Tencet и другие вирусы

@Sergu · Регистрация: 23.03.2015

Author24 — интернет-сервис помощи студентам

Добрый день. Серфил по интернету с отключенным касперским. В результате на ноутбуке установилось куча программ, и китайский Tencet. Проблем было много, вирус при мне устанавливал восстановил каспер, полная проверка удалил кучу вирусов. Самостоятельно снес много программ, все кроме тенцета.
Может быть они все равно остались. Видимо нужен более комплексный подход при удалении. Прошу Вашей помощи. Логи прикрепил.

@thyrex · 06.09.2015, 10:57

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\c08e5849-1441035922-de11-9ce2-a623ddaaacfb\knss9881.tmpfs');
 TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe');
 SetServiceStart('TFsFlt', 4);
 SetServiceStart('TAOKernelDriver', 4);
 SetServiceStart('TAOAccelerator', 4);
 SetServiceStart('QQSysMonX64', 4);
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('QQPCRTP', 4);
 QuarantineFile('C:\Users\Вадим\AppData\Local\Host installer\3534684224_monster.exe','');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\zwW7llU.exe','');
 QuarantineFile('C:\firefox.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Users\Вадим\AppData\Local\Temp\app-helper1.exe','');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\aOyTc6f2cW.dll','');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\IEEF\Interfaces32.dll','');
 QuarantineFile('c:\program files (x86)\torrent search\ieef\tnhkisesym.exe','');
 QuarantineFile('c:\program files (x86)\c08e5849-1441035922-de11-9ce2-a623ddaaacfb\knss9881.tmpfs','');
 DeleteFile('c:\program files (x86)\c08e5849-1441035922-de11-9ce2-a623ddaaacfb\knss9881.tmpfs','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\10.10.16434.218\qqpcrtp.exe','32');
 DeleteFile('c:\program files (x86)\torrent search\ieef\tnhkisesym.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\communic.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\dr.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\oDayProtect.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\QMBDScanner.dat','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\QMCloudInter\QMCloudInter.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\QMCpm.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\QMHips.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\qmiemalrtpplugin\qmiemalrtpplugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\QMRepairPlugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\SpecialPlugin\QMHipsSpecial.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\sysspeeduprtpplugin\SysSpeedupRtpPlugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\ptrate.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMAssocScan.dll','32');
 DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\Interfaces32.dll','32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\aOyTc6f2cW.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TSSysKitProxy.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\SXComBase.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\sqlite.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\SoftMgr\processlogdll.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\RefuseInject.DLL','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQSysMonX64.sys','32');
 DeleteFile('C:\Windows\System32\Drivers\TAOKernel64.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TFsFltX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TAOFrame.exe','32');
 DeleteFile('C:\Users\Вадим\AppData\Local\Temp\app-helper1.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\firefox.bat','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMContextScan.dll','32');
 DeleteFile('C:\Program Files (x86)\Torrent Search\zwW7llU.exe','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32');
 DeleteFile('C:\Users\Вадим\AppData\Local\Host installer\3534684224_monster.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','64');
DeleteService('QQPCRTP');
 DeleteService('TAOFrame');
 DeleteService('QMUdisk');
 DeleteService('QQSysMonX64');
 DeleteService('TAOAccelerator');
 DeleteService('TAOKernelDriver');
 DeleteService('TFsFlt');
 DeleteService('TSSKX64');
 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');
 DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','app-helper1');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@Sergu · 06.09.2015, 15:00 **[ТС]**

Делал все вначале с помощью Autologger, затем скачал avz скрипт последней версии отдельно, в общем папка карантин почему то пуста. Перед запускам скрипта выгружал и tencet, и касперского. Также выгружал их после перезагрузки.

@thyrex · 06.09.2015, 16:41

А это?

Сообщение от thyrex

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@Sergu · 06.09.2015, 23:14 **[ТС]**

Извините, очень надеюсь, что теперь все правильно.

@thyrex · 07.09.2015, 21:10

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

@Sergu · 25.09.2015, 19:29 **[ТС]**

Извините за долгий ответ. Файлы архивировал, так как их размер превышает 20 кб и в чистом виде их не прикрепить.

@thyrex · 26.09.2015, 11:13

Внимание: выполнять написанное ниже в безопасном режиме

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCTray.exe [355296 2015-08-30] (Tencent)
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt64.dll [2015-08-30] (Tencent)
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-3231766246-2225102776-2353028277-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://spacesearch.ru/?ri=1&rsid=5cf17063ede161598c9ef751c7786f03&q={searchTerms}
HKU\S-1-5-21-3231766246-2225102776-2353028277-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://spacesearch.ru/?ri=1&rsid=5cf17063ede161598c9ef751c7786f03&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3231766246-2225102776-2353028277-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://spacesearch.ru/?ri=1&rsid=5cf17063ede161598c9ef751c7786f03&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3231766246-2225102776-2353028277-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://spacesearch.ru/?ri=1&rsid=5cf17063ede161598c9ef751c7786f03&q=
BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files (x86)\Torrent Search\IEEF\anh48dxdid.dll [2015-08-28] ()
BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TSWebMon64.dat [2015-08-30] (Tencent)
FF Extension: TSearch - C:\Users\Вадим\AppData\Roaming\Mozilla\Firefox\Profiles\9ckzjt6u.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-08-31]
FF Extension: No Name - C:\Users\Р’Р°РґРёРј\AppData\Roaming\Mozilla\Firefox\Profiles\9ckzjt6u.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR Extension: (Поиск по торрентам) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdkjahgfjedhmeijiflmjkiibgkifjgi [2015-08-31]
2015-08-31 18:48 - 2015-08-31 19:55 - 00000000 ____D C:\Users\Вадим\AppData\Local\Kometa
2015-08-31 18:48 - 2013-03-02 08:06 - 00672912 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-08-31 18:47 - 2015-08-31 18:47 - 00000095 ____H C:\opera.bat
2015-08-31 18:47 - 2015-08-28 14:01 - 00377000 ____H (Mozilla Corporation) C:\firеfох.bаt.exe
2015-08-31 18:47 - 2011-04-09 17:51 - 00943472 ____H (Opera Software) C:\оpеrа.bаt.exe
2015-08-31 18:45 - 2015-08-31 20:00 - 00000000 ____D C:\Program Files (x86)\Torrent Search
2015-08-30 19:18 - 2015-09-25 19:12 - 00028984 _____ (Tencent) C:\Windows\SysWOW64\Drivers\TS888x64.sys
2015-08-30 14:11 - 2015-08-30 14:11 - 00000000 ____D C:\Users\Все пользователи\TXQMPC
2015-08-30 14:11 - 2015-08-30 14:11 - 00000000 ____D C:\ProgramData\TXQMPC
2015-08-30 14:07 - 2015-08-30 14:07 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-08-30 14:07 - 2015-08-30 14:06 - 00174392 _____ (Tencent Technology(Shenzhen) Company Limited) C:\Windows\system32\Drivers\TAOKernel64.sys
2015-08-30 14:07 - 2015-08-30 14:06 - 00099640 _____ (Tencent) C:\Windows\system32\Drivers\TAOAccelerator64.sys
2015-08-30 14:07 - 2015-08-30 14:06 - 00038200 _____ (电脑管家) C:\Windows\system32\Drivers\TSSKX64.sys
2015-08-30 14:06 - 2015-08-30 14:47 - 00000000 ____D C:\Users\Вадим\AppData\Roaming\Tencent
2015-08-30 14:06 - 2015-08-30 14:06 - 00087864 _____ (电脑管家) C:\Windows\system32\Drivers\TFsFltX64.sys
2015-08-30 14:06 - 2015-08-30 14:06 - 00000000 ____D C:\Program Files (x86)\Tencent
2015-08-30 14:05 - 2015-08-30 19:19 - 00000000 ____D C:\Users\Все пользователи\Tencent
2015-08-30 14:05 - 2015-08-30 19:19 - 00000000 ____D C:\ProgramData\Tencent
C:\Users\Вадим\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Вадим\AppData\Local\Temp\qqpcmgr_v10.10.16434.218_72830_Silence.exe
C:\Users\Вадим\AppData\Local\Temp\TempQMDTLSDKSetup20141114(1).exe
C:\Users\Вадим\AppData\Local\Temp\TempQMDTLSDKSetup20141114(2).exe
C:\Users\Вадим\AppData\Local\Temp\TempQMDTLSDKSetup20141114(3).exe
C:\Users\Вадим\AppData\Local\Temp\TempQMDTLSDKSetup20141114.exe
C:\Users\Вадим\AppData\Local\Temp\TempQMSystemSetup_10.10.16434.218_112217724(1).exe
C:\Users\Вадим\AppData\Local\Temp\TempQMSystemSetup_10.10.16434.218_112217724(2).exe
C:\Users\Вадим\AppData\Local\Temp\TempQMSystemSetup_10.10.16434.218_112217724.exe
C:\Users\Вадим\AppData\Local\Temp\TempQQPhoneManager-5.3.2_710201.4693.pa.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

@thyrex 13110 / 7259 / 1537 Регистрация: 06.09.2009 Сообщений: 26,503
	06.09.2015, 16:41	4
	А это? Сообщение от thyrex Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи 0

@thyrex 13110 / 7259 / 1537 Регистрация: 06.09.2009 Сообщений: 26,503
	07.09.2015, 21:10	6
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt**). Пожалуйста, и его тоже прикрепите в следующем сообщении. 0

	26.09.2015, 11:13