Po infekcji min. ProxyHijacker, Pup.Optional.TorrentSearch, QQPCMgr oraz inne

[imusewindows]

Dobry wieczór, po wykryciu podejrzanych produktów Tencent, które zainstalowały się wbrew mojej woli, przeskanowałem system programami Malwarebytes Anti-Malware oraz AdwCleaner oba programy wykryły złośliwe oprogramowane które rzekomo usunęły, jednak MS Egde miał nadal zmienioną stronę startową. Stąd mój niepokój czy aby na pewno system jest wolny od złośliwego oprogramowania. Załączam obowiązkowe logi. Bardzo proszę o ich przeanalizowanie. 

FRST.txt

Addition.txt

gmer.txt

[picasso]

Widzę tylko drobne szczątki adware Tencent. Zadam też reset ustawień Edge. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f
Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f
S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSDefenseBT64.sys [X]
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X]
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku
Task: {1C88472F-7AE8-4148-BE6D-FC4B0C696599} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {26589765-2AC6-47BE-806C-E798EB64C4FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {2E62F1F4-4CB0-4ADC-B4E2-1F66548D749F} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {3116CDEE-6163-490C-8557-7A415BD86EA5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {40943A3C-838D-4C74-9E91-80B54CB9C424} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {49AFB004-2C12-4AD8-82E5-22489CFBA1D0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {5DE58182-FA5F-43EC-8AB8-5E4378C48412} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {70E81956-0A4D-4A41-AE31-6F800A27C96A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {9C1DDC58-DF39-44F1-9958-0547779CABFA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {ADAB1B1B-2CD6-4DD3-A0AC-CA2C90E8BE7E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {D8A9AC46-2C32-4FA0-8ECD-A1C39722D31F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-03-01]
ManualProxies:
C:\Program Files (x86)\Tencent
C:\ProgramData\Tencent
C:\ProgramData\TXQMPC
C:\Users\HP\AppData\Roaming\Tencent
C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
C:\WINDOWS\system32\Drivers\TFsFltX64.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Potwierdź też, że w Edge przestały się ładować niepożądane strony.

 

2. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log.

 

QQPCMgr;Tencent

[imusewindows]

Egde ładuje pustą stronę. Załączam logi 

Search.txt

Fixlog.txt

[picasso]

Fix pomyślnie wykonany. Kolejne poprawki na wyniki wyszukiwania w rejestrze. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Classes\.qbox
DeleteKey: HKLM\SOFTWARE\Classes\qmbfile
DeleteKey: HKLM\SOFTWARE\Classes\qpakfile
DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808}
DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF}
DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511}
DeleteKey: HKLM\SOFTWARE\Classes\WOW6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Google\Chrome\NativeMessagingHosts\com.qq.qmchext
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Tencent
DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent
DeleteKey: HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Tencent
Reg: reg delete HKU\S-1-5-21-957152668-3480208630-3226306878-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\UFH\SHC /v 0 /f
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

I jakoś przeoczyłam, że nie podałeś pliku FRST Shortcut. Dorzuć go.

[imusewindows]

Wynik naprawy oraz nowe logi z FRST oraz Shortcut

Fixlog.txt

Shortcut.txt

[picasso]

Chodziło tylko o dostarczenie brakującego pliku Shortcut, FRST.txt zbędny i usuwam. Fix pomyślnie wykonany. Na koniec:

 

Usuń ręcznie FRST z "Nowy folder (2)" na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.