Problem z Tencent

[HolyMental]

Witam.

 

Ściągnąłem dzisiaj pewne spolszczenie do gry, które okazało się być złośliwym chińskim oprogramowaniem. W programfiles pojawił mi się folder Tencent, 7 różnych procesów z chińskimi krzaczkami.

Używałem CCleaner, Adwcleaner oraz FRST. Usuwałem bez neta te programy oraz do cna usunąłem ślad z rejestru po Tencencie. Niestety gdy tylko podepnę internet, od razu instalują się na nowo. Kilka razy również miałem problem z wyłączającym się monitorem.

 

Proszę o pomoc, bo niestety moja wiedza nie jest wystarczająca by to ogarnąć

Addition.txt

FRST.txt

Search.txt

AdwCleanerS7.txt

[picasso]

Brakuje trzeciego obowiązkowego pliku FRST Shortcut.

 

Tencent jest w pełni zainstalowany - multum obiektów startowych, w tych te odnawiające modyfikacje / "reinstalujące" komponenty. Prócz Tencent, także inne szkodniki. Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
S2 GoogleChromeUpService; C:\ProgramData\service.exe [1755136 2016-04-27] () [brak podpisu cyfrowego]
S2 GoogleChromeUpSvc; C:\ProgramData\Windows Update\svrupg.exe [2783744 2016-05-07] (TODO: ) [brak podpisu cyfrowego]
S2 lrcReportsService; C:\Program Files (x86)\Lorckphsary\lrcReportsService.exe [1005736 2016-05-06] ()
R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-05-08] (Tencent)
U2 QQRepair1f75; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1f75 [136512 2016-05-08] ()
S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC [136512 2016-05-08] ()
R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [184952 2016-04-18] (Tencent)
R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [154744 2016-05-08] (电脑管家)
R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [44664 2016-05-08] (Tencent)
R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [168568 2016-05-08] ()
R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99480 2016-05-08] (Tencent)
R1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [147576 2016-05-08] (Tencent Technology(Shenzhen) Company Limited)
R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-05-08] (电脑管家)
R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [28984 2016-05-08] (Tencent)
R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [57976 2016-05-08] ()
R3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-05-08] (电脑管家)
R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSSysKit64.sys [96888 2016-05-08] (电脑管家)
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
HKLM-x32\...\Run: [tasklist] => C:\Users\HOLYEM~1\AppData\Local\Temp\28565\tasklist 
HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-05-08] (Tencent)
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll [2016-05-08] (Tencent)
BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat [2016-05-08] (Tencent)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk [2014-07-26]
BootExecute:
Task: {2B9F9597-A439-4A05-BA64-BC748F5CF1F4} - System32\Tasks\{E7AC9377-C964-4B3F-A37B-88299B43EC22} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\seba86mu ModPack (0.9.10 v8) + XVM 6.1.4.2.exe" -d "C:\Users\Holy Emperor\Desktop"
Task: {34B42ABB-F17D-464E-857F-C8B8FA3B09F6} - System32\Tasks\{1FD127C0-9FA6-429F-8147-C848062854A8} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\intel_sct\intel_sct_9\Setup.exe" -d "C:\Users\Holy Emperor\Desktop\intel_sct\intel_sct_9"
Task: {6818633B-413F-4265-ACB1-9EC9F70CE4EF} - System32\Tasks\Lorckphsary Reports => C:\Program Files (x86)\Lorckphsary\lrcReportsTask.exe [2016-05-06] ()
Task: {762815A5-7F8E-4CB5-AD94-D123F0F9D6F2} - System32\Tasks\{507F26FF-B854-4BF7-9C1D-3596555B0027} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\MMD3 PL.exe" -d "C:\Users\Holy Emperor\Desktop"
Task: {A20D3C18-974F-4ABD-BECE-79B4BF3C1E21} - \GoogleUpdateTaskMachineUA -> Brak pliku 
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation)
FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\npQMExtensionsMozilla.dll [2016-05-08] (Tencent Technology (Shenzhen) Company Limited)
FF Plugin HKU\S-1-5-21-3489827281-3978022601-1105995746-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Tencent
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{B7667919-3765-4815-A66D-98A09BE662D6}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81}
DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1}
DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions
DeleteKey: HKLM\SOFTWARE\Classes\qmbfile
DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles
DeleteKey: HKLM\SOFTWARE\Classes\qpakfile
DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808}
DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{63332668-8CE1-445D-A5EE-25929176714E}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808}
DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81}
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tasklist
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASAPI32
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASMANCS
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOACCELERATOR
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER
DeleteKey: HKU\QMConfig
Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f
Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\opendlg\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f
Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f
CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i
CMD: netsh advfirewall reset
C:\Program Files\Common Files\Tencent
C:\Program Files (x86)\Firewatch
C:\Program Files (x86)\hohobnd
C:\Program Files (x86)\Lorckphsary
C:\Program Files (x86)\osTip
C:\Program Files (x86)\Tencent
C:\Program Files (x86)\Common Files\Tencent
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\*.*
C:\ProgramData\Tencent
C:\ProgramData\Thunder Network
C:\ProgramData\TXQMPC
C:\ProgramData\Windows Update
C:\Users\Holy Emperor\AppData\Roaming\Tencent
C:\Users\Holy Emperor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
C:\Users\Holy Emperor\Downloads\CCleaner-13061-dp.exe
C:\Users\Holy Emperor\Downloads\yet_another_cleaner_sk_5721297.exe
C:\Users\Holy Emperor\Downloads\yet_another_cleaner_sk_5721297 (1).exe
C:\Users\Public\Desktop\软件管理.lnk
C:\Users\Public\Documents\dmp
C:\Users\Public\Thunder Network
C:\Windows\system32\Drivers\TAOKernel64.sys
C:\Windows\system32\Drivers\TAOAccelerator64.sys
C:\Windows\system32\Drivers\TFsFltX64.sys
C:\Windows\system32\Drivers\TSSKX64.sys
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut oraz wyszukiwanie w rejestrze na warunki:

 

Tencent;QQPCMgr

 

Dołącz też plik fixlog.txt.

[HolyMental]

Dzięki za pomoc. Zrobiłem naprawę i po restarcie nie instalują się już ponownie te dziadostwa. Wszystko jest chyba okej, aczkolwiek byłbym wdzięczny gdybyś mógł rzucić na te logi swoim okiem. Chyba jeszcze rejestr do wyczyszczenia mi pozostanie?

Addition.txt

FRST.txt

Fixlog.txt

Shortcut.txt

Search.txt

[Rucek]

gdybyś mógł rzucić na te logi swoim okiem.

Picasso to kobieta.

[picasso]

Fix FRST uruchomiłeś aż 4 razy! To skrypt jednorazowego użytku, po pierwszym użyciu jest już nieaktualny i należy dopasować wyniki z nowego skanu do ewentualnych poprawek.

 

Prawie wszystko usunięte. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

S2 QQRepair1a76; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1a76" [X]
S2 QQRepairb49; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairb49" [X]
R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
DeleteKey: HKU\S-1-5-18\Software\Tencent
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\Malwarebytes
RemoveDirectory: C:\ProgramData\WindowsMsg
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blade&Soul
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StepMania
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack
RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{0ABF504E-04CB-48FC-8E63-23828D0762A0}
RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{2A3DF11A-13E4-4740-B42D-48CB9938AE0E}
RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{2C49EA32-C910-4908-887F-4B1B66C6F708}
RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{E212B6B8-B82B-4B0E-B2E2-7598E32F9214}
RemoveDirectory: C:\Users\Holy Emperor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft
CMD: del /q "C:\Users\Holy Emperor\AppData\Roaming\GiftBag.db"
CMD: del /q "C:\Users\Holy Emperor\Desktop\programy\Adobe Reader XI.lnk"
CMD: del /q "C:\Users\Holy Emperor\Desktop\programy\World of Warships.lnk"
Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\Uninst.exe" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" /f

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[HolyMental]

Bardzo Ci dziękuję za pomoc

 

Fixlog.txt

[picasso]

Wszystko pomyślnie usunięte. Kończymy:

 

1. W Dzienniku zdarzeń jest drobny nieszkodliwy błąd WMI. Zastosuj narzędzie Fix-it go usuwające: KLIK.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj z Pobranych folder FRST z FRST i jego logami. Następnie zastosuj DelFix.

 

To wszystko.

[HolyMental]

Mam jeszcze jeden problem, który moim zdaniem może mieć coś wspólnego z tym wirusem. Otóż po zainstalowaniu tego badziewia wyłączył mi się monitor ale po resecie znowu działał. Niestety po wykasowaniu tego, mam już drugi dzień problem z włączeniem monitora przy odpaleniu kompa

[driven]

Masz inny komputer w domu pod który mógłbyś podłączyć ten monitor albo inny monitor/TV, który mógłbyś podłączyć zamiast tego "popsutego"? Tak by było najłatwiej sprawdzić. Ja bym nie wiązał tego problemu z wirusem, czysty zbieg okoliczności. Temat powinieneś założyć w dziale Hardware.