Вирус меняет ярлык браузеров на bat файлы [Trojan.Win32.StartPage.fsgi ]

**Зараженныйкомпьютер** · 26.10.2015, 19:55

Здравствуйте.
На днях я скачал файл (.exe) и установил его. После этого иконки всех браузеров заменились на bat файлы. После клика по иконке браузера запускается командная строка (собственно бат файл) и только после этого открывается браузер с рекламой.

Все bat файлы расположены в "ProgramData", например "C:\ProgramData\naTAiU\wQlupqx0.bat" и прочие рандомные папки и файлы. Для каждого браузера создана своя папка. Я попробовал удалить все эти папки и заменить зараженные иконки на нормальные .exe файлы. Но через пару часов (а может и того быстрее) все началось заново. Иконки заменились на вновь созданные батники, но уже с другими рандомными именами. На форуме нашел похожую тему http://virusinfo.info/showthread.php?t=191542 . Мне следует проделать все как написано в ней или для каждого случая свой алгоритм?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.10.2015, 19:56

Уважаемый(ая) Зараженныйкомпьютер, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 27.10.2015, 08:49

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\hp defender\hhandler.exe');
 StopService('HHandler Service');
 QuarantineFile('c:\program files (x86)\hp defender\hhandler.exe', '');
 DeleteFile('c:\program files (x86)\hp defender\hhandler.exe', '32');
 DeleteFileMask('c:\program files (x86)\hp defender', '*', true);
 DeleteDirectory('c:\program files (x86)\hp defender');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог AdwCleaner (by Xplode).

Сделайте лог Check Browsers' LNK.

**Зараженныйкомпьютер** · 27.10.2015, 10:10

Карантин загрузил. Логи прилагаю.

**Vvvyg** · 27.10.2015, 10:22

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Зараженныйкомпьютер** · 27.10.2015, 11:24

Проблема устранена вроде бы. Спасибо!
Не знаю нужно ли прикладывать логи, на всякий случай прикреплю.

**Vvvyg** · 27.10.2015, 11:36

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

**CyberHelper** · 27.10.2015, 11:46

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\hp defender\hhandler.exe - Trojan.Win32.StartPage.fsgi

Вирус меняет ярлык браузеров на bat файлы [Trojan.Win32.StartPage.fsgi ] (заявка № 191837)

Опции темы