Борьба с Китайским вирусом Tencent QQ

@st1k · Регистрация: 29.02.2016

Студворк — интернет-сервис помощи студентам

День добрый подцепил китайский вирус QQ Tencent сперва через безопасный режим удалил почти все файлы в папке которая расположенна в C:ProgramFiles\Tencent полистал ваш форум скачал программу FRST.EXE сделал лог запаковал в rar помогите

@thyrex · 29.02.2016, 22:22

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@st1k · 01.03.2016, 01:33 **[ТС]**

но я же прикрепил архив с логом просто назвал его FRST

@st1k · 01.03.2016, 01:51 **[ТС]**

скачал логер сделал ещё лог)

@thyrex · 01.03.2016, 07:30

Вы бы прочли написанное по ссылке

@st1k · 01.03.2016, 10:40 **[ТС]**

пардон, вот лог)

@thyrex · 01.03.2016, 19:00

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('TsFltMgr', 4);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\FreeVPN\FreeVPN.exe','');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMContextScan.dll','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QMContextUninstall.dll','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TsFltMgr.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QQPCHelper.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QQSysMon.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\softaal.sys','32');
 DeleteFile('C:\WINDOWS\system32\tssk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TSKsp.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\TS888.sys','32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\FreeVPN\FreeVPN.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\FreeVPN.job','32');
 DeleteService('TsFltMgr');
 DeleteService('QQPCHelper');
 DeleteService('QQSysMon');
 DeleteService('softaal');
 DeleteService('TS888');
 DeleteService('TSKSP');
 DeleteService('TSSK');
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray','command');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
http://dragokas.com/tools/move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@st1k · 02.03.2016, 03:13 **[ТС]**

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи???
эм всмысле нужно это все проделать 2 раза?)
делал 1 раз)

@st1k · 02.03.2016, 03:36 **[ТС]**

сделал ещё раз вот лог только теперь юзал Check Browsers LNK.exe после этого лог появился) может чего то не догоняю)
зы реклама в браузере все ещё вылазит(

@st1k · 02.03.2016, 14:44 **[ТС]**

хм как не странно но реклама перестала вылезать но все равно бывает на мейл ру перекидывает)

@thyrex · 02.03.2016, 19:52

Сообщение от st1k

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи???

Это значит собрать новые логи при помощи Autologger

@st1k · 02.03.2016, 21:32 **[ТС]**

ах вот лог)

@thyrex · 03.03.2016, 19:40

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

@st1k · 04.03.2016, 02:13 **[ТС]**

вот лог только без Addition.txt так как не 1 раз уже запускаю

@thyrex · 05.03.2016, 17:50

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.duba.com/?un_449343_3345
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1429400311&from=cor&uid=ST3250820A_5QE1R4W5XXXX5QE1R4W5&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1429400311&from=cor&uid=ST3250820A_5QE1R4W5XXXX5QE1R4W5
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1429400311&from=cor&uid=ST3250820A_5QE1R4W5XXXX5QE1R4W5&q={searchTerms}
HKU\S-1-5-21-1292428093-57989841-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.duba.com/?un_449343_3345
HKU\S-1-5-21-1292428093-57989841-682003330-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1429400311&from=cor&uid=ST3250820A_5QE1R4W5XXXX5QE1R4W5
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1429400311&from=cor&uid=ST3250820A_5QE1R4W5XXXX5QE1R4W5&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1429400311&from=cor&uid=ST3250820A_5QE1R4W5XXXX5QE1R4W5&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1292428093-57989841-682003330-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1429400311&from=cor&uid=ST3250820A_5QE1R4W5XXXX5QE1R4W5&q={searchTerms}
FF Plugin: @qq.com/QQPCMgr -> C:\Program Files\Tencent\QQPCMgr\11.3.17201.218\npQMExtensionsMozilla.dll [No File]
CHR Extension: (Quick Searcher) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2016-02-29]
OPR StartupUrls: "hxxp://do-search.com/?type=hp&ts=1429400311&from=cor&uid=ST3250820A_5QE1R4W5XXXX5QE1R4W5"
OPR Extension: (Quick Searcher) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2016-03-03]
2016-02-29 17:34 - 2016-02-29 17:34 - 00030328 _____ (Tencent) C:\WINDOWS\system32\Drivers\TS888.sys
2016-02-29 17:29 - 2016-02-29 17:29 - 00000066 _____ C:\WINDOWS\QMNetworkMgr.ini
2016-02-29 14:33 - 2016-02-29 14:33 - 00000000 ____D C:\Documents and Settings\All Users\TXQMPC
2016-02-29 14:21 - 2016-02-29 14:20 - 00115448 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator.sys
2016-02-29 14:21 - 2016-02-29 14:20 - 00095032 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelXP.sys
2016-02-29 14:21 - 2016-02-29 14:20 - 00014008 _____ (Tencent) C:\WINDOWS\system32\Drivers\TSDefenseBt.sys
2016-02-29 14:20 - 2016-02-29 14:20 - 00150072 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TFsFlt.sys
2016-02-29 14:19 - 2016-02-29 14:25 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\Tencent
2016-02-29 14:19 - 2016-02-29 14:23 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Tencent
2016-02-29 14:19 - 2016-02-29 14:19 - 00000000 ____D C:\Program Files\Tencent
2016-02-29 14:07 - 2016-03-02 03:24 - 00000928 _____ C:\Documents and Settings\Admin\Главное меню\Программы\Интернет.lnk
2016-02-29 14:07 - 2016-02-29 14:07 - 00002145 _____ C:\Documents and Settings\Admin\Главное меню\Программы\Одноклассники.lnk
2016-02-29 14:07 - 2016-02-29 14:07 - 00002145 _____ C:\Documents and Settings\Admin\Главное меню\Программы\Вконтакте.lnk
2016-02-29 14:06 - 2016-03-02 02:57 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\FreeVPN
2016-02-29 14:06 - 2016-02-29 17:27 - 00000000 ____D C:\Documents and Settings\Admin\Application Data\Browsers
2016-02-29 14:06 - 2016-02-29 14:07 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo
2016-02-29 14:06 - 2016-02-29 14:06 - 00000000 ____D C:\Program Files\Free VPN
2016-02-29 14:06 - 2016-02-29 14:06 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\Free VPN
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

@st1k · 05.03.2016, 22:00 **[ТС]**

все сделал по инструкции) вот лог

@thyrex · 05.03.2016, 23:48

Проблема решена?

@st1k · 08.03.2016, 17:39 **[ТС]**

да спасибо большое) больше не какой рекламы и перекидываний через клик на мейл)

@thyrex · 11.03.2016, 21:28

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Новые блоги и статьи Все статьи Все блоги /
Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .	Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .
SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .	Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	29.02.2016, 22:22
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@st1k 0 / 0 / 0 Регистрация: 29.02.2016 Сообщений: 30
	01.03.2016, 01:33 [ТС]
	но я же прикрепил архив с логом просто назвал его FRST 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	01.03.2016, 07:30
	Вы бы прочли написанное по ссылке 0

@st1k 0 / 0 / 0 Регистрация: 29.02.2016 Сообщений: 30
	02.03.2016, 14:44 [ТС]
	хм как не странно но реклама перестала вылезать но все равно бывает на мейл ру перекидывает) 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	03.03.2016, 19:40
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	05.03.2016, 23:48
	Проблема решена? 1

@st1k 0 / 0 / 0 Регистрация: 29.02.2016 Сообщений: 30
	08.03.2016, 17:39 [ТС]
	да спасибо большое) больше не какой рекламы и перекидываний через клик на мейл) 0

@thyrex 14449 / 7488 / 1582 Регистрация: 06.09.2009 Сообщений: 27,132
	11.03.2016, 21:28
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0