Не удаляется QQPCRTP.exe [not-a-virus:AdWare.Win32.Esprot.alo, Trojan-Downloader.Win32.Stantinko.bct ]

**Виталя-рамс** · 14.03.2017, 08:35

Заразился где-то компьютер и система стала тупить просто дичайшим образом. Может и не только от этого. Заранее спасибо за помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.03.2017, 08:37

Уважаемый(ая) Виталя-рамс, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Виталя-рамс** · 14.03.2017, 11:24

Почему на мой вопрос нет ответа, а на более свежие уже есть? Быть может, не видно вложения? Прикреплю еще раз

**Vvvyg** · 16.03.2017, 06:57

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\tencent\qqpcmgr\11.5.17490.219\qmautoclean.exe');
 StopService('QMUdisk');
 StopService('QQSysMon');
 StopService('TSSysKit');
 QuarantineFile('c:\program files\tencent\qqpcmgr\11.5.17490.219\qmautoclean.exe', '');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMUdisk.sys', '');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCHelper.sys', '');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQSysMon.sys', '');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TSSysKit.sys', '');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 QuarantineFile('C:\Users\Виталька\AppData\Roaming\ProShopper\ProShopper.exe', '');
 DeleteFile('c:\program files\tencent\qqpcmgr\11.5.17490.219\qmautoclean.exe', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\exnscan.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\qmiesafedll.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMGCScriptApi.dll', '32');
 DeleteFile('c:\program files\tencent\qqpcmgr\11.5.17490.219\qmsysrepprov.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMHIPSService.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMHIPSPolicyEng.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMAssocScan.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\plugins\QMCloudInter\QMCloudInter.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMFileMon.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMRtpCheck.dll', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCFIXATDLL.DLL', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMUdisk.sys', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCHelper.sys', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQSysMon.sys', '32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TSSysKit.sys', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile('C:\Users\Виталька\AppData\Roaming\ProShopper\ProShopper.exe', '32');
 DeleteFile('\??\C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TSKsp.sys', '32');
 DeleteService('AtsUpdSrv');
 DeleteService('QMUdisk');
 DeleteService('QQPCHelper');
 DeleteService('QQSysMon');
 DeleteService('TSSysKit');
 DeleteFileMask('c:\program files\tencent', '*', true);
 DeleteFileMask('c:\users\виталька\appdata\roaming\proshopper', '*', true);
 DeleteFileMask('\??\c:\program files\tencent', '*', true);
 DeleteFileMask('C:\ProgramData\TXQMPC', '*', true);
 DeleteDirectory('c:\program files\tencent');
 DeleteDirectory('c:\users\виталька\appdata\roaming\proshopper');
 DeleteDirectory('\??\c:\program files\tencent');
 DeleteDirectory('C:\ProgramData\TXQMPC');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\ProShopper" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('QMUdisk');
 BC_DeleteSvc('QQPCHelper');
 BC_DeleteSvc('QQSysMon');
 BC_DeleteSvc('TSSysKit');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог Malwarebytes AdwCleaner.

**Виталя-рамс** · 16.03.2017, 08:32

Готово!

**Vvvyg** · 16.03.2017, 19:19

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

**Виталя-рамс** · 16.03.2017, 21:53

после перезагрузки qq-шка попыталась запуститься тоже. система выдала окно, что какой-то файл не найден. не апомнил, к сожалению. Мозилла откатилась на какой-то период полугодичной (+-) давности. И Авастовские дополнения пытаются установиться в браузер (Safe Price и Online Security) Устанавливать или нет?

**Vvvyg** · 16.03.2017, 22:09

Дело Ваше, плохого от них нет.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Виталя-рамс** · 16.03.2017, 22:26

Готово!

**Vvvyg** · 16.03.2017, 22:48

Загрузите систему в безопасном режиме.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
(Tencent) C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe
CHR HKLM\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3352599167-194955564-3677901962-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (The Safe Surfing) - C:\Users\Виталька\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2017-01-06]
OPR Extension: (Teddy Protection Lite) - C:\Users\Виталька\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-02-17]
S2 ihctrl32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-06-10] (Tencent)
S2 wsaudio; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQSysMon.sys [118776 2016-08-29] (电脑管家)
R1 TFsFlt; C:\Windows\System32\Drivers\TFsFlt.sys [159608 2016-06-10] (电脑管家)
R1 TSDefenseBt; C:\Windows\System32\DRIVERS\TSDefenseBt.sys [14008 2016-06-10] (Tencent)
R1 TSKSP; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TSKsp.sys [220984 2016-06-10] (电脑管家)
R2 tsnethlp; C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\TsNetHlp.sys [53368 2016-06-10] ()
2017-03-17 01:38 - 2017-03-17 01:38 - 00000000 ____D C:\ProgramData\TXQMPC
2017-03-17 01:38 - 2016-06-10 13:34 - 00159608 _____ (电脑管家) C:\Windows\system32\Drivers\tfsflt.sys
2017-03-17 01:35 - 2016-06-10 13:34 - 00014008 _____ (Tencent) C:\Windows\system32\Drivers\TSDefenseBt.sys
2017-01-06 02:11 - 2017-01-06 02:11 - 00000000 ____D C:\Users\Виталька\AppData\Local\Comodo
2017-01-06 02:11 - 2017-01-06 02:11 - 00000000 ____D C:\Users\Виталька\AppData\Local\Bromium
2016-06-10 13:29 - 2016-06-10 13:29 - 1634816 _____ () C:\Users\Виталька\AppData\Local\Temp\1-20150313-152755.exe
2016-06-10 13:30 - 2016-06-10 13:30 - 0274432 _____ () C:\Users\Виталька\AppData\Local\Temp\3463255785544.exe
2016-06-10 13:30 - 2016-06-10 13:30 - 48920808 _____ (Mail.Ru) C:\Users\Виталька\AppData\Local\Temp\AmigoDistrib.exe
2015-05-15 15:57 - 2015-05-15 15:57 - 0030008 _____ (AVG Technologies) C:\Users\Виталька\AppData\Local\Temp\DseShExt-x86.dll
2016-07-01 23:10 - 2016-07-01 23:10 - 2562256 _____ (Hola Networks Ltd.) C:\Users\Виталька\AppData\Local\Temp\Hola-Setup-1.14.558.exe
2015-05-15 15:57 - 2015-05-15 15:57 - 0033080 _____ (AVG Technologies) C:\Users\Виталька\AppData\Local\Temp\SDShelEx-win32.dll
2016-01-04 08:39 - 2016-06-28 22:58 - 1230848 _____ () C:\Users\Виталька\AppData\Local\Temp\SkypeSetup.exe
2017-02-16 23:26 - 2015-08-21 14:23 - 0074099 _____ () C:\Users\Виталька\AppData\Local\Temp\Uninstall.exe
2016-01-23 20:37 - 2016-01-23 20:37 - 2026520 _____ (BitTorrent Inc.) C:\Users\Виталька\AppData\Local\Temp\utt5E75.tmp.exe
2016-01-23 20:36 - 2016-01-23 20:36 - 2026520 _____ (BitTorrent Inc.) C:\Users\Виталька\AppData\Local\Temp\uttDE6D.tmp.exe
2016-01-23 20:46 - 2016-01-23 20:46 - 2026520 _____ (BitTorrent Inc.) C:\Users\Виталька\AppData\Local\Temp\uttE64F.tmp.exe
2017-03-16 10:18 - 2017-03-16 10:18 - 14456872 _____ (Microsoft Corporation) C:\Users\Виталька\AppData\Local\Temp\vc_redist.x86.exe
2016-01-23 20:17 - 2016-01-23 20:23 - 16007168 _____ () C:\Users\Виталька\AppData\Local\Temp\vlc-2.2.1-win32.exe
2016-06-16 21:05 - 2016-06-16 21:18 - 3165720 _____ () C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394(1).exe
2016-06-18 21:32 - 2016-06-18 21:40 - 3165720 _____ () C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394(2).exe
2016-06-29 20:02 - 2016-06-29 20:11 - 3165720 _____ () C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394(3).exe
2016-07-04 18:53 - 2016-07-04 19:06 - 3165720 _____ () C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394(4).exe
2016-10-13 23:21 - 2017-01-12 05:16 - 3165720 _____ () C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394(5).exe
2016-06-11 21:41 - 2016-06-11 21:42 - 3165720 _____ () C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQMSystemSetup_11.5.17490.219_489617394.exe
2016-06-29 20:02 - 2016-06-29 20:24 - 6272144 _____ () C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQMWechatBackupSetup_11.7.58881.501_1465274404071(1).exe
2016-07-04 18:53 - 2017-01-12 05:15 - 6272144 _____ () C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQMWechatBackupSetup_11.7.58881.501_1465274404071(2).exe
2016-06-18 21:32 - 2016-06-18 21:53 - 6272144 _____ () C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQMWechatBackupSetup_11.7.58881.501_1465274404071.exe
2016-06-29 20:02 - 2016-06-29 20:23 - 16047608 _____ (腾讯公司) C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQQPhoneManager-5.5.1_710201.4892.pa(1).exe
2016-07-04 18:53 - 2017-01-12 05:15 - 16047608 _____ (腾讯公司) C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQQPhoneManager-5.5.1_710201.4892.pa(2).exe
2016-06-18 21:32 - 2016-06-18 21:52 - 16047608 _____ (腾讯公司) C:\Users\袙懈褌邪谢褜泻邪\AppData\Local\Temp\TempQQPhoneManager-5.5.1_710201.4892.pa.exe
FirewallRules: [TCP Query User{1AE1AD00-D9FE-481F-B909-61DF94B53A35}C:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => (Block) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [UDP Query User{D5F49D99-37E1-4A05-A296-0D9EB6A5A1BF}C:\program files\common files\tencent\qqdownload\130\tencentdl.exe] => (Block) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{1D3ABB85-0329-4734-8682-F2FBF8925E26}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{2BB8A341-90ED-4289-960B-F70BF7C49057}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{C62B9B56-DD74-43C9-8BF8-2526076C5BA5}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{75BB8486-057C-4B0D-B405-AB3A0BD07F52}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Виталя-рамс** · 16.03.2017, 23:22

После перехагрузки вновь системная ошибка: QQPCTray.exe - Запуск программы невозможен, так как на компьютере отсутствует Common.dll. Попробуйте переустановить программу

**Vvvyg** · 17.03.2017, 06:49

Новый лог Farbar Recovery Scan Tool сделайте.

**Виталя-рамс** · 17.03.2017, 07:04

По алгоритму из 10 поста?

**Vvvyg** · 17.03.2017, 07:07

Из 8-го.

**Виталя-рамс** · 17.03.2017, 07:20

Готово!

**Vvvyg** · 17.03.2017, 20:20

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\...\Run: [ QQPCTray] => C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-06-10] (Tencent)
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
2017-01-06 02:11 - 2017-01-06 02:11 - 00000000 ____D C:\Users\Виталька\AppData\Local\PlayFree Browser
AV: 电脑管家系统防护 (Disabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5}
AS: 电脑管家系统防护 (Disabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48}
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QQPCMgr" /f
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки все экраны Avast, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Виталя-рамс** · 19.03.2017, 08:07

Готово!

**Vvvyg** · 19.03.2017, 10:44

Теперь полностью эту китайскую напасть зачистили.
Насчёт тормозов - должно полегчать, но система не самая мощная, мягко выражаясь...

**Виталя-рамс** · 20.03.2017, 06:34

Это всего лишь нетбук

Просто он раньше поживее работал, а в последнее время "подустал".
Спасибо Вам огромное за уделенное время! Что бы я делал без Вашей помощи? Пожалуй, так и жил с китайцем)
У меня еще один маленький вопрос. Аваст пишет такое: Излишних приложений: 1. Отключите эти приложения, чтобы повысить производительность ПК.
Reg Run
Q Q P C Tray

**Vvvyg** · 20.03.2017, 07:25

Новый лог FRST сделайте.

Не удаляется QQPCRTP.exe [not-a-virus:AdWare.Win32.Esprot.alo, Trojan-Downloader.Win32.Stantinko.bct ] (заявка № 210210)

Опции темы