Здравствуйте! Зацепился bat file за все браузеры, и возможно есть еще какая-то зараза...помогите пожалуйста ..
Здравствуйте! Зацепился bat file за все браузеры, и возможно есть еще какая-то зараза...помогите пожалуйста ..
Уважаемый(ая) logon943, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.
WBR,
Vadim
adwcleaner нашел что то....я прикрепил скрин, программа пока висит, не стал закрывать, жду дальнейших указаний .!Вложение 526408
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> [modified][RO] "C:\Users\Spy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk" -> ["C:\Users\Spy\AppData\Local\BrowserManager.bat" -> --"hxxp://search-poisk.ru"] -> start "" /I /B /D"C:\Users\Spy\AppData\Local\Yandex\Updater2\" "C:\Users\Spy\AppData\Local\Yandex\Updater2\BROWSE~1.EXE" -- "hxxp://search-poisk.ru"¶ (MD5:659CF0276E64367284436F7B9BAFDFE4) >>> [script][MASK] "C:\Users\Spy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk" -> ["C:\Windows\system32\cmd.exe" -> /C "c:\program files (x86)\google\chrome\chrome.bat"] >>> [script][MASK] "C:\Users\Spy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа (2).lnk" -> ["C:\Windows\system32\cmd.exe" -> /C "c:\program files (x86)\opera\launcher.bat"] -> start "" /I /B /D "c:\PROGRA~2\opera\" "c:\PROGRA~2\opera\launcher.exe" hxxp://tysearch.ru (MD5:37A4B37D13C3AAF257337F849452A276) >>> [script][MASK] "C:\Users\Spy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk" -> ["C:\Windows\system32\cmd.exe" -> /C "c:\program files (x86)\opera\launcher.bat"] -> start "" /I /B /D "c:\PROGRA~2\opera\" "c:\PROGRA~2\opera\launcher.exe" hxxp://tysearch.ru (MD5:37A4B37D13C3AAF257337F849452A276) >>> [script][RO][MASK] "C:\Users\Spy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk" -> ["C:\Program Files\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~1\INTERN~1\" "c:\PROGRA~1\INTERN~1\iexplore.exe"hxxp://search-poisk.ru"¶ (MD5:72D108FE1C08D41B97BF56167B3179A1) >>> [script][RO][MASK] "C:\Users\Spy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.bat"] -> start "" /I /B /D "c:\PROGRA~1\INTERN~1\" "c:\PROGRA~1\INTERN~1\iexplore.exe"hxxp://search-poisk.ru"¶ (MD5:72D108FE1C08D41B97BF56167B3179A1) -[script][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Darksiders II\Dаrksidеrs II.lnk" -> ["C:\Program Files (x86)\Darksiders II\launcher.bat"] -> start "" /I /B /D "c:\PROGRA~2\DARKSI~1\" "c:\PROGRA~2\DARKSI~1\launcher.exe"hxxp://search-poisk.ru"¶ (MD5:D25AFE66B291057DB88BA169911DC6E9) -[script] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PMB\РMB.lnk" -> ["C:\Program Files (x86)\Sony\PMB\pmbbrowser.bat"] -> start "" /I /B /D "c:\PROGRA~2\sony\pmb\" "c:\PROGRA~2\sony\pmb\PMBBRO~1.EXE" -- -- hxxp://tysearch.ru (MD5:657A0209B01A14C9D69A69DB05C22F7F) -[script] "C:\Users\Spy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\TоrBrоwsеr.lnk" -> ["C:\Windows\system32\cmd.exe" -> /C "e:\tor browser\browser\firefox.bat"] -> start "" /I /B /D "e:\TORBRO~1\browser\" "e:\TORBRO~1\browser\firefox.exe" hxxp://tysearch.ru (MD5:32ABE22207F21DFEB92A5B74FBA1DAF0) -[HTTP] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PMB\РMB Lаunсhеr.lnk" -> ["C:\Program Files (x86)\Sony\PMB\pmblauncher.bat" -> "hxxp://beesearch.ru" ] -> start "" /I /B /D "c:\PROGRA~2\sony\pmb\" "c:\PROGRA~2\sony\pmb\PMBLAU~1.EXE" hxxp://tysearch.ru (MD5:D4CA752DE35E4FE822513A2991365276) >>> [modified][RO] "C:\Users\Public\Desktop\Dаrksidеrs II.lnk" -> ["C:\Launcher.bat" -> "hxxp://search-poisk.ru" ] >>> [modified][RO] "C:\Users\Spy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\ТоrВrоwsеr.lnk" -> ["E:\firefox.bat" -> "hxxp://search-poisk.ru" ] >>> [RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Карточная игра в дурака 7.2\Страница в интернет.lnk" -> ["C:\Program Files (x86)\Google\Chrome\chrome.bat"]
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладке Папки со всех пунктов, где упоминаются Mail.Ru и MediaGet если используете соответствующие программы.
Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
В explorer еще остался bat. файл так должно быть...???Вложение 526447
Нет, удаляйте
Сделайте еще раз лог CheckBrowsersLNK
+ Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
После того лечения ярлыков и перезагрузки компьютера через некоторое время kaspersky нашел зловред, не знаю какой, но он дал запрос на лечение и откат всего нанесенного им изменения, я дал положительный ответ, kaspersky выполнил запланированные действия и перезагрузился....ну вообщем как так..я думаю вы должны это знать ...!
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin QuarantineFile('C:\start72urez3kr.vbs', ''); DeleteFile('C:\Users\Spy\AppData\Roaming\Homepager.exe.bat'); DeleteFile('C:\Users\Spy\AppData\Roaming\Mozilla\Firefox\Profiles\19i7yh5w.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}'); DeleteFile('C:\Users\Spy\AppData\Roaming\Mozilla\Firefox\Profiles\19i7yh5w.default\extensions\[email protected]'); DeleteFile('C:\firefox.bat'); DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}'); ExecuteRepair(2); ExecuteRepair(4); ExecuteWizard('SCU', 2, 2, true); RebootWindows(false); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новый лог RSIT (файл info.txt тоже нужен!).
WBR,
Vadim
готово!
- - - - -Добавлено - - - - -
готово!
info.txt будет? Если не влазит - удаляйте вложения из самых старых тем, а не из текущей. Ещё можно в архиве прикрепить.
Папки/файлы:
удалите при закрытом Firefox, остальное:Код:C:\Users\Spy\AppData\Roaming\Mozilla\Firefox\Profiles\19i7yh5w.default\extensions\[email protected] C:\Users\Spy\AppData\Roaming\Mozilla\Firefox\Profiles\19i7yh5w.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.bak
просто удалите.Код:C:\start72urez3kr.vbs C:\ProgramData\TimeTask
Какие ещё проблемы остались?
WBR,
Vadim
Запустите Total Commander через правую кнопку мыши Запуск от имени администратора и попробуйте удалить снова.
WBR,
Vadim
Удалите программы etranslator, Html5 geolocation provider.
Java 7 Update 67 (64-bit) удалите совсем (используется только с x64 версиями браузеров и программ), либо обновите до 71-го билда.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Проблемы какие-то остались?
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) logon943, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.