Библиотека знаний - windows:virils
Заметки IT программиста
http://178.140.10.58:8080/
2026-04-17T09:42:46+00:00
Библиотека знаний
http://178.140.10.58:8080/
http://178.140.10.58:8080/lib/exe/fetch.php?media=wiki:dokuwiki.svg
-
text/html
2016-02-12T19:55:09+00:00
Anonymous (anonymous@undisclosed.example.com)
Как удалить QQPCMgr от Tencent
http://178.140.10.58:8080/doku.php?id=windows:virils:qqpcmgr
<h1 class="sectionedit1" id="как_удалить_qqpcmgr_от_tencent">Как удалить QQPCMgr от Tencent</h1>
<div class="level1">
<p>
Вот и тож смог познакомиться с этой напастью, правда только на планшете. Ну и как следствие пошел гуглить решение и естественно его не нашел, но опыт как говориться не пропьешь. И так приступим.
</p>
<p>
<a href="http://178.140.10.58:8080/lib/exe/fetch.php?tok=b336d7&media=http%3A%2F%2Fi59.tinypic.com%2Fj9q6i0.jpg" class="media" title="http://i59.tinypic.com/j9q6i0.jpg"><img src="http://178.140.10.58:8080/lib/exe/fetch.php?tok=b336d7&media=http%3A%2F%2Fi59.tinypic.com%2Fj9q6i0.jpg" class="media" loading="lazy" alt="" /></a>
</p>
</div>
<!-- EDIT{"target":"section","name":"\u041a\u0430\u043a \u0443\u0434\u0430\u043b\u0438\u0442\u044c QQPCMgr \u043e\u0442 Tencent","hid":"\u043a\u0430\u043a_\u0443\u0434\u0430\u043b\u0438\u0442\u044c_qqpcmgr_\u043e\u0442_tencent","codeblockOffset":0,"secid":1,"range":"1-450"} -->
<h2 class="sectionedit2" id="требуемые_программы">Требуемые программы</h2>
<div class="level2">
<ul>
<li class="level1"><div class="li">
Замечательная программа Unlocker
</div></li>
<li class="level1"><div class="li">
Не менее замечательная утилита AVZ
</div></li>
<li class="level1"><div class="li">
<a href="https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx" class="urlextern" title="https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx" rel="ugc nofollow">Process Explorer</a> - Очень удобная софтина для анализа запущенных программ
</div></li>
<li class="level1"><div class="li">
regedit - Редактор реестра
</div></li>
</ul>
<p>
Для начала запускаем Process Explorer под администратором, данная программа нам позволит запускать нужные нам программы, а также закрывать вредоносные. Для начала закрывем зараженный explorer, затем все программы относящиеся к Tencent - это QQPCMgr.exe, PerfTraceService.exe, QQPCRTP.exe, tencentdl.exe, QQBrowser.exe и QQPCTray.exe итд.
</p>
</div>
<!-- EDIT{"target":"section","name":"\u0422\u0440\u0435\u0431\u0443\u0435\u043c\u044b\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b","hid":"\u0442\u0440\u0435\u0431\u0443\u0435\u043c\u044b\u0435_\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b","codeblockOffset":0,"secid":2,"range":"451-1388"} -->
<h2 class="sectionedit3" id="удаляем_вредоноса_с_помощью_скрипта_для_avz">Удаляем вредоноса с помощью скрипта для AVZ</h2>
<div class="level2">
<pre class="code">begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('','');
QuarantineFile('C:\Users\Alex\AppData\Roaming\newSI_4396\s_inst.exe','');
DelCLSID('{D21D88E8-4123-48BA-B0B1-3FDBE4AE5FA4}');
DelBHO('{FB4F6285-4C32-49F2-950F-A5998F9CEC6C}');
DeleteService('TS888');
TerminateProcessByName('d:\iqiyi video\lstyle\qyclient.exe');
DeleteFile('c:\program files\application assistance\apphelper.exe','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\defendmon.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\jsonv6.dll','32');
DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kavmenu.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kcctrl.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kdefendpop.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kdgui.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kdgui2.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kdynmrey.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\keasyipcn.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kfloatwin.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kismain.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kminit
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\krcmdmon.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ksapi.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ksdectrl.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kshmpg.dll','32');
DeleteFile('C:\program files\kingsoft\kingsoft antivirus\kskinmgr.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kspupwnd.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kstools.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kswscxex.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ksysopteng.dll','32');
DeleteFile('C:\program files\kingsoft\kingsoft antivirus\ktoolupd.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\ktrashmon.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kupdatesp.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kusbcore.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kusbtool.dll','32');
DeleteFile('c:\program files\kingsoft\kingsoft antivirus\kvip.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AppHelper');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.</pre>
<pre class="code">begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\10.6.15950.224\qqpcrtp.exe');
StopService('TSSysKit');
StopService('TSDefenseBt');
StopService('TSCPM');
StopService('QQSysMonX64');
StopService('QQPCRTP');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt64.dll','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt.dll','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCTray.exe','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMContextUninstall64.dll','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TSSysKit64.sys','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TSDefenseBT64.sys','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\tscpm64.sys','');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQSysMonX64.sys','');
QuarantineFile('C:\Program Files (x86)\IGS\CCL.exe','');
QuarantineFile('c:\program files (x86)\tencent\qqpcmgr\10.6.15950.224\qqpcrtp.exe','');
QuarantineFile('C:\Users\al.NWTRUSSIA\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
QuarantineFile('C:\Users\al.NWTRUSSIA\AppData\Roaming\newSI_649\s_inst.exe', '');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCRTP.exe','32');
DeleteFile('C:\Program Files (x86)\IGS\CCL.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQSysMonX64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\tscpm64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TSDefenseBT64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TSSysKit64.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMContextUninstall64.dll','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QQPCTray.exe','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt.dll','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt64.dll','32');
DeleteFile('C:\windows\Tasks\newSI_649.job', '64');
DeleteFile('C:\windows\system32\Tasks\newSI_649', '64');
DeleteFile('C:\Users\al.NWTRUSSIA\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
DeleteFile('C:\Users\al.NWTRUSSIA\AppData\Roaming\newSI_649\s_inst.exe', '32');
DeleteService('TSSysKit');
DeleteService('TSDefenseBt');
DeleteService('TSCPM');
DeleteService('QQSysMonX64');
DeleteService('CCL');
DeleteService('QQPCRTP');
DeleteFileMask('C:\Users\al.NWTRUSSIA\AppData\Roaming\newSI_649\', '*', true);
DeleteDirectory('C:\Users\al.NWTRUSSIA\AppData\Roaming\newSI_649\');
DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{754DF2CE-51E8-4895-B53C-6381418B84AE}');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.</pre>
</div>
<!-- EDIT{"target":"section","name":"\u0423\u0434\u0430\u043b\u044f\u0435\u043c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043a\u0440\u0438\u043f\u0442\u0430 \u0434\u043b\u044f AVZ","hid":"\u0443\u0434\u0430\u043b\u044f\u0435\u043c_\u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u0430_\u0441_\u043f\u043e\u043c\u043e\u0449\u044c\u044e_\u0441\u043a\u0440\u0438\u043f\u0442\u0430_\u0434\u043b\u044f_avz","codeblockOffset":0,"secid":3,"range":"1389-"} -->