RISOLTO QQPCRTP.exe

[orientale]

Salve,
penso sia un virus o qualcosa del genere dal momento che mi è apparsa una icona blu, in basso a destra, simile ad uno scudo, senza nome (appaiono una serie di quadratini quando ci si clicca sopra).
QQPCRTP.exe è il nome che appare nel Task Manager.
Non c'è verso di eliminarlo.
Blocca ogni download e ripristino configurazione di sistema.
Purtroppo non riesco ad allegare il log di Hijackthis perchè mi chiude il browser.
Grazie per i vostri suggerimenti.

 

[Federico83]

http://www.tomshw.it/forum/sicurezza/492602-rimozione-malware-un-pc-infetto-aggiornato.html

 

[deleted_271768]

Scarica RKill, MalwareBytes AntiMalware, SuperAntiSpyware, RogueKiller e HitmanPRO.
Comincia avviando RKill che ferma tale processo, poi fai girare gli altri antivirus aggiornando le definizioni che lo rimuoveranno.
Se un AV chiede il riavvio, consenti, ma riavvia RKill.

 

[Lele1990]

hai provato a far analizzare il file su https://www.virustotal.com/ ? io consiglierei anche l'uso di Scarica Emsisoft Emergency Kit

fai sapere

 

[orientale]

Virustotal non è male, non lo conoscevo, molto leggero.
Il problema è che quel maledetto malware è di origine cinese credo, quindi i caratteri vengono visualizzati come tanti quadratini che ovviamente sono illeggibili.
Per il momento ho provato con circa una decina di antimalware, qualcuno addirittura non lo rileva e quei pochi che lo beccano non riescono ad eliminarlo definitivamente.

 

[tecnico24]

Ciao ,
scarica combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
salvalo sul desktop e disconnetti internet
apri esegui e incolla questo comando cosi com'è
"%userprofile%\desktop\combofix.exe" /killall
attendi pazientemente e al termine dopo il riavvio posta il log , se non appare controlla in c:\combofix.txt
Disattiva anche il tuo antivirus prima di questa operazione.

 

[orientale]

Ciao a te,
Combofix parte ma poi si blocca senza fare il log. Comunque non da esegui, che mi risponde male. :mad:
Tutto quello che sono riuscito a fare è con HiJackThis che però non riesco ad inviare con Gestione Allegati

Copio qui

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23.53.51, on 27/09/2015
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programmi\Enigma Software Group\SpyHunter\SH4Service.exe
C:\WINDOWS\system32\svchost.exe
D:\Programmi\Tencent\QQPCMgr\10.11.16575.227\QQPCRTP.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\SUPERAntiSpyware\SASCORE.EXE
C:\Programmi\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmi\Tencent\QQPCMgr\10.11.16575.227\QQPCTray.exe
C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
C:\Programmi\Java\jre7\bin\jqs.exe
D:\Programmi\ReflectService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programmi\Tencent\QQPCMgr\10.11.16575.227\plugins\QMNetMon\QQPCNetFlow.exe
D:\Programmi\Tencent\QQPCMgr\10.11.16575.227\QMUsbGuard.exe
D:\Programmi\Tencent\QQPCMgr\10.11.16575.227\QQPCRealTimeSpeedup.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Firefox\plugin-container.exe
C:\Programmi\Microsoft Office\Office12\EXCEL.EXE
D:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Google
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=94493384_hao_pg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=94493384_hao_pg
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - D:\Programmi\IEPro\iepro.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre7\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [ QQPCTray] "D:\Programmi\Tencent\QQPCMgr\10.11.16575.227\QQPCTRAY.EXE" /regrun /qqrepair
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - D:\Programmi\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - D:\Programmi\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - D:\Programmi\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - D:\Programmi\IEPro\iepro.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CS1\Services\Tcpip\..\{56DBE0FC-76E0-4809-845D-326400ABF50E}: NameServer = 8.8.8.8,8.8.4.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{56DBE0FC-76E0-4809-845D-326400ABF50E}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS4\Services\Tcpip\..\{56DBE0FC-76E0-4809-845D-326400ABF50E}: NameServer = 176.31.229.24,176.31.229.25
O20 - AppInit_DLLs: C:\Documents and Settings\All Users\Dati applicazioni\FlashBeat\FlashBeat32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Programmi\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Programmi\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programmi\Java\jre7\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programmi\Malwarebytes Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programmi\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\Gaetano\Impostazioni locali\Dati applicazioni\PosService\Pos.exe
O23 - Service: QQPCMgr RTP Service (QQPCRTP) - Tencent - D:\Programmi\Tencent\QQPCMgr\10.11.16575.227\QQPCRTP.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - D:\Programmi\ReflectService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programmi\Spyware Doctor bis\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programmi\Spyware Doctor bis\pctsSvc.exe
O23 - Service: SpyHunter 4 Service - Enigma Software Group USA, LLC. - C:\Programmi\Enigma Software Group\SpyHunter\SH4Service.exe


--
End of file - 6446 bytes

 

[tecnico24]

Siamo con XP : supporto scaduto e molto obsoleto , valuterei un passaggio perlomeno a 7.
Disattiva internet e antivirus.
Apri Hijackthis e seleziona queste voci:

O4 - HKLM\..\Run: [ QQPCTray] "D:\Programmi\Tencent\QQPCMgr\10.11.16575.227\QQPC TRAY.EXE" /regrun /qqrepair
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=94493384_hao_pg
O17 - HKLM\System\CS3\Services\Tcpip\..\{56DBE0FC-76E0-4809-845D-326400ABF50E}: NameServer = 176.31.229.24,176.31.229.25
O17 - HKLM\System\CS4\Services\Tcpip\..\{56DBE0FC-76E0-4809-845D-326400ABF50E}: NameServer = 176.31.229.24,176.31.229.25
O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\Gaetano\Impostazioni locali\Dati applicazioni\PosService\Pos.exe
O23 - Service: QQPCMgr RTP Service (QQPCRTP) - Tencent - D:\Programmi\Tencent\QQPCMgr\10.11.16575.227\QQPCR TP.exe

clicca su fix checked.
Scarica the avenger
The Avenger by Swandog46 Download - Geeks to Go Forum
scompatta l'archivio ed esegui avenger.exe
nello spazio vuoto incolla

Folders to delete:
D:\Programmi\Tencent\QQPCMgr

togli la spunta da scan for rootkits
premi su excute
aspetta l'operazione e il riavvio del PC.
Posta il log e un nuovo report di hijackthis aggiornato.
Poi
scarica tcp/ip repair
XP TCP/IP Repair 2.2 Download - TechSpot
esegui come amministratore e clicca su RESET TCP/IP
Riavvia nuovamente il pc.

 

[orientale]

Certo XP ormai è andato, appena possibile passo a 7.
Tutte le voci sono state cancellate tranne
O23 - Service: Pos Service (PowerOffer Service) - PowerOfferService - C:\Documents and Settings\Gaetano\Impostazioni locali\Dati applicazioni\PosService\Pos.exe
come puoi vedere dal nuovo log

Non c'è verso di scaricare tcp/ip repair
Dopo alcuni tentativi è apparsa una pagina rossa:

Il sito che stai per visitare contiene programmi dannosi

I malintenzionati su www.xp-smoker.com potrebbero cercare di indurti con l'inganno a installare programmi che danneggiano la tua navigazione (ad esempio cambiando la tua pagina iniziale o mostrando annunci extra sui siti che visiti).

Dovrebbe essere tutto a posto, se non resuscita.

L'unico problema è che con Firefox non riesco più ad effettuare alcun download, anche una semplice foto non me la fa scaricare e si blocca.
Se hai qualche suggerimento te ne sarò grato.

 

[tecnico24]

Apri esegui
scrivi cmd ed apri il prompt
Scrivi rispettando gli spazi o copia|incolla

net stop PowerOffer Service
sc delete PowerOffer Service
netsh int ip reset
netsh winsock reset all

ognuno seguito da invio.
Riavvia il pc dopo questi comandi e verifica firefox.

 

[orientale]

Niente da fare, tutto come prima.
Non riesco nemmeno ad importare i segnalibri da Chrome.

 

[tecnico24]

Allegami i due log di OTL
http://www.tomshw.it/forum/sicurezza/492602-rimozione-malware-un-pc-infetto-aggiornato.html

 

[orientale]

Eccoli

 

[karrygun]

Virustotal non è male, non lo conoscevo, molto leggero.
Il problema è che quel maledetto malware è di origine cinese credo, quindi i caratteri vengono visualizzati come tanti quadratini che ovviamente sono illeggibili.
Per il momento ho provato con circa una decina di antimalware, qualcuno addirittura non lo rileva e quei pochi che lo beccano non riescono ad eliminarlo definitivamente.

virustotal non è un antivirus e non cancella nulla. ti ha segnalato qualcosa? hai provato a mandare una segnalazione del file incriminato al tuo antivirus ? magari risolvi facendo solo una segnalazione.

 

[orientale]

Ho visto che non è un antivirus.
Mi chiede però di inserire un file, ma nel mio caso tutto quello che appariva, ora non più, erano pop up in basso a destra e nel file manager alcuni processi che iniziavano con [h=2]QQPCRTP[/h]