Добрый день!
Поймал Tencent и загрузка проца начала скакать от 50 до 100%. Удалил кое как Tencent, но загрузка осталась. AVZ показывает кучу пустых процессов, загружающих проц. Лог прилагается. Прошу помочь.
Добрый день!
Поймал Tencent и загрузка проца начала скакать от 50 до 100%. Удалил кое как Tencent, но загрузка осталась. AVZ показывает кучу пустых процессов, загружающих проц. Лог прилагается. Прошу помочь.
Уважаемый(ая) salievan, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Удалите программу Обнови Софт.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys', ''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe', ''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQSysMon.sys', ''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys', ''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TSKsp.sys', ''); QuarantineFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', ''); QuarantineFile('C:\Windows\system32\Drivers\TFsFlt.sys', ''); QuarantineFile('C:\Windows\system32\drivers\TsFltMgr.sys', ''); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys', ''); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQPCRTP.exe', ''); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQSysMon.sys', ''); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys', ''); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TSKsp.sys', ''); DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator.sys', ''); DeleteFile('C:\Windows\system32\Drivers\TFsFlt.sys', ''); DeleteFile('C:\Windows\system32\drivers\TsFltMgr.sys', ''); ExecuteFile('schtasks.exe', '/delete /TN "{585EBC9D-D6E6-4E90-A89C-3EAF46E90532}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{EB224DCC-86DB-4578-B8A9-F30C1F66D0B2}" /F', 0, 15000, true); DeleteService('jimocoso'); DeleteService('QMUdisk'); DeleteService('QQPCRTP'); DeleteService('QQSysMon'); DeleteService('TAOAccelerator'); DeleteService('TFsFlt'); DeleteService('TS888'); DeleteService('TsFltMgr'); DeleteService('TSKSP'); DeleteFileMask('c:\program files\tencent', '*', true); DeleteDirectory('c:\program files\tencent'); DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}'); DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}'); DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}'); DelCLSID('{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}'); BC_ImportALL; ExecuteSysClean; BC_DeleteSvc('TAOAccelerator'); BC_DeleteSvc('TAOKernelDriver'); BC_DeleteSvc('TFsFlt'); BC_DeleteSvc('TsFltMgr'); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spu_orb\Программа Spu_orb.lnk" -> ["D:\Spu_orb\Spu_orb.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spu_orb\Руководство пользователя.lnk" -> ["D:\Spu_orb\Help.chm"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spu_orb\Удалить Spu_orb.lnk" -> ["D:\Spu_orb\Uninstall.exe" =>> win-uninstall.ico] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ФСС РФ\ARM_FSS.lnk" -> ["C:\FSSRF\ARM_FSS\arm_fss.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ФСС РФ\Деинсталлировать ARM_FSS.lnk" -> ["C:\FSSRF\ARM_FSS\unins000.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movavi Фоторедактор 5\Movavi Photo Editor 5.lnk" -> ["C:\Users\zarpl\Desktop\Дима\foto\Movavi Photo Editor 5\PhotoEditor.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movavi Фоторедактор 5\Сайт Movavi Фоторедактор.lnk" -> ["C:\Users\zarpl\Desktop\Дима\foto\Movavi Photo Editor 5\Movavi Фоторедактор 5.url"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Movavi Фоторедактор 5\Удалить Movavi Фоторедактор 5.lnk" -> ["C:\Users\zarpl\Desktop\Дима\foto\Movavi Photo Editor 5\uninst.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spu_orb\История изменений.lnk" -> ["D:\Spu_orb\Version.rtf"] >>> "C:\Users\Public\Desktop\АРМ_ФСС.lnk" -> ["C:\FSSRF\ARM_FSS\arm_fss.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adguard\Adguard (Режим отладки).lnk" -> ["C:\Program Files\Adguard\Adguard.exe" =>> /debug] - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\desktop.ini.id-96CD63B7.[[email protected]].java" (410 байт) (MD5: 013E694D65FE0C98F16601697CB5E3A6) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Desktop.ini.id-96CD63B7.[[email protected]].java" (954 байт) (MD5: 21AB8CD4F69880A584AA892ED559F4E3) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Ease of Access.lnk.id-96CD63B7.[[email protected]].java" (1608 байт) (MD5: 43CDB58D313DA16D7C790F7D1B574054) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Magnify.lnk.id-96CD63B7.[[email protected]].java" (1498 байт) (MD5: 7A184FA922B410F8176E6DDF6068BBEC) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk.id-96CD63B7.[[email protected]].java" (1500 байт) (MD5: D8ED0BDFC344C94792A6802C5D9B33AF) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\On-Screen Keyboard.lnk.id-96CD63B7.[[email protected]].java" (1520 байт) (MD5: 023ED6264AC601E92E0A1F3400C6B204) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Command Prompt.lnk.id-96CD63B7.[[email protected]].java" (1544 байт) (MD5: 14FA58E1B666EAA6C9EE3E456297573E) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Desktop.ini.id-96CD63B7.[[email protected]].java" (922 байт) (MD5: 466B40B42B03B49AEC8FB32135ACD272) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk.id-96CD63B7.[[email protected]].java" (1546 байт) (MD5: 77D7B612D69870ED32FAA4F5D4FBF51A) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Run.lnk.id-96CD63B7.[[email protected]].java" (498 байт) (MD5: 3397D24A4502182D33DC7A9ABCABBC51) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\computer.lnk.id-96CD63B7.[[email protected]].java" (508 байт) (MD5: 08A228A2E936D6ED5E173858B554AAB0) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Control Panel.lnk.id-96CD63B7.[[email protected]].java" (518 байт) (MD5: 5D9179EFC674C4E6CFF4B2A82D21FB8F) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Desktop.ini.id-96CD63B7.[[email protected]].java" (986 байт) (MD5: 80AAB2EBE6183262F2139C257897349D) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Private Character Editor.lnk.id-96CD63B7.[[email protected]].java" (1580 байт) (MD5: 201AC0741C41375CC98ECBB35EF85973) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Windows Explorer.lnk.id-96CD63B7.[[email protected]].java" (1484 байт) (MD5: 012BF2197C77F38D6F2CB9A120166C2F) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools\desktop.ini.id-96CD63B7.[[email protected]].java" (410 байт) (MD5: 0847C351FA298C1D60D93F7E060AFE66) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\desktop.ini.id-96CD63B7.[[email protected]].java" (586 байт) (MD5: 13DB6B437CA6E6EAD4DD1771EE188A1A) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Desktop.ini.id-96CD63B7.[[email protected]].java" (554 байт) (MD5: 1907B0A4DEBF9611FF99D90AD6014A4C) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance\Help.lnk.id-96CD63B7.[[email protected]].java" (500 байт) (MD5: 3DB6534A342321FA9D1B152D2C06B0E6) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-96CD63B7.[[email protected]].java" (410 байт) (MD5: 40ED72C5299542305BD66634B3ABA1C3) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\WinRAR.lnk.id-96CD63B7.[[email protected]].java" (1256 байт) (MD5: 8E39DE00A94484ADE6175324A47855B8) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk.id-96CD63B7.[[email protected]].java" (1312 байт) (MD5: 43B6D5EA43BBFEEA6CE4E25B5AAE2221) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk.id-96CD63B7.[[email protected]].java" (1300 байт) (MD5: 08DF7D7D896C738E3AC270106BC0B918) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk.id-96CD63B7.[[email protected]].java" (1272 байт) (MD5: C3F274A4396491DA7DC583F59B5CDE52) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk.id-96CD63B7.[[email protected]].java" (2680 байт) (MD5: B7DC0F66255E7B32DA879A8922E3F3BD) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\СБИС плагин\СБИС плагин.lnk.id-96CD63B7.[[email protected]].java" (2354 байт) (MD5: 378F6C75D0160DBBBDB8EAD3DC26DD1A) - "C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk.id-96CD63B7.[[email protected]].java" (2876 байт) (MD5: 0053147D49740384BF385AF2B0F4B32A)
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки (все, которые будут из списка):Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text={searchTerms} R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text= R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text={searchTerms} - > R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: [URL,SuggestionsURL,SuggestionsURLFallback] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2f7a3195a0eddc7905c0701d103dd3c7&text= - > R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A060E7FB-91F5-4c7c-BD0F-4A11A581D878}: [URL] = https://www.baidu.com/s?wd={searchTerms}&tn=96010190_dg - 百度搜索 R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [SuggestionsURL] = http://suggests.go.mail.ru/ie8?q={SearchTerms} - Поиск@Mail.Ru R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}: [URL] = http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B38EC7C4F-76CE-4F5A-B215-850DA50DE728%7D&gp=820334 - Поиск@Mail.Ru O4 - HKCU\..\Run: [Privacy Eraser] = C:\Users\zarpl\Desktop\Работа\PrivacyEraser.exe /Startup (file missing) O4 - HKU\.DEFAULT\..\Run: [Adguard] = C:\Program Files\Adguard\Adguard.exe /nosplash /nosplash (file missing) O4 - HKU\.DEFAULT\..\Run: [Skype] = C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (file missing) O4 - MSConfig\startupreg: QQPCTray [command] = C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QQPCTray.exe /regrun (HKLM) (2015/09/03) (file missing) O4 - MSConfig\startupreg: Adguard [command] = C:\Program Files\Adguard\Adguard.exe (HKCU) (2016/04/08) (file missing) O4 - MSConfig\startupreg: BRBrowserInst [command] = C:\Users\zarpl\AppData\Local\Baidu\BaiduClient\1.6.0.359\BaiduUpdate.exe ##DisplayType=0;AppUpdate=1;VersionUpdate=1;ModuleUpdate=0;UpdateSource=6;OnlyInstall=1; (HKLM) (2015/09/03) (file missing) O4 - MSConfig\startupreg: Browser Manager [command] = C:\Users\zarpl\AppData\Local\Yandex\BrowserManager\BrowserManager.exe (HKCU) (2016/04/08) (file missing) O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\zarpl\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2016/04/08) (file missing) O4 - MSConfig\startupreg: MediaGet2 [command] = C:\Users\zarpl\AppData\Local\MediaGet2\mediaget.exe --minimized (HKCU) (2016/04/08) (file missing) O4 - MSConfig\startupreg: amigo [command] = C:\Users\zarpl\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (HKCU) (2016/04/08) (file missing) O4 - MSConfig\startupreg: uTorrent [command] = C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (HKCU) (2016/04/08) (file missing) O4 - Startup other users: C:\Users\user5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-96CD63B7.[[email protected]].java O4 - User Startup: C:\Users\zarpl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-96CD63B7.[[email protected]].java O15 - Trusted Zone: http://baidu.com O21 - HKLM\..\ShellIconOverlayIdentifiers\.QMDeskTopGCIcon: PCMgr Garbage Cleaner ShellExtension - {B7667919-3765-4815-A66D-98A09BE662D6} - C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMGCShellExt.dll (file missing) O22 - Task (.job): (Ready) Update Service for Torrent Search.job - C:\Program Files\Torrent Search\bWAeOsw.exe (file missing) O22 - Task (.job): (Ready) Update Service for Torrent Search2.job - C:\Program Files\Torrent Search\bWAeOsw.exe (file missing) O22 - Task: Driver Booster Scan - C:\Program Files\IObit\Driver Booster\Scheduler.exe /scan (file missing) O22 - Task: Driver Booster SkipUAC (zarpl) - C:\Program Files\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing) O22 - Task: Driver Booster Update - C:\Program Files\IObit\Driver Booster\AutoUpdate.exe /auto (file missing) O22 - Task: Update Service for Torrent Search - C:\Program Files\Torrent Search\bWAeOsw.exe (file missing) O22 - Task: Update Service for Torrent Search2 - C:\Program Files\Torrent Search\bWAeOsw.exe (file missing)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Карантин отправил, прилагаю логи
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3401372928-1041783400-815169026-1001\...\MountPoints2: {313dc205-cbf3-11e6-87e3-7824af9bc6d6} - F:\./MTP/LMPC.exe GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {1ADBCAD0-264E-450B-8900-4A24B7BA0A0D} - no filepath Task: {36314215-747E-4E34-992F-4F3056A7FB19} - System32\Tasks\ASP => C:\Program Files\RCP\systweakasp.exe BHO: У¦УГ±¦Т»јь°ІЧ°Іејю -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (Tencent Technology(Shenzhen) Company Limited -> 腾讯公司) FF Plugin: @baidu.com/BaiduExpert-npplugin -> C:\Users\zarpl\AppData\Roaming\Baidu\BDWebAdapter\3.0.345.0\npBDExNP.dll [No File] FF Plugin HKU\S-1-5-21-3401372928-1041783400-815169026-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\zarpl\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [No File] CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [iakddmmledeclcodpbgebfkhegaaddge] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (No Name) - C:\Users\zarpl\AppData\Roaming\Opera Software\Opera Stable\Extensions\aobdicepooefnbaeokijohmhjlleamfj [2016-05-18] R1 TSDefenseBt; C:\Windows\System32\DRIVERS\TSDefenseBt.sys [14008 2015-08-28] (Tencent Technology(Shenzhen) Company Limited -> Tencent) S3 TSSK; C:\Windows\System32\tssk.sys [67896 2015-08-28] (Tencent Technology(Shenzhen) Company Limited -> 电脑管家) C:\Windows\System32\DRIVERS\TSDefenseBt.sys C:\Windows\System32\tssk.sys C:\Program Files\Common Files\Tencent 2019-07-08 14:00 - 2019-07-08 14:00 - 000000000 ____D C:\Users\zarpl\AppData\Roaming\Babylon 2019-07-08 14:00 - 2019-07-08 14:00 - 000000000 ____D C:\Users\zarpl\AppData\Local\Babylon 2019-07-08 14:00 - 2019-07-08 14:00 - 000000000 ____D C:\ProgramData\Babylon 2019-07-09 12:05 - 2015-09-02 10:27 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт 2019-07-08 14:29 - 2015-08-28 08:47 - 000000000 ____D C:\ProgramData\ProductData 2018-04-17 09:20 - 2018-04-17 09:20 - 000000276 _____ () C:\Users\zarpl\AppData\Local\resmon.resmoncfg.id-96CD63B7.[[email protected]].java CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> C:\Users\zarpl\AppData\LocalLow\Unity\WebPlayer\loader\UnityWebPluginAX.ocx => No File CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{AC99BA65-DBBA-4D96-BB36-423F76CD6443}\InprocServer32 -> C:\Users\zarpl\AppData\Roaming\ConsultantPlus\Lib\scons.dll => No File CustomCLSID: HKU\S-1-5-21-3401372928-1041783400-815169026-1001_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMGCShellExt.dll -> No File ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> No File ContextMenuHandlers2: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> No File ContextMenuHandlers3: [QMContextScan] -> {63332668-8CE1-445D-A5EE-25929176714E} => -> No File ContextMenuHandlers3: [QMContextUninstall] -> {CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} => -> No File ContextMenuHandlers3: [QMSoftExt] -> {754DF2CE-51E8-4895-B53C-6381418B84AE} => -> No File ContextMenuHandlers4: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> No File ContextMenuHandlers6: [QMContextScan] -> {63332668-8CE1-445D-A5EE-25929176714E} => -> No File ContextMenuHandlers6: [QMContextUninstall] -> {CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} => -> No File ContextMenuHandlers6: [QMSoftExt] -> {754DF2CE-51E8-4895-B53C-6381418B84AE} => -> No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ycssrv => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ycssrv => ""="Service" FirewallRules: [{067C9B48-545B-4C07-803D-18C7549E4CC3}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe (Tencent Technology(Shenzhen) Company Limited -> ) FirewallRules: [{E8E51CA5-3899-47D5-8E5C-300F531D4821}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe (Tencent Technology(Shenzhen) Company Limited -> Tencent) FirewallRules: [{838617BC-D2E8-423B-BC26-9D696D85D3D9}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File FirewallRules: [{ABC2C05B-621B-440C-8F8E-AE16D6C2E48B}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File FirewallRules: [{B059E3BE-BA05-4CD7-8A8A-5F96F7FA49FC}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File FirewallRules: [{1CA3DE9D-406F-46A5-A745-15046D069D41}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File FirewallRules: [{E82FE859-3660-475D-B923-7176C41B7521}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File FirewallRules: [{D08CD3D4-1156-4A09-B6A4-13F032083F2B}] => (Allow) C:\Users\zarpl\AppData\Roaming\uTorrent\uTorrent.exe No File FirewallRules: [{9E68E0E2-8A05-4529-BE44-FBAC305A075B}] => (Allow) C:\Program Files\Steam\Steam.exe No File FirewallRules: [{12E06155-7E1A-4A1B-A9C1-31769D9BC6CD}] => (Allow) C:\Program Files\Steam\Steam.exe No File FirewallRules: [{1E47C5BA-C780-45CD-A898-3804FD6D1761}] => (Allow) C:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe No File FirewallRules: [{B0F01ADD-C5B5-4449-AB22-1C75F5CBA613}] => (Allow) C:\Program Files\Steam\bin\cef\cef.win7\steamwebhelper.exe No File Reboot:
Компьютер будет перезагружен автоматически.
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Прилагаю лог
Fixlog.txt от FRST ещё приложите.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.
WBR,
Vadim
Прилагаю логи:
Tencent и "непонятно что" почистили. Лучше?
WBR,
Vadim
Намного, спасибо Вам большое!!!!
Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 19
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB
Уважаемый(ая) salievan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.