Подцепил при установке Djvu просмотрщика. Tencent QQPCMng версия 11.1.16923.222. Помогите убить гидру!
Printable View
Подцепил при установке Djvu просмотрщика. Tencent QQPCMng версия 11.1.16923.222. Помогите убить гидру!
Уважаемый(ая) [B]Barboss[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[URL=http://answers.microsoft.com/ru-ru/insider/wiki/insider_wintp-insider_repair/запуск-windows-10/0523fba5-96f7-45f6-a525-9832379513a7]Загрузите Windows 10 в безопасном режиме[/URL] и [url="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт в AVZ[/url]:[code]begin
StopService('TAOKernelDriver');
QuarantineFile('c:\programdata\twdmt\wdman.exe', '');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TAOFrame.exe', '');
QuarantineFile('C:\Windows\system32\Drivers\TAOKernel64.sys', '');
QuarantineFile('C:\Windows\system32\Drivers\TFsFltX64.sys', '');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TS888x64.sys', '');
QuarantineFile('C:\Program Files (x86)\ppt\ppt.exe', '');
QuarantineFile('C:\Program Files (x86)\ppt\Uninst.exe', '');
QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\R', '');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMContextScan.dll', '');
QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
QuarantineFile('C:\ProgramData\kxDTLB\ZaZpBm0.bat', '');
QuarantineFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL', '');
QuarantineFile('C:\Program Files (x86)\IObit\IObit', '');
DeleteFile('C:\Windows\Tasks\Uninstaller_SkipUac_Bambastik.job', '64');
DeleteFile('c:\programdata\twdmt\wdman.exe', '32');
DeleteFile('C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe', '32');
DeleteFile('C:\Program Files (x86)\E1FD1F80-1454407643-81E3-20E0-D850E606134B\knsm1134.tmpfs', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TAOFrame.exe', '32');
DeleteFile('C:\Program Files (x86)\E1FD1F80-1454407643-81E3-20E0-D850E606134B\hnsn5411.tmp', '32');
DeleteFile('C:\Program Files (x86)\E1FD1F80-1454407643-81E3-20E0-D850E606134B\jnsy2F22.tmp', '32');
DeleteFile('C:\Windows\system32\Drivers\TAOKernel64.sys', '32');
DeleteFile('C:\Windows\system32\Drivers\TFsFltX64.sys', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TS888x64.sys', '32');
DeleteFile('C:\Program Files (x86)\ppt\ppt.exe', '32');
DeleteFile('C:\Program Files (x86)\ppt\Uninst.exe', '32');
DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
DeleteFile('C:\Windows\system32\GroupPolicy\Machine\R', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMContextScan.dll', '32');
DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
DeleteFile('C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL', '32');
DeleteService('WdMan');
DeleteService('LiveUpdateSvc');
DeleteService('ruvilihyzbt');
DeleteService('TAOFrame');
DeleteService('wucotusy');
DeleteService('zutuzuni');
DeleteService('TAOKernelDriver');
DeleteService('TFsFlt');
DeleteService('TS888x64');
DeleteFileMask('c:\programdata\twdmt', '*', true);
DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
DeleteDirectory('c:\programdata\twdmt');
DeleteDirectory('C:\Program Files (x86)\IObit');
DeleteDirectory('C:\Program Files (x86)\Tencent');
DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_Bambastik" /F', 0, 15000, true);
DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'apphide');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'pcmgr');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'apphide');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{63332668-8CE1-445D-A5EE-25929176714E}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro');
ExecuteSysClean;
ExecuteRepair(4);
ExecuteRepair(3);
ExecuteWizard('SCU', 2, , true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK[/URL].
Спасибо Вадим за ответ! Я немного поторопился, пробовал вычистить эту штуку в реестре вроде получилось. Сегодня только получил ваше письмо. Я перед выполнением скрипта сделал лог №2 AVZ прилагаю к этому письму. После запустил скрипт(выдало ошибку в предпоследней строке там где ExecuteWizard, поправил подставил 3 между двумя пустыми запятыми вроде прошло), далее все сделаю как в вашем письме и отправлю
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Карантин оправил. Остальное здесь.
Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), по окончании сканирования [B]если используете программы от Mail.Ru[/B] - уберите галочки на вкладках [B]Папки[/B] (Folders), [B]Реестр[/B] (Registry) и вкладках браузеров со всех пунктов, где упоминется Mail.Ru.
Установите в пункте меню "Настройки" (Settings) галочку "[B]Сброс политик Chrome[/B]" .
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
Все сделал! Какашки больше не наблюдается! Спасибо за помощь
Хорошо, только хотелось бы увидеть лог ClearLNK, а не Check_Browsers_LNK.log повторно.