Показано с 1 по 11 из 11.

Tencent QQ и только удаленный доступ (заявка № 196109)

  1. #1
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    20
    Вес репутации
    37

    Tencent QQ и только удаленный доступ

    Добрый день.
    На компе отца стоял регулярно обновляемый касперский. Папу угораздило словить некий "китайский антивирус Tencent". Методом проб и ошибок удалось научится выключать этот "Tencent" так, чтобы он позволял AVZ работать, но он упорно сопротивляется попыткам его вычистить.

    К счастью сделать логи удалось.

    Ситуация осложняется тем, что к сожалению сам отец в компах не силен, а я сейчас вообще в другой стране. Отец умеет выполнять четкие команды по скайпу (скайп на телефоне, т.е. если что смогу ему сказать куда нажать, даже когда комп не в сети) и запускать teamviewer.

    Помогите пожалуйста победить заразу в таких вот непростых условиях.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) 2jocke2, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Программы от Mail.ru, надеюсь, не нужны?

    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\root\local settings\application data\mail.ru\mailruupdater.exe');
     TerminateProcessByName('c:\program files\mail.ru\mailruupdater\mailruupdater.exe');
     TerminateProcessByName('c:\documents and settings\root\local settings\application data\mail.ru\mrkeeper.exe');
     TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.2.17058.221\qqpcrtp.exe');
     StopService('QQPCRTP');
     StopService('Updater.Mail.Ru');
     StopService('QMIEProtect');
     StopService('QMUdisk');
     StopService('QQSysMon');
     StopService('softaal');
     StopService('TFsFlt');
     StopService('TsFltMgr');
     StopService('TSKSP');
     DeleteFile('c:\documents and settings\root\local settings\application data\mail.ru\mailruupdater.exe', '32');
     DeleteFile('c:\program files\mail.ru\mailruupdater\mailruupdater.exe', '32');
     DeleteFile('c:\documents and settings\root\local settings\application data\mail.ru\mrkeeper.exe', '32');
     DeleteFile('c:\program files\tencent\qqpcmgr\11.2.17058.221\qqpcrtp.exe', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMGCShellExt.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\exnscan.dll', '32');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Tencent\TSVulFw\TSVulFW.DAT', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMIEsafeDll.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMBrowserSafe.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMIpc.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\plugins\FileSmash\QMSoftExt.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMContextUninstall.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMContextScan.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMCommon.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\RefuseInject.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\dr.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMAntiInject.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\ptrate.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\sqlite.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMTrayPlugin\QMPerfCtrl\QMPerf.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMNetworkMgr.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\scc.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TSSysKitProxy.dll', '32');
     DeleteFile('c:\program files\tencent\qqpcmgr\11.2.17058.221\qmsysrepprov.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQFileFlt.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMExt.dll', '32');
     DeleteFile('c:\program files\tencent\qqpcmgr\11.2.17058.221\qmscripthost.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TAVEng.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\plugins\QMHipsEngine.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMHIPSHeart.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMHIPSService.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMEmMat.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMHIPSPolicyEng.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TAVUpload.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\plugins\QMBDScanner.dat', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMAssocScan.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\plugins\sysspeeduprtpplugin\SysSpeedupRtpPlugin.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TAVCache.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\plugins\qmiemalrtpplugin\qmiemalrtpplugin.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\oDayProtect.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\SoftMgr\processlogdll.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMFileMon.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMRtpCheck.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\communic.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCFIXATDLL.DLL', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMInfoEng.DLL', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMUl.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\plugins\QMRepairPlugin.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMDns.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMRtpDLL.dll', '32');
     DeleteFile('c:\program files\tencent\qqpcmgr\11.2.17058.221\qmrtpcontroller.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMAVProxy.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMSafeBoxHelperDll.dll', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMIEProtect.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QMUdisk.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQSysMon.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\softaal.sys', '32');
     DeleteFile('C:\WINDOWS\system32\Drivers\TFsFlt.sys', '32');
     DeleteFile('C:\WINDOWS\system32\drivers\TsFltMgr.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TSKsp.sys', '32');
     DeleteFile('C:\WINDOWS\system32\tssk.sys', '32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\QQPCTray.exe', '32');
     DeleteFile('C:\Documents and Settings\root\Local Settings\Application Data\Amigo\Application\amigo.exe', '32');
     DeleteFile('C:\Program Files\IObit\IObit Uninstaller\UninstallMenuRight32.dll', '32');
     DeleteFile('C:\Documents and Settings\root\Local Settings\Application Data\Amigo\Application\vk.exe', '32');
     DeleteFile('C:\Documents and Settings\root\Local Settings\Application Data\Amigo\Application\ok.exe', '32');
     DeleteFile('C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll', '32');
     DeleteFile('C:\Documents and Settings\root\Local Settings\Application Data\Hostinstaller\3764770235_installcube.exe', '32');
     DeleteFile('C:\Documents and Settings\root\Application Data\WindowsUpdater\Updater.exe', '32');
     DeleteFile('\??\C:\Program Files\Tencent\QQPCMgr\11.2.17058.221\TSKsp.sys', '32');
     DeleteService('QQPCRTP');
     DeleteService('Updater.Mail.Ru');
     DeleteService('QMIEProtect');
     DeleteService('QMUdisk');
     DeleteService('QQSysMon');
     DeleteService('softaal');
     DeleteService('TFsFlt');
     DeleteService('TsFltMgr');
     DeleteService('TSKSP');
     DeleteService('TSSK');
     DeleteFileMask('c:\documents and settings\root\local settings\application data\mail.ru', '*', true);
     DeleteFileMask('c:\program files\mail.ru', '*', true);
     DeleteFileMask('c:\program files\tencent', '*', true);
     DeleteFileMask('C:\Documents and Settings\All Users\Application Data\Tencent', '*', true);
     DeleteFileMask('C:\Documents and Settings\root\Local Settings\Application Data\Amigo', '*', true);
     DeleteFileMask('C:\Program Files\IObit', '*', true);
     DeleteFileMask('C:\Documents and Settings\root\Local Settings\Application Data\Hostinstaller', '*', true);
     DeleteFileMask('C:\Documents and Settings\root\Application Data\WindowsUpdater', '*', true);
     DeleteFileMask('\??\C:\Program Files\Tencent', '*', true);
     DeleteDirectory('c:\documents and settings\root\local settings\application data\mail.ru');
     DeleteDirectory('c:\program files\mail.ru');
     DeleteDirectory('c:\program files\tencent');
     DeleteDirectory('C:\Documents and Settings\All Users\Application Data\Tencent');
     DeleteDirectory('C:\Documents and Settings\root\Local Settings\Application Data\Amigo');
     DeleteDirectory('C:\Program Files\IObit');
     DeleteDirectory('C:\Documents and Settings\root\Local Settings\Application Data\Hostinstaller');
     DeleteDirectory('C:\Documents and Settings\root\Application Data\WindowsUpdater');
     DeleteDirectory('\??\C:\Program Files\Tencent');
     DelBHO('{10921475-03CE-4E04-90CE-E2E7EF20C814}');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
     DelCLSID('{B19ED566-D419-470b-B111-3C89040BC027}');
     DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
     DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
     DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', ' QQPCTray');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'amigo');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{B19ED566-D419-470b-B111-3C89040BC027}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{63332668-8CE1-445D-A5EE-25929176714E}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{754DF2CE-51E8-4895-B53C-6381418B84AE}');
    BC_ImportALL;
    ExecuteSysClean;
     BC_DeleteSvc('QMIEProtect');
     BC_DeleteSvc('QMUdisk');
     BC_DeleteSvc('QQSysMon');
     BC_DeleteSvc('softaal');
     BC_DeleteSvc('TAOAccelerator');
     BC_DeleteSvc('TAOKernelDriver');
     BC_DeleteSvc('TFsFlt');
     BC_DeleteSvc('TsFltMgr');
     BC_DeleteSvc('TSKSP');
     ExecuteRepair(13);
     ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    20
    Вес репутации
    37
    Спасибо за помощь!
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Программы от Mail.ru, надеюсь, не нужны?
    ни в коем случае!

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Выполнил, после перезагрузки гад по-прежнему на месте.

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Сделайте лог AdwCleaner (by Xplode).
    Этот лог удалось сделать не выгружая зловреда из памяти. Прилагаю.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  7. Vvvyg получил(а) благодарность за это сообщение от


  8. #6
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    20
    Вес репутации
    37
    Сделал. Похоже, AdwCleaner отлично справился, присутствия дряни больше не заметно. Спасибо!
    Вложения Вложения

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Адвклинером снесли punto Switcher, переустановите.

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ROOT\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\A01H8MPV.DEFAULT\SEARCHPLUGINS\MAILRU.XML
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192\NPQQPHONEMANAGEREXT.DLL
    del %SystemDrive%\DOCUMENTS AND SETTINGS\ROOT\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\MAIL.RU.LNK
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B3C000FB3-753A-4316-92FB-026CBBB68799%7D&GP=820331
    uidel "C:\Documents and Settings\root\Local Settings\Application Data\Amigo\Application\44.4.2403.3\Installer\setup.exe" --uninstall
    deltmp
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.2.17058.221\QQPCTRAY.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ROOT\LOCAL SETTINGS\APPLICATION DATA\AMIGO\APPLICATION\44.4.2403.3\DELEGATE_EXECUTE.EXE
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.2.17058.221\NPQMEXTENSIONSIE.DLL
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.2.17058.221\QMCONTEXTUNINSTALL.DLL
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.2.17058.221\QMCONTEXTSCAN.DLL
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ROOT\LOCAL SETTINGS\APPLICATION DATA\AMIGO\APPLICATION\AMIGO.EXE
    delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.2.17058.221\QQPCSOFTMGR.EXE
    restart
    Компьютер перезагрузится.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  10. #8
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    20
    Вес репутации
    37
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Адвклинером снесли punto Switcher, переустановите.
    Без проблем.

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    Готово.

    А про "Неизвестный загрузчик" это оно серьезно? Я там вроде ничего такого не ставил, должен быть стандартный виндовый.
    Вложения Вложения
    Последний раз редактировалось 2jocke2; 24.01.2016 в 17:42.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Там нет базы проверенных, так что не обращайте внимания.

    Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  12. Vvvyg получил(а) благодарность за это сообщение от


  13. #10
    Junior Member Репутация
    Регистрация
    07.12.2006
    Сообщений
    20
    Вес репутации
    37
    Сделал, спасибо огромное за помощь!
    Последний раз редактировалось 2jocke2; 24.01.2016 в 20:10.

  14. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) 2jocke2, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Удаленный доступ
      От Chingiz Serikov в разделе Спам и мошенничество в сети
      Ответов: 6
      Последнее сообщение: 28.07.2014, 21:15
    2. Удаленный доступ...
      От JaneYa в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.05.2013, 10:50
    3. Удаленный доступ RDP
      От BABAX в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.12.2011, 15:00
    4. Удаленный доступ?
      От Barl в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.03.2011, 20:08
    5. Удаленный доступ
      От Icesng в разделе Windows для опытных пользователей
      Ответов: 3
      Последнее сообщение: 28.07.2008, 22:29

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00199 seconds with 22 queries