Подмена пути объекта во всех ярлыках браузеров

Здравствуйте коллеги!

На днях как обычно это бывает клацнул неглядя пару "да". Результат: установленный набор из китайского антивируса "tencent" + еще какие то программы + mailware. Программы и tencent как то осилил. А вот последний никак удалить не могу. Прошу помогите!

Симптомы:
1. Создается каталог (как не удаляй) C:\ProgramData\Browsers\ Содержимое: [url]http://prntscr.com/865n40[/url]
2. Во всех браузерах, как только ими попользоваться меняется путь объекта ярлыков: C:\ProgramData\Browsers\browser0.bat, или /browser1 (2 или 3 и т.п.) .bat, на каждый браузер создается свой файл бат в папке пункта 1.
3. Естественно браузер выдает стартовую страницу [url]http://searclhe-poisc.ru/[/url], которая редиректит на чего попало.
4. Был произведен полный скан - kis2015, avast, reason (reason нашел 7 файлов связанных с китайским антивирусом и разные PUP) - все лечил и удалял. Kis, avast - угроз не обнаружено. Также произведен полный скан в безопасном режиме - утилитой доктор веба и касперского, рекомендуемых на этом форуме - ничего не нашли.

Идеи чем воспользоваться и вылечить - больше не приходят в голову. А ярлыки все подменяются, сколько бы их не фиксить.

Заранее благодарен за помощь! Логи во вложении (их 2, т.к. 64-разрядная 7 виндовс стоит, если я все правильно понял)

Уважаемый(ая) [B]DmitrySEO[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
R3 - URLSearchHook: (no name) - {2E57EF74-B069-48AF-AE59-FA284881F311} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

[/CODE]

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
TerminateProcessByName('c:\program files (x86)\hp defender\hhandler.exe');
ClearQuarantine;
QuarantineFile('C:\Users\AACE~1\AppData\Local\Temp\extra_nsm3D52.tmp\installer2.exe','');
QuarantineFile('C:\Users\AACE~1\AppData\Local\Temp\app-helper.exe','');
QuarantineFile('C:\Program Files (x86)\HP Defender\HHandler.exe','');
QuarantineFile('c:\program files (x86)\skillbrains\lightshot\5.2.1.1\lightshot.exe','');
QuarantineFile('c:\program files (x86)\hp defender\hhandler.exe','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
StopService('HHandler Service');
SetServiceStart('HHandler Service', 4);
DeleteService('HHandler Service');
DeleteFile('c:\program files (x86)\hp defender\hhandler.exe','32');
DeleteFile('C:\Program Files (x86)\HP Defender\HHandler.exe','32');
DeleteFile('C:\Users\AACE~1\AppData\Local\Temp\app-helper.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\app-helper','command');
DeleteFile('C:\Users\AACE~1\AppData\Local\Temp\extra_nsm3D52.tmp\installer2.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon','command');
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.

Подготовьте лог AdwCleaner
[url]http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844[/url]
и приложите его в теме.

Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowserLnk[/URL]
и приложите в теме.

Добрый день.

Сделано все в точности по инструкции. Карантин загружен, 4 файла прилагаю. Что дальше?

Спасибо!

Скачайте на рабочий стол эту [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту[/url].
Перетащите на нее мышью лог CheckBrowserLnk.log.

Установите SP1 для Windows 7.

Обновите Internet Explorer до актуальной версии (даже если не используете):
[url]http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie[/url]

Установите все обновления безопасности, вышедшие после SP1.

Выполните скрипт в AVZ отсюда, скопировав там весь текст [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
(копировать при включенной русской раскладке)
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

Проверьте что с проблемой.

Коллеги, благодарю!

На данный момент я сделал 3 первых шага - CheckBrowserLnk.log, установил сервис пак 1, обновил ихплорер.
Проблемы на данный момент нет.

Я думаю решило проблему CheckBrowserLnk.log. Папку C:\ProgramData\Browsers\ я удалил, не восстанавливается как раньше.

Стоит ли проделывать дальшейшие шаги? Был ли это вирус либо просто остаточное явление а клинеры его убрали уже?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Обновления безопасности не выполнял, некогда особо уже.

Скрипт выполнен без ошибок!

Поидее проблема решена. Низкий вам поклон, спасибо:)

Думаю был троянец:
[CODE]C:\Program Files (x86)\HP Defender\HHandler.exe[/CODE]
[url]http://vms.drweb.ru/virus/?i=4322911[/url]
Но у этого экземпляра в данный момент нет ни одного детекта на вирустотал.

Обновления рекомендую установить, когда время появится.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Угу... вчера не было, сегодня есть один:
https://www.virustotal.com/ru/file/4cf8423777ef78ab0d2a0cab051dc8251f141832baa5a08d7df75638e05a3ba5/analysis/1440078733/

Ваши услуги, определенно стоят денег. Я поддержу проект. Спасибо!
Если есть возможность можно добавиться в скайп на будущее: dm.babenko

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]