Вирус прописывающий рекламные ссылки в ярлыки всех браузеров + реклама в самих браузерах.

[kampaster]

Добрый день!
Не знаю что поймал, но теперь во все ярлыки браузеров прописывается рекламная ссылка и в самих браузерах мелькает реклама, даже на сайтах на которых отродясь не было рекламы.
Во все ярлыки прописывается ссылка на некий http://rutracker.ws/
Вот пара скринов:

Скрытый текст

mozrekl.pngoperarekl.png

Скрыть

И при открытии браузера эта ссылка и открывается.
Скрин:

Скрытый текст

rutr.jpg

Скрыть

Просто изменить ярлык - -удалить ссылку не выходит. Вылетает ошибка. Скрин:

Скрытый текст

mozbadred.png

Скрыть

С другими ярлыками(браузеров) так же.
__
Ладно подумал я, удалил ярлык и создал новый. А фиг, сразу при создании нового ярлыка не важно где - на рабочем столе или на панели быстрого запуска --сразу создаётся ярлык с вредной ссылкой(значит что-то сидит и контролирует всё это)
Пробовал пролечить Dr.Web CureIt!, ничего такого не найдено.. Скрин:

Скрытый текст

сгк.png

Скрыть

[Info_bot]

Уважаемый(ая) kampaster, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\ok.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\vk.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=951048ce7d32f98f2057b0a569b5dfe3&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=951048ce7d32f98f2057b0a569b5dfe3&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=951048ce7d32f98f2057b0a569b5dfe3&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=951048ce7d32f98f2057b0a569b5dfe3&text=
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=951048ce7d32f98f2057b0a569b5dfe3&text=

Сделайте новые логи

Просто изменить ярлык - -удалить ссылку не выходит. Вылетает ошибка

На вкладке Общие снимите метку Только чтение

[kampaster]

Что дальше?

[thyrex]

Ярлыки исправили?

[kampaster]

Правой клавишей по любому ЕХЕ браузера -> Закрепить на панели задач
И всёравно ярлыки создаются с этой ссылкой на сайт!
Вот пример свойст ярлыка:
"C:\Program Files (x86)\Opera\launcher.exe" "http://rutracker.ws/"

[thyrex]

Вы бы вручную исправили свойства ярлыков и сравнили результат

[kampaster]

Вы бы вручную исправили свойства ярлыков и сравнили результат

Результат меня не устраивает.
Да я изменил/удалил эту ссылку в свойствах ярлыка в ручную. Пока не появилась, после перезагрузки РС тоже.
НО!
Так и не понятно почему при создании нового ярлыка создаётся ярлык с этой ссылкой? Получается поставлю новый браузер который не устанавливал, закину ярлык в панель быстрого запуска и у меня опять будет ярлык с этой вредной ссылкой, пока я руками не удалю?
И потом, эта зараза попала в ярлыки уже когда-то созданные. Как бы рецидив не получился, сейчас ссылки нет(руками удалил) а чуть позже опять пролезет как и случилось ранее, ведь что-то висит в системе, скрипт, вирус? Ведь сейчас всё еще создаются вредоносные ярлыки.

[thyrex]

Получается поставлю новый браузер который не устанавливал, закину ярлык в панель быстрого запуска и у меня опять будет ярлык с этой вредной ссылкой, пока я руками не удалю?

Не уверен, что так и будет

И потом, эта зараза попала в ярлыки уже когда-то созданные.

Поработал скрипт на каком-то из посещенных Вами сайтов, скорее всего

Сделайте логи RSIT
Сделайте такой лог

[kampaster]

Готово.

[thyrex]

Исправляйте ярлыки

C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (3).lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera (2).lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera (3).lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera (4).lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera (5).lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera (6).lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera (7).lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

Откройте в Блокноте содержимоке

C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
C:\Windows\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat

и процитируйте

[kampaster]

C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

@echo off
start igfxEM.exe /RegServerPerUser
start igfxEM.exe
start igfxHK.exe
start igfxTray.exe
attrib +R +H +S +A *.cui
del /Q {A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

C:\Windows\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat

@echo off
regsvr32 /s igfxDH.dll
regsvr32 /s igfxDI.dll
regsvr32 /s igfxLHM.dll
regsvr32 /s igfxCPL.cpl
regsvr32 /s igfxDTCM.dll
regsvr32 /s igfxOSP.dll
regsvr32 /s igfxexps.dll
igfxext.exe /regserver
igfxTray.exe /regserver
igfxHK.exe /regserver
start igfxEM.exe /RegServerPerUser
GfxUIEx.exe /regserver
attrib +R +H +S +A *.cui
start igfxEM.exe
start igfxTray.exe
start igfxHK.exe
del /Q {F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat

___

Исправляйте ярлыки

Кстати, вроде и проблема решилась.
Что я сделал: Я начал исправлять ярлыки, (кстати, так много ярлыков из-за того что я много раз пытался закидывать ярлыки на панель быстрого запуска, проверял создание с ссылкой.) В общем проще оказалось зайти в AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar и удалить все ярлыки, после этого я пересоздал 2 нужных ярлыка с браузерами. И они создались без ссылки. Видимо ярлык брался с всё еще зараженного ярлыка.
В общем эта проблема решилась. Спасибо.
Осталось помониторить рекламу в браузере, то снизу браузера на любых ссылках, то справа то слева.
Я не успел заскринить и вроде как это пропало после того как я прошелся Куритом от ДРвеба. Скрин в первом посте - -может посмотрите из-за этих скриптов могло быть или нет? Если да, то нет смысла мониторить так как проблема решена.
В общем прикрепил еще раз скрин и лог, в самом конце лога названия и пути тех вредоносных файлов.
Упс, у вложений есть ограничение на размер файла а лог в зипе весит 2мб, в общем прикрепил только скрин а последние строки лога так процитирую:

Start curing
-----------------------------------------------------------------------------

C:\Program Files\TNod User & Password Finder\TNODUP.exe - quarantined
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhcii lpdcil\1.1_0\background.js - quarantined
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Prof iles\9ijklxsh.default\extensions\dldcbakcjliccckkm [email protected]\resources\infoenh ancer\lib\main.js - quarantined
C:\Users\User\AppData\Roaming\Mozilla\Firefox\Prof iles\we6byfit.default\extensions\dldcbakcjliccckkm [email protected]\resources\infoenh ancer\lib\main.js - quarantined
C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dldcbakcjliccckkmfjcblhciilpdcil \1.1_0\background.js - quarantined

С TNODUP.exe понятно всё, я сам её ставил для Eset, а по остальному что скажете?

[thyrex]

Расширение Info Enhancer удалите

+ напишите список других установленных расширений