (TSDefenseBt) -- system32\DRIVERS\TSDefenseBt.sys File not found DRV - (TFsFlt) -- system32\Drivers\TFsFlt.sys File not found DRV - (QQSysMon) -- C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QQSysMon.sys File not found DRV - (ksapi) -- C:\windows\system32\drivers\ksapi.sys File not found DRV - (kisknl) -- C:\windows\system32\drivers\kisknl.sys File not found DRV - (KDHacker) -- c:\program files\kingsoft\kingsoft antivirus\security\kxescan\kdhacker.sys File not found DRV - (KAVBootC) -- system32\Drivers\KAVBootC.sys File not found :Files [2015.05.26 11:24:28 \| 000,000,000 \| ---D \| M] -- C:\Users\Владелец\AppData\Roaming\Kingsoft @Alternate Data Stream - 154 bytes -> C:\ProgramData\Temp:1CE11B51 autorun.inf /alldrives recycler /alldrives ipconfig /flushdns /c ipconfig /release /c ipconfig /renew /c :Reg :Commands [EMPTYTEMP] [purity] [start explorer] [Reboot] Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix" *Компьютер перезагрузится.* После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log) и прикрепите его к следующему сообщению. 0