Tencent и еще непонятно что

Printable View

08.07.2019, 14:49
salievan

Вложений: 1

Tencent и еще непонятно что

Добрый день!

Поймал Tencent и загрузка проца начала скакать от 50 до 100%. Удалил кое как Tencent, но загрузка осталась. AVZ показывает кучу пустых процессов, загружающих проц. Лог прилагается. Прошу помочь.
08.07.2019, 14:50
Info_bot

Уважаемый(ая) [B]salievan[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.07.2019, 20:21
Vvvyg

Удалите программу Обнови Софт.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys', '');
QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe', '');
QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQSysMon.sys', '');
QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys', '');
QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TSKsp.sys', '');
QuarantineFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '');
QuarantineFile('C:\Windows\system32\Drivers\TFsFlt.sys', '');
QuarantineFile('C:\Windows\system32\drivers\TsFltMgr.sys', '');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys', '');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe', '');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQSysMon.sys', '');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys', '');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TSKsp.sys', '');
DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', '');
DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys', '');
DeleteFile('C:\Windows\system32\drivers\TsFltMgr.sys', '');
ExecuteFile('schtasks.exe', '/delete /TN "{585EBC9D-D6E6-4E90-A89C-3EAF46E90532}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{EB224DCC-86DB-4578-B8A9-F30C1F66D0B2}" /F', 0, 15000, true);
DeleteService('jimocoso');
DeleteService('QMUdisk');
DeleteService('QQPCRTP');
DeleteService('QQSysMon');
DeleteService('TAOAccelerator');
DeleteService('TFsFlt');
DeleteService('TS888');
DeleteService('TsFltMgr');
DeleteService('TSKSP');
DeleteFileMask('c:\program files\tencent', '*', true);
DeleteDirectory('c:\program files\tencent');
DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('TAOAccelerator');
BC_DeleteSvc('TAOKernelDriver');
BC_DeleteSvc('TFsFlt');
BC_DeleteSvc('TsFltMgr');
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spu_orb\Программа Spu_orb.lnk" -> ["D:\Spu_orb\Spu_orb.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spu_orb\Руководство пользователя.lnk" -> ["D:\Spu_orb\Help.chm"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spu_orb\Удалить Spu_orb.lnk" -> ["D:\Spu_orb\Uninstall.exe" =>> win-uninstall.ico]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ФСС РФ\ARM_FSS.lnk" -> ["C:\FSSRF\ARM_FSS\arm_fss.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ФСС РФ\Деинсталлировать ARM_FSS.lnk" -> ["C:\FSSRF\ARM_FSS\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movavi Фоторедактор 5\Movavi Photo Editor 5.lnk" -> ["C:\Users\zarpl\Desktop\Дима\foto\Movavi Photo Editor 5\PhotoEditor.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movavi Фоторедактор 5\Сайт Movavi Фоторедактор.lnk" -> ["C:\Users\zarpl\Desktop\Дима\foto\Movavi Photo Editor 5\Movavi Фоторедактор 5.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movavi Фоторедактор 5\Удалить Movavi Фоторедактор 5.lnk" -> ["C:\Users\zarpl\Desktop\Дима\foto\Movavi Photo Editor 5\uninst.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spu_orb\История изменений.lnk" -> ["D:\Spu_orb\Version.rtf"]
>>> "C:\Users\Public\Desktop\АРМ_ФСС.lnk" -> ["C:\FSSRF\ARM_FSS\arm_fss.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adguard\Adguard (Режим отладки).lnk" -> ["C:\Program Files\Adguard\Adguard.exe" =>> /debug]
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\desktop.ini.id-96CD63B7.[[email protected]].java" (410 байт) (MD5: 013E694D65FE0C98F16601697CB5E3A6)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Desktop.ini.id-96CD63B7.[[email protected]].java" (954 байт) (MD5: 21AB8CD4F69880A584AA892ED559F4E3)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Ease of Access.lnk.id-96CD63B7.[[email protected]].java" (1608 байт) (MD5: 43CDB58D313DA16D7C790F7D1B574054)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Magnify.lnk.id-96CD63B7.[[email protected]].java" (1498 байт) (MD5: 7A184FA922B410F8176E6DDF6068BBEC)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk.id-96CD63B7.[[email protected]].java" (1500 байт) (MD5: D8ED0BDFC344C94792A6802C5D9B33AF)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\On-Screen Keyboard.lnk.id-96CD63B7.[[email protected]].java" (1520 байт) (MD5: 023ED6264AC601E92E0A1F3400C6B204)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Command Prompt.lnk.id-96CD63B7.[[email protected]].java" (1544 байт) (MD5: 14FA58E1B666EAA6C9EE3E456297573E)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Desktop.ini.id-96CD63B7.[[email protected]].java" (922 байт) (MD5: 466B40B42B03B49AEC8FB32135ACD272)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk.id-96CD63B7.[[email protected]].java" (1546 байт) (MD5: 77D7B612D69870ED32FAA4F5D4FBF51A)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Run.lnk.id-96CD63B7.[[email protected]].java" (498 байт) (MD5: 3397D24A4502182D33DC7A9ABCABBC51)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\computer.lnk.id-96CD63B7.[[email protected]].java" (508 байт) (MD5: 08A228A2E936D6ED5E173858B554AAB0)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Control Panel.lnk.id-96CD63B7.[[email protected]].java" (518 байт) (MD5: 5D9179EFC674C4E6CFF4B2A82D21FB8F)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Desktop.ini.id-96CD63B7.[[email protected]].java" (986 байт) (MD5: 80AAB2EBE6183262F2139C257897349D)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Private Character Editor.lnk.id-96CD63B7.[[email protected]].java" (1580 байт) (MD5: 201AC0741C41375CC98ECBB35EF85973)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Windows Explorer.lnk.id-96CD63B7.[[email protected]].java" (1484 байт) (MD5: 012BF2197C77F38D6F2CB9A120166C2F)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools\desktop.ini.id-96CD63B7.[[email protected]].java" (410 байт) (MD5: 0847C351FA298C1D60D93F7E060AFE66)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\desktop.ini.id-96CD63B7.[[email protected]].java" (586 байт) (MD5: 13DB6B437CA6E6EAD4DD1771EE188A1A)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Desktop.ini.id-96CD63B7.[[email protected]].java" (554 байт) (MD5: 1907B0A4DEBF9611FF99D90AD6014A4C)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Help.lnk.id-96CD63B7.[[email protected]].java" (500 байт) (MD5: 3DB6534A342321FA9D1B152D2C06B0E6)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-96CD63B7.[[email protected]].java" (410 байт) (MD5: 40ED72C5299542305BD66634B3ABA1C3)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\WinRAR.lnk.id-96CD63B7.[[email protected]].java" (1256 байт) (MD5: 8E39DE00A94484ADE6175324A47855B8)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk.id-96CD63B7.[[email protected]].java" (1312 байт) (MD5: 43B6D5EA43BBFEEA6CE4E25B5AAE2221)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk.id-96CD63B7.[[email protected]].java" (1300 байт) (MD5: 08DF7D7D896C738E3AC270106BC0B918)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk.id-96CD63B7.[[email protected]].java" (1272 байт) (MD5: C3F274A4396491DA7DC583F59B5CDE52)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk.id-96CD63B7.[[email protected]].java" (2680 байт) (MD5: B7DC0F66255E7B32DA879A8922E3F3BD)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\СБИС плагин\СБИС плагин.lnk.id-96CD63B7.[[email protected]].java" (2354 байт) (MD5: 378F6C75D0160DBBBDB8EAD3DC26DD1A)
- "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk.id-96CD63B7.[[email protected]].java" (2876 байт) (MD5: 0053147D49740384BF385AF2B0F4B32A)[/CODE]Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки (все, которые будут из списка)[/url]:[code]R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text=
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text={searchTerms} - >
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text= - >
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A060E7FB-91F5-4c7c-BD0F-4A11A581D878}: [URL] = https://www.baidu.com/s?wd={searchTerms}&tn=96010190_dg - 百度搜索
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={SearchTerms} - Поиск@Mail.Ru
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [URL] = http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B38EC7C4F-76CE-4F5A-B215-850DA50DE728%7D&gp=820334 - Поиск@Mail.Ru
O4 - HKCU\..\Run: [Privacy Eraser] = C:\Users\zarpl\Desktop\Работа\PrivacyEraser.exe /Startup (file missing)
O4 - HKU\.DEFAULT\..\Run: [Adguard] = C:\Program Files\Adguard\Adguard.exe /nosplash /nosplash (file missing)
O4 - HKU\.DEFAULT\..\Run: [Skype] = C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (file missing)
O4 - MSConfig\startupreg: QQPCTray [command] = C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQPCTray.exe /regrun (HKLM) (2015/09/03) (file missing)
O4 - MSConfig\startupreg: Adguard [command] = C:\Program Files\Adguard\Adguard.exe (HKCU) (2016/04/08) (file missing)
O4 - MSConfig\startupreg: BRBrowserInst [command] = C:\Users\zarpl\AppData\Local\Baidu\BaiduClient\1.6.0.359\BaiduUpdate.exe ##DisplayType=0;AppUpdate=1;VersionUpdate=1;ModuleUpdate=0;UpdateSource=6;OnlyInstall=1; (HKLM) (2015/09/03) (file missing)
O4 - MSConfig\startupreg: Browser Manager [command] = C:\Users\zarpl\AppData\Local\Yandex\BrowserManager\BrowserManager.exe (HKCU) (2016/04/08) (file missing)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\zarpl\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2016/04/08) (file missing)
O4 - MSConfig\startupreg: MediaGet2 [command] = C:\Users\zarpl\AppData\Local\MediaGet2\mediaget.exe --minimized (HKCU) (2016/04/08) (file missing)
O4 - MSConfig\startupreg: amigo [command] = C:\Users\zarpl\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (HKCU) (2016/04/08) (file missing)
O4 - MSConfig\startupreg: uTorrent [command] = C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (HKCU) (2016/04/08) (file missing)
O4 - Startup other users: C:\Users\user5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-96CD63B7.[[email protected]].java
O4 - User Startup: C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-96CD63B7.[[email protected]].java
O15 - Trusted Zone: http://baidu.com
O21 - HKLM\..\ShellIconOverlayIdentifiers\.QMDeskTopGCIcon: PCMgr Garbage Cleaner ShellExtension - {B7667919-3765-4815-A66D-98A09BE662D6} - C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMGCShellExt.dll (file missing)
O22 - Task (.job): (Ready) Update Service for Torrent Search.job - C:\Program Files\Torrent Search\bWAeOsw.exe (file missing)
O22 - Task (.job): (Ready) Update Service for Torrent Search2.job - C:\Program Files\Torrent Search\bWAeOsw.exe (file missing)
O22 - Task: Driver Booster Scan - C:\Program Files\IObit\Driver Booster\Scheduler.exe /scan (file missing)
O22 - Task: Driver Booster SkipUAC (zarpl) - C:\Program Files\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)
O22 - Task: Driver Booster Update - C:\Program Files\IObit\Driver Booster\AutoUpdate.exe /auto (file missing)
O22 - Task: Update Service for Torrent Search - C:\Program Files\Torrent Search\bWAeOsw.exe (file missing)
O22 - Task: Update Service for Torrent Search2 - C:\Program Files\Torrent Search\bWAeOsw.exe (file missing)[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
09.07.2019, 12:46
salievan

Вложений: 2

Карантин отправил, прилагаю логи
09.07.2019, 20:24
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3401372928-1041783400-815169026-1001\...\MountPoints2: {313dc205-cbf3-11e6-87e3-7824af9bc6d6} - F:\./MTP/LMPC.exe
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {1ADBCAD0-264E-450B-8900-4A24B7BA0A0D} - no filepath
Task: {36314215-747E-4E34-992F-4F3056A7FB19} - System32\Tasks\ASP => C:\Program Files\RCP\systweakasp.exe
BHO: У¦УГ±¦Т»јь°ІЧ°Іејю -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (Tencent Technology(Shenzhen) Company Limited -> 腾讯公司)
FF Plugin: @baidu.com/BaiduExpert-npplugin -> C:\Users\zarpl\AppData\Roaming\Baidu\BDWebAdapter\3.0.345.0\npBDExNP.dll [No File]
FF Plugin HKU\S-1-5-21-3401372928-1041783400-815169026-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\zarpl\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [No File]
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\zarpl\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-05-18]
R1 TSDefenseBt; C:\Windows\System32\DRIVERS\TSDefenseBt.sys [14008 2015-08-28] (Tencent Technology(Shenzhen) Company Limited -> Tencent)
S3 TSSK; C:\Windows\System32\tssk.sys [67896 2015-08-28] (Tencent Technology(Shenzhen) Company Limited -> 电脑管家)
C:\Windows\System32\DRIVERS\TSDefenseBt.sys
C:\Windows\System32\tssk.sys
C:\Program Files\Common Files\Tencent
2019-07-08 14:00 - 2019-07-08 14:00 - 000000000 ____D C:\Users\zarpl\AppData\Roaming\Babylon
2019-07-08 14:00 - 2019-07-08 14:00 - 000000000 ____D C:\Users\zarpl\AppData\Local\Babylon
2019-07-08 14:00 - 2019-07-08 14:00 - 000000000 ____D C:\ProgramData\Babylon
2019-07-09 12:05 - 2015-09-02 10:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2019-07-08 14:29 - 2015-08-28 08:47 - 000000000 ____D C:\ProgramData\ProductData
2018-04-17 09:20 - 2018-04-17 09:20 - 000000276 _____ () C:\Users\zarpl\AppData\Local\resmon.resmoncfg.id-96CD63B7.[[email protected]].java
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> C:\Users\zarpl\AppData\LocalLow\Unity\WebPlayer\loader\UnityWebPluginAX.ocx => No File
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{AC99BA65-DBBA-4D96-BB36-423F76CD6443}\InprocServer32 -> C:\Users\zarpl\AppData\Roaming\ConsultantPlus\Lib\scons.dll => No File
CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMGCShellExt.dll -> No File
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> No File
ContextMenuHandlers2: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> No File
ContextMenuHandlers3: [QMContextScan] -> {63332668-8CE1-445D-A5EE-25929176714E} => -> No File
ContextMenuHandlers3: [QMContextUninstall] -> {CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} => -> No File
ContextMenuHandlers3: [QMSoftExt] -> {754DF2CE-51E8-4895-B53C-6381418B84AE} => -> No File
ContextMenuHandlers4: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> No File
ContextMenuHandlers6: [QMContextScan] -> {63332668-8CE1-445D-A5EE-25929176714E} => -> No File
ContextMenuHandlers6: [QMContextUninstall] -> {CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} => -> No File
ContextMenuHandlers6: [QMSoftExt] -> {754DF2CE-51E8-4895-B53C-6381418B84AE} => -> No File
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ycssrv => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ycssrv => ""="Service"
FirewallRules: [{067C9B48-545B-4C07-803D-18C7549E4CC3}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe (Tencent Technology(Shenzhen) Company Limited -> )
FirewallRules: [{E8E51CA5-3899-47D5-8E5C-300F531D4821}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe (Tencent Technology(Shenzhen) Company Limited -> Tencent)
FirewallRules: [{838617BC-D2E8-423B-BC26-9D696D85D3D9}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{ABC2C05B-621B-440C-8F8E-AE16D6C2E48B}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{B059E3BE-BA05-4CD7-8A8A-5F96F7FA49FC}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{1CA3DE9D-406F-46A5-A745-15046D069D41}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{E82FE859-3660-475D-B923-7176C41B7521}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{D08CD3D4-1156-4A09-B6A4-13F032083F2B}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{9E68E0E2-8A05-4529-BE44-FBAC305A075B}] => (Allow) C:\Program Files\Steam\Steam.exe No File
FirewallRules: [{12E06155-7E1A-4A1B-A9C1-31769D9BC6CD}] => (Allow) C:\Program Files\Steam\Steam.exe No File
FirewallRules: [{1E47C5BA-C780-45CD-A898-3804FD6D1761}] => (Allow) C:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{B0F01ADD-C5B5-4449-AB22-1C75F5CBA613}] => (Allow) C:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
Reboot:[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].
10.07.2019, 08:51
salievan

Вложений: 1

Прилагаю лог
10.07.2019, 21:04
Vvvyg

Fixlog.txt от FRST ещё приложите.

[url="https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.
11.07.2019, 11:48
salievan

Вложений: 2

Прилагаю логи:
11.07.2019, 19:53
Vvvyg

Tencent и "непонятно что" почистили. Лучше?
12.07.2019, 08:01
salievan

Намного, спасибо Вам большое!!!!
12.07.2019, 21:07
Vvvyg

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
12.07.2019, 21:17
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]19[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB[/LIST]