При обновлении игры TERA Online словил гадость

@Turok123 · Регистрация: 01.05.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте !
Со мной такое впервые. Захотелось поиграть в онлайн игру,она начала обновляться (антивирус был отключён,потому что игра так обновлялась быстрее,вот теперь очень жалею,что отключил его) и тут бац, ВСЕ программы закрылись.
В диспетчере задач появились какие-то незнакомые мне процессы и установилось куча AdWare,которую я потом по удалял в "Программы и компоненты".
Помогите почиститься !

P.S. После лечения буду ругаться с тех.поддержкой этой игры.

Вот блин((( Адварь атакует !!!!!!!!!!!!!!! Я её удаляю,а она через некоторая время снова появляется + ещё китайский антивирус установился.

Добавлено через 7 минут
Теперь ещё и Tencent какой-то установился(

Добавлено через 28 минут
...

@shestale · 17.06.2015, 06:17

Внимание! Рекомендации написаны специально для Turok123. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Program Files\Zaxar', '*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Igor\AppData\Roaming\eTranslator', '*', true, '', 0, 0);
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\timetasks.exe', '');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\timetasks.exe', '32');
 DeleteFileMask('C:\Program Files\Zaxar', '*', true);
 DeleteDirectory('C:\Program Files\Zaxar');
 DeleteFileMask('C:\Users\Igor\AppData\Roaming\eTranslator', '*', true);
 DeleteDirectory('C:\Users\Igor\AppData\Roaming\eTranslator');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код

O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files\Zaxar\ZaxarGameBrowser.exe" -s
O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKLM\..\Run: [Timestasks] "C:\Program Files\Zaxar\timetasks.exe"

Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

п.с.
Tencent - пока в логи не попал, поэтому удалим чуть позже.

@Turok123 · 17.06.2015, 08:01 **[ТС]**

shestale, скрипт выполнил,карантин отправил.

@shestale · 17.06.2015, 08:02

Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте лог uVS.

@Turok123 · 17.06.2015, 08:22 **[ТС]**

shestale, вот,держите.

@shestale · 17.06.2015, 08:48

Выполните скрипт в uVS.

Код

OFFSGNSAVE
sreg
delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMGCSHELLEXT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMCONTEXTSCAN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMCONTEXTUNINSTALL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMBROWSERSAFE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMIESAFEDLL.DLL

delall %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\EXNSCAN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMIPC.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QQPCRTP.EXE

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\SQLITE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TPK\1.0.0.1\TPKREPORT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TPK\1.0.0.1\TPKTT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TPK\1.0.0.1\TPKCOM.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TPK\1.0.0.1\TPKPROXY.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAVE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMRTPCHECK.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMEMMAT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\RTPCOMMON.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\SYSSPEEDUPRTPPLUGIN\SYSSPEEDUPRTPPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMIEMALRTPPLUGIN\QMIEMALRTPPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\SPECIALPLUGIN\QMHIPSSPECIAL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMCLOUDINTER\QMCLOUDINTER.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMCPM.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\ODAYPROTECT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\COMMUNIC.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QQPCFIXATDLL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\SOFTMGR\PROCESSLOGDLL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAVINTERFACE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMBDSCANNER.DAT

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\SXCOMBASE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMSCRIPTHOST.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMEXT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QQFILEFLT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\ZLIB.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMSYSREPPROV.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMASSOCSCAN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAVUPLOAD.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TSSYSKITPROXY.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAVCACHE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMHIPSENGINE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMFILEMON.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QQPCHARDWARE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMREPAIRPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMNETWORKMGR.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TINYXML.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAVENG.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMDNS.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMUL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMAVPROXY.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMSAFEBOXHELPERDLL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMRTPDLL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMHIPS.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMPERFCTRL\QMPERF.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PTRATE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\DR.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\REFUSEINJECT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMCOMMON.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QQPCTRAY.EXE

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\COMMON.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\GF.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QQWIFITRAYPLUGIN\QQWIFITRAYPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMKCHECK\QMKCHECK.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMUPDATEMODULE\QMUPDATEMODULE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\GAMEUPGRADE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMTROJANPLUGIN\QMTROJANPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\ANDROIDASSISTHELPER.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMMOBILETRAYPLUGIN\QMMOBILETRAYPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAOWORKFLOWMGR.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\STARTUPMGR\SOFTMON.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\NETFLOWMGR.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAOKERNELCONTROL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAOBASE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMSPECTIPS\QMSPECTIPS.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMSSO\BIN\SSOPLATFORM.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMSSO\BIN\SSOCOMMON.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMSSO\BIN\SSOLUICONTROL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\UDISKSHELLEXT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMONPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMTRAYDETECTOR\QMTRAYDETECTOR.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMDLDER.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMTPKTRAYPLUGIN\QMTPKTRAYPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMDNSMONITOR\QMDNSMONITOR.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMCLINICTRAYPLUGIN\QMCLINICTRAYPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMSXTRAYPLUGIN\QMSXTRAYPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMUDISKMGR\QMUDISKMGR.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMSTARTUPMONITORNOTIFY\QMSTARTUPMONITORNOTIFY.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\GARBAGECLEANER.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\7Z.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TSZIP.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMAUTOTASKPLUGIN\QMAUTOTASKPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMTPIESTARTPAGE\QMTPIESTARTPAGE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMWEBFWCTRL\QMWEBFWCTRL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMPREDOWNLOAD\QMPREDOWNLOAD.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMFORBIDDENWINKEY.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAOCLIENT.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TSPDLDR.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMQQLOGINPLUGIN\QMQQLOGINPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMAVTRAYPLUGIN\QMAVTRAYPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMRTPPLUGIN\QMRTPPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\STARTUPMGRDLL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\DLPROTECTCOMM.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMLOGCTRL\QMLOGCTRL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PROCESSMANAGER.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMSOFTPLUGIN\QMSOFTPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMVULPLUGIN\QMVULPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMHWFLOATWND\QMHWFLOATWND.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMWLANMACDLL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMNEWSTIPS\QMNEWSTIPS.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMBJTRAYPLUGIN\QMBJTRAYPLUGIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMIEPROTECTIO.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMTRAYPLUGIN\QMPERFCTRL\QMPERFCTRL.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\MEMDEFRAG.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMSKINMGR.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\XIMAGE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\JGIOSTUB.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\LIBJPEGTURBO.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\LIBPNG.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\ARKGRAPHIC.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\XGRAPHIC32.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\LIBEXPATW.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\GFCUSTOM.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMMAIN.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\JGIMAGE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QQPCREALTIMESPEEDUP.EXE

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMSPEEDUPPLUGIN\SPEEDUPROCKET\SPEEDUPROCKET.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\GFFTSYSCUSTOM.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\QQPCNETFLOW.EXE

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\COMMON.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\GF.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\JGIOSTUB.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\LIBJPEGTURBO.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\LIBPNG.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\JGIMAGE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\ARKGRAPHIC.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\XGRAPHIC32.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\TINYXML.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\LIBEXPATW.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\PLUGINS\QMNETMON\ZLIB.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TSWEBMON.DAT

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\NPQMEXTENSIONSMOZILLA.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMIEPROTECT.SYS

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QMUDISK.SYS

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QQSYSMON.SYS

delall %Sys32%\DRIVERS\TAOACCELERATOR.SYS

delall %Sys32%\DRIVERS\TAOKERNEL.SYS

delall %Sys32%\DRIVERS\TFSFLT.SYS

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TS888.SYS

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TSCPM.SYS

delall %Sys32%\DRIVERS\TSDEFENSEBT.SYS

delall %Sys32%\DRIVERS\TSFLTMGR.SYS

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TSKSP.SYS

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TSSYSKIT.SYS

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\NPQMEXTENSIONSIE.DLL

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\TAOFRAME.EXE

delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.9.16350.226\QQPCSOFTMGR.EXE
chklst
delvir
deltmp
areg

Сделайте новый лог uVS.

@Turok123 · 17.06.2015, 14:42 **[ТС]**

shestale, вот.

@shestale · 17.06.2015, 15:01

Еще разок попробуем...только теперь выполните его, загрузившись предварительно в безопасный режим!!!

Выполните скрипт в uVS.

скрипт.txt

Сделайте новый лог uVS.

@Turok123 · 17.06.2015, 15:43 **[ТС]**

shestale, вот.

@Sandor · 17.06.2015, 16:24

В обычном режиме:
Выполните скрипт в UVS.

Код

;uVS v3.85.22 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall %SystemDrive%\PROGRAMDATA\APPDATA\LOCAL\TEMP\37109371\1\ADDON_APP\1.EXE
delref %SystemDrive%\USERS\IGOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_0\CHROME HOTWORD SHARED MODULE
delref %SystemDrive%\USERS\IGOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\2.4_0\电脑管家上网防护
regt 27
deltmp
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Turok123 · 17.06.2015, 17:09 **[ТС]**

Sandor, держите.

@Turok123 · 17.06.2015, 18:01 **[ТС]**

Sandor, снова появились какие-то непонятные процессы и установилась программа AIService.

Добавлено через 45 минут
Установилось куча левого ПО.

@shestale · 17.06.2015, 18:04

Выполните скрипт в Farbar Recovery Scan Tool

Код

start
CreateRestorePoint:
电脑管家10.9 (HKLM\...\QQPCMgr) (Version: 10.9.16350.226 - 腾讯科技(深圳)有限公司) <==== ATTENTION
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Igor\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-25]
CHR Extension: (Adblock Pro) - C:\Users\Igor\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocifcklkibdehekfnmflempfgjhbedch [2015-04-30]
2015-06-17 13:57 - 2015-06-17 13:57 - 00000000 ____D C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-06-17 08:06 - 2015-06-17 13:57 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-06-17 08:06 - 2015-06-17 12:57 - 00030392 _____ (Tencent) C:\Windows\system32\Drivers\TS888.sys
2015-06-17 08:06 - 2015-06-17 12:53 - 00000000 ____D C:\Users\Igor\AppData\Roaming\Tencent
2015-06-17 08:05 - 2015-06-17 08:05 - 00000000 ____D C:\Users\Все пользователи\TXQMPC
2015-06-17 08:05 - 2015-06-17 08:05 - 00000000 ____D C:\ProgramData\TXQMPC
2015-06-16 23:52 - 2015-06-16 23:51 - 00067896 ____N (电脑管家) C:\Windows\system32\TSSK.sys
2015-06-16 23:51 - 2015-06-17 12:52 - 00000000 ____D C:\Users\Все пользователи\Tencent
2015-06-16 23:51 - 2015-06-17 12:52 - 00000000 ____D C:\ProgramData\Tencent
2015-06-16 23:51 - 2015-06-16 23:51 - 00000000 ____D C:\Program Files\Tencent
2015-06-16 23:51 - 2015-06-16 23:51 - 00000000 _____ C:\Users\Igor\Desktop\$电脑管家-清理垃圾$.qmgc
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.

@Turok123 · 17.06.2015, 18:15 **[ТС]**

shestale, держите.

@Turok123 · 17.06.2015, 18:16 **[ТС]**

Состояние системы ухудшилось. Откуда-то устанавливается левое ПО и очень сильно подвисает система.

@shestale · 17.06.2015, 18:19

Сообщение от Turok123

очень сильно подвисает система

перегрузи несколько раз комп, после Farbar Recovery Scan Tool такое бывает, уже не раз подмечал.

@Turok123 · 17.06.2015, 18:24 **[ТС]**

shestale, а это

Сообщение от Turok123

Откуда-то устанавливается левое ПО

?
Установилось AIService,AnyProtect,WindeskWinsearch,GamessDekstop и много другой заразы.
Антивирус каждую секунду что-то блокирует.

@shestale · 17.06.2015, 18:26

Давай еще раз лог адвклинера, если не поможет, то будем МВАМ смотреть.

@Turok123 · 17.06.2015, 18:29 **[ТС]**

shestale, держи.

@shestale · 17.06.2015, 18:33

Удалите в AdwCleaner все найденные объекты.
+
Почистите кэш и куки в браузерах.

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.06.2015, 06:17	2
	Внимание! Рекомендации написаны специально для Turok123. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('C:\Program Files\Zaxar', '', true, '', 0 ,0); QuarantineFileF('C:\Users\Igor\AppData\Roaming\eTranslator', '', true, '', 0, 0); QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\Program Files\Zaxar\timetasks.exe', ''); DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\Program Files\Zaxar\timetasks.exe', '32'); DeleteFileMask('C:\Program Files\Zaxar', '', true); DeleteDirectory('C:\Program Files\Zaxar'); DeleteFileMask('C:\Users\Igor\AppData\Roaming\eTranslator', '', true); DeleteDirectory('C:\Users\Igor\AppData\Roaming\eTranslator'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): Код O4 - HKLM\..\Run: [ZaxarGameBrowser] "C:\Program Files\Zaxar\ZaxarGameBrowser.exe" -s O4 - HKLM\..\Run: [ZaxarLoader] "C:\Program Files\Zaxar\ZaxarLoader.exe" /verysilent O4 - HKLM\..\Run: [Timestasks] "C:\Program Files\Zaxar\timetasks.exe" Удалите параметры запуска ярлыков. Подготовьте лог AdwCleaner. п.с. Tencent - пока в логи не попал, поэтому удалим чуть позже. 1

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.06.2015, 08:02	4
	Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Подготовьте лог uVS. 1

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.06.2015, 15:01	8
	Еще разок попробуем...только теперь выполните его, загрузившись предварительно в безопасный режим!!! Выполните скрипт в uVS. скрипт.txt Сделайте новый лог uVS. 1

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,055
	17.06.2015, 16:24	10
	В обычном режиме: Выполните скрипт в UVS. Код ;uVS v3.85.22 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c BREG delall %SystemDrive%\PROGRAMDATA\APPDATA\LOCAL\TEMP\37109371\1\ADDON_APP\1.EXE delref %SystemDrive%\USERS\IGOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LCCEKMODGKLAEPJEOFJDJPBMINLLAJKG\0.3.0.5_0\CHROME HOTWORD SHARED MODULE delref %SystemDrive%\USERS\IGOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\2.4_0\电脑管家上网防护 regt 27 deltmp restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Turok123 4243 / 1742 / 248 Регистрация: 01.05.2013 Сообщений: 7,786
	17.06.2015, 18:01 [ТС]	12
	Sandor, снова появились какие-то непонятные процессы и установилась программа AIService. Добавлено через 45 минут Установилось куча левого ПО. 0

@Turok123 4243 / 1742 / 248 Регистрация: 01.05.2013 Сообщений: 7,786
	17.06.2015, 18:16 [ТС]	15
	Состояние системы ухудшилось. Откуда-то устанавливается левое ПО и очень сильно подвисает система. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.06.2015, 18:19	16
	Сообщение от Turok123 очень сильно подвисает система перегрузи несколько раз комп, после Farbar Recovery Scan Tool такое бывает, уже не раз подмечал. 0

@Turok123 4243 / 1742 / 248 Регистрация: 01.05.2013 Сообщений: 7,786
	17.06.2015, 18:24 [ТС]	17
	shestale, а это Сообщение от Turok123 Откуда-то устанавливается левое ПО ? Установилось AIService,AnyProtect,WindeskWinsearch,GamessDekstop и много другой заразы. Антивирус каждую секунду что-то блокирует. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.06.2015, 18:26	18
	Давай еще раз лог адвклинера, если не поможет, то будем МВАМ смотреть. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	17.06.2015, 18:33	20
	Удалите в AdwCleaner все найденные объекты. + Почистите кэш и куки в браузерах. 1