Ноутбук заражен, в трее висит QQPCTray.exe

**Wild_Tigra** · 18.11.2015, 10:57

Добрый день помогите пожалуйста, ноут с вирусней и в трее висит QQPCTray.exe, в безопасном проверил Dr/web Cureit понаходило кучу, удалил, проверил Mbam, все что нашло тоже удалил. AVZ вырубается при сканировании когда сканирует с:\users\пользователь\AppData\Roaming\Avast (скрин прилагаю), логи не создаються. HiJackThis лог прикрепляю. там видно где сидит эта зараза, но без Вашей помощи трогать не хочу.
Винда 8.1, х64
Интел і-5-3317
ОЗУ 4 Гб

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.11.2015, 10:58

Уважаемый(ая) Wild_Tigra, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 18.11.2015, 11:04

Пробуйте выполнять только 2-й стандартный скрипт в AVZ. Даже в безопасном режиме AVZ вылетает?

**Wild_Tigra** · 18.11.2015, 11:21

Да в безопасном тоже вываливается. 2-й прошел норм.

**Vvvyg** · 18.11.2015, 12:30

Так не зря в правилах оформления запроса указано, что для 64-разрядной системы нужно только 2-й стандартный скрипт выполнять.

Программы от Mail.Ru сами устанавливали?

**Wild_Tigra** · 18.11.2015, 12:44

Недоглядел про 2-й именно пункт. Нет они тоже с какой то программой стали.

**Vvvyg** · 18.11.2015, 12:49

Загрузите систему в безопасном режиме и выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMContextScan.dll', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSSysKit64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TS888x64.sys', '');
 QuarantineFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys', '');
 QuarantineFile('C:\WINDOWS\system32\Drivers\TAOKernel64.sys', '');
 QuarantineFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQSysMonX64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TAOFrame.exe', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
 QuarantineFile('c:\program files (x86)\tencent\qqpcmgr\10.11.16588.235\qqpcrtp.exe', '');
 QuarantineFile('c:\users\Пользователь\appdata\local\mail.ru\mrkeeper.exe', '');
 QuarantineFile('c:\users\Пользователь\appdata\local\mail.ru\mailruupdater.exe', '');
 DeleteFile('c:\users\Пользователь\appdata\local\mail.ru\mailruupdater.exe', '32');
 DeleteFile('c:\users\Пользователь\appdata\local\mail.ru\mrkeeper.exe', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TAOFrame.exe', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQSysMonX64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOKernel64.sys', '32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TS888x64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TSSysKit64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMContextScan.dll', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Amigo\Application\amigo.exe', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Amigo\Application\vk.exe', '32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Amigo\Application\ok.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_Пользователь.job', '32');
 DeleteService('TSSysKit');
 DeleteService('TS888x64');
 DeleteService('TFsFlt');
 DeleteService('TAOKernelDriver');
 DeleteService('TAOAccelerator');
 DeleteService('QQSysMonX64');
 DeleteService('QMUdisk');
 DeleteService('TAOFrame');
 DeleteService('Updater.Mail.Ru');
 DeleteService('QQPCRTP');
 DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Local\Mail.Ru', '*', true);
 DeleteFileMask('C:\Users\Пользователь\AppData\Local\Amigo', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Tencent');
 DeleteDirectory('C:\Users\Пользователь\AppData\Local\Mail.Ru');
 DeleteDirectory('C:\Users\Пользователь\AppData\Local\Amigo');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster Scan" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Пользователь)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster Update" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_Пользователь" /F', 0, 15000, true);
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'obizxotsew');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'app-helper');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'amigo');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог AdwCleaner (by Xplode).

**Wild_Tigra** · 18.11.2015, 14:03

Карантин вложил, вот лог AdwCleaner

**Vvvyg** · 18.11.2015, 14:13

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Wild_Tigra** · 18.11.2015, 14:44

не могу прикрепить файл, нехватает места , а удалить старые не могу

- - - - -Добавлено - - - - -

При открытии Iexplorera выдает
Веб сайт пытается открыть веб-содержимое с помощью программы на вашем компьютере
Имя: internet low-mic utility tool
Издатель:Microsoft Windows

галочка не показывать это сообщение и варианты разрешить и не разрешать, чтобы ни выбирал все равно появляется.

**Vvvyg** · 18.11.2015, 14:47

Удалите вложения, относящиеся к самым старым темам.

**Wild_Tigra** · 18.11.2015, 14:48

Все разобрался, выкладываю лог и скрин ошибки

**Vvvyg** · 18.11.2015, 14:55

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Wild_Tigra** · 18.11.2015, 15:09

Лог

**Vvvyg** · 18.11.2015, 15:43

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
SearchScopes: HKLM -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF
SearchScopes: HKLM-x32 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF
SearchScopes: HKU\S-1-5-21-3150336268-1587858372-1157116985-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse
SearchScopes: HKU\S-1-5-21-3150336268-1587858372-1157116985-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&ieverfix=1&fr=ieverfix_dse
SearchScopes: HKU\S-1-5-21-3150336268-1587858372-1157116985-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
FF DefaultSearchEngine: Поиск@Mail.Ru
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Homepage: hxxp://mail.ru/cnt/10445?gp=blackbear3
FF Keyword.URL: hxxp://go.mail.ru/search?fr=ntg&q=
CHR HomePage: Default -> hxxps://mail.ru/cnt/11956636
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
2015-10-26 06:17 - 2015-10-26 06:17 - 00002677 _____ C:\Users\Пользователь\Desktop\Амиго.Музыка.lnk
2013-09-24 08:09 - 2013-09-24 08:15 - 89276468 _____ () C:\ProgramData\SECC211.tmp
AlternateDataStreams: C:\ProgramData\Temp:373E1720
AlternateDataStreams: C:\ProgramData\Temp:B1FBBD09
FirewallRules: [{5BE623F2-D82A-4F12-BA31-1A2D7A94636C}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{30F9821D-C9B7-4DEA-AB34-F13687BA2981}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{0D5C27F0-91E8-4FAD-911F-22B0B06515B8}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCmgrInstallGuide.exe
FirewallRules: [{9D485E82-7D77-4BD8-B9AB-FB0C15A861E1}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCTray.exe
FirewallRules: [{E95DE8B3-042A-4827-B457-43FABA59FF2F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCMgr.exe
FirewallRules: [{53E9C218-1630-405B-9025-B43CCC3CA497}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe
FirewallRules: [{39BF629D-72D9-485A-BB37-2DB4355DC133}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMDL.exe
FirewallRules: [{B4D4A6B8-F9DF-44B0-9F14-9A841963FD7E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\bugreport.exe
FirewallRules: [{E661064B-0608-45FE-8A6C-EB39B6F91A1A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCFileOpen.exe
FirewallRules: [{43DBDD05-E327-4C04-9E97-062DA99C1420}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCLeakScan.exe
FirewallRules: [{90B57078-52A4-4FDF-969E-37560E8D2DC6}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPConfig.exe
FirewallRules: [{151F6FBA-798A-40FC-8D49-511F9FCF6DA0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCSoftMgr.exe
FirewallRules: [{732BF07A-FCDB-47E6-AD17-70BBC761C5E5}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{E4E02580-D62F-4EA6-8C21-4464602D46B9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCBTU.exe
FirewallRules: [{D23C46BF-A15D-4479-B012-93F0D1137664}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCClinic.exe
FirewallRules: [{786F5961-2BE2-4BAB-8EDC-1B0C10E3F172}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCLaunch.exe
FirewallRules: [{F6E7DEB6-514F-4252-9875-27B3800191D1}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{9EAB44CA-412A-4279-B4D2-B6108689BC8B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCSoftGame.exe
FirewallRules: [{68A503D7-3CF6-44D4-A0D9-FA5F4A29F164}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCSysOptimize.exe
FirewallRules: [{BAF68328-98CE-4D43-AA0F-5E4212B600F6}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCUpdateAVLib.exe
FirewallRules: [{982813F2-391B-4D54-A616-88F8E3DD4F2C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQRepair.exe
FirewallRules: [{0BF1BF74-11EF-4A9D-89A2-6B6A831FC971}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\Uninst.exe
FirewallRules: [{C68AA08D-E97E-44F1-8E38-5BB8C0A2093B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QQPCPatch.exe
FirewallRules: [{3AED0469-A1B1-4586-89E8-BF5DFA22094D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TpkUpdate.exe
FirewallRules: [{F4EFF85E-BE62-41E3-B6F8-2FDD946AD6E9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMRouterMgr.exe
FirewallRules: [{A1D2CB3F-9A5B-43F9-8033-683E04E7352B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMAccountProtection.exe
FirewallRules: [{F814B62D-E4D2-4B8A-9A2B-DCC3499B89CB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMAdBlock.exe
C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk
InternetURL: C:\Users\Пользователь\Downloads\Favorites\Links\Интернет.url -> hxxp://ognime.ru/?utm_source=favorites03&utm_content=5b0d0257dc9729ec44d47b5129437989&utm_term=A6ECC760F69694460A9240920B81CAEE
Reg: reg delete "HKU\S-1-5-21-3150336268-1587858372-1157116985-1001\Amigo" /f

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Предупреждение выходит при запуске обычного IE, или 64-битного (путь C:\Program Files\Internet Explorer\iexplore.exe)?
На всех страницах, или только на стартовой?

**Wild_Tigra** · 18.11.2015, 15:59

Пустую страницу, х64

- - - - -Добавлено - - - - -

лог фикса

**Vvvyg** · 18.11.2015, 16:10

Попробуйте в IE x64 "Свойства обозревателя" -> "Дополнительно" -> "Сброс...".

**Wild_Tigra** · 18.11.2015, 16:18

Вроде прошло, спасибо.

**Vvvyg** · 18.11.2015, 16:25

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Avast обновите до актуальной версии, в настройках: Антивирусная защита -> Экран файловой системы -> чувствительность -> поставить галку на "Искать потенциально нежелательные программы (ПНП)".
Убедитесь также, что включены в разделе настройки -> Антивирус DeepScreen и Усиленный режим хотя бы как "Умеренный". Это хоть как-то оградит от запуска разных мусорных программ.

Выполните рекомендации после лечения.

**Wild_Tigra** · 18.11.2015, 16:35

Все включил, спасибо огромное за помощь и уделенное время.

Ноутбук заражен, в трее висит QQPCTray.exe (заявка № 192983)

Опции темы