Подмена пути объекта во всех ярлыках браузеров [not-a-virus:AdWare.Win32.Amonetize.bzmk ]

[COLOR=#333333]Здравствуйте![/COLOR]

[COLOR=#333333]На днях как обычно это бывает клацнул неглядя пару "да".
Прошу помогите![/COLOR]

[COLOR=#333333]Симптомы:[/COLOR]
[COLOR=#333333]1. Создаются каталоги (как не удаляй, для каждого браузера Я-браузер, хром, опера, ффокс) типа C:\ProgramData\ghJujkFFtrsg [/COLOR]
[COLOR=#333333]2. Во всех браузерах, как только ими попользоваться меняется путь объекта ярлыков: C:\ProgramData\[/COLOR][COLOR=#333333]ghJujkFFtrsg[/COLOR][COLOR=#333333]\yyhdkje.bat[/COLOR]
[COLOR=#333333]3. Естественно браузер выдает стартовую страницу [COLOR="#FF0000"]удалено[/COLOR], которая редиректит на чего попало.[/COLOR]
[COLOR=#333333]4. Был произведен полный скан антивирусом касперского 2013, свежескачанной утилитой avz - ничего вредного не обнаружилось
[/COLOR]5. Удалил браузеры ффокс и хром - ярлыки не удаляются, т.к. их использует служба Hhandler Service
6. Если заходить в браузер (опера) не через ярлык, а напрямую - полёт нормальный

[COLOR=#333333]Заранее благодарен за помощь! Логи во вложении (их 2, т.к. 64-разрядная 7 виндовс стоит, если я все правильно понял)[/COLOR]
Открываю - просмотреть карантин в avz - там нет файлов

Уважаемый(ая) [B]Mister Z[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
SetServiceStart('HHandler Service', 4);
SetServiceStart('savesenselivem', 4);
StopService('savesenselivem');
StopService('HHandler Service');
QuarantineFile('C:\ProgramData\RyYBoADCXROcA\FHtQtd4.bat', '');
QuarantineFile('C:\ProgramData\mvLPFOWrWSYO\DAIiaB0.bat', '');
QuarantineFile('C:\ProgramData\ICK\ZqrPaKyk5.bat', '');
QuarantineFile('C:\Users\Михаил\AppData\Local\dzXDazzLa\NSYwUuM1.bat', '');
QuarantineFile('C:\Users\Михаил\AppData\Roaming\WindowsUpdater\Updater.exe', '');
QuarantineFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe', '');
QuarantineFile('C:\Program Files (x86)\Manager\Manager.exe', '');
QuarantineFileF('C:\ProgramData\RyYBoADCXROcA\', '*', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\mvLPFOWrWSYO\', '*', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\ICK\Z', '*', true, '', 0, 0);
DeleteFile('C:\ProgramData\RyYBoADCXROcA\FHtQtd4.bat', '32');
DeleteFile('C:\ProgramData\mvLPFOWrWSYO\DAIiaB0.bat', '32');
DeleteFile('C:\ProgramData\ICK\ZqrPaKyk5.bat', '32');
DeleteFile('C:\Program Files (x86)\Manager\Manager.exe', '32');
DeleteFile('C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe', '32');
DeleteFile('C:\Users\Михаил\AppData\Roaming\WindowsUpdater\Updater.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater', '64');
DeleteFile('C:\Users\Михаил\AppData\Local\dzXDazzLa\NSYwUuM1.bat', '32');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DeleteService('savesenselivem');
DeleteService('HHandler Service');
DeleteFileMask('C:\ProgramData\RyYBoADCXROcA\', '*', true);
DeleteFileMask('C:\ProgramData\mvLPFOWrWSYO\', '*', true);
DeleteFileMask('C:\ProgramData\ICK\Z', '*', true);
DeleteDirectory('C:\ProgramData\RyYBoADCXROcA\');
DeleteDirectory('C:\ProgramData\mvLPFOWrWSYO\');
DeleteDirectory('C:\ProgramData\ICK\Z');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_dbg.zip"]Check Browsers' LNK by Dragokas & regist[/URL]. Заархивируйте его и прикрепите к сообщению.


[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Ссылка на карантин из п.1
MD5 карантина: D84C115555857332E96E13D7F8C754C2
Размер файла: 192722201 байт
[url]http://virusinfo.info/virusdetector/report.php?md5=D84C115555857332E96E13D7F8C754C2[/url]
Карантин из п.2 прислал через форму
логи прилагаю

Посмотрите в в папке [CODE]C:\Program Files (x86)\Manager\[/CODE] файлы ещё остались? Если да, то их там много?

SaveSense деинсталируйте.

- выполните такой скрипт в AVZ
[code]
begin
ClearQuarantine;
QuarantineFile('C:\Users\Михаил\AppData\Local\Yandex\yapin\Yandex.lnk','');
QuarantineFile('C:\Users\Михаил\Desktop\Opera.lnk','');
QuarantineFile('C:\Users\Михаил\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk','');
QuarantineFile('C:\ProgramData\ajnwrMDtD\YgciNkTIpXX3.bat','');
QuarantineFile('C:\ProgramData\jVrnsC\fKbMffLuKHNnSye4.bat','');
DeleteFile('C:\ProgramData\ajnwrMDtD\YgciNkTIpXX3.bat','');
DeleteFile('C:\ProgramData\jVrnsC\fKbMffLuKHNnSye4.bat','');
QuarantineFileF('C:\ProgramData\ajnwrMDtD\', '*', true, '', 0, 0);
DeleteFileMask('C:\ProgramData\ajnwrMDtD\', '*', true);
DeleteDirectory('C:\ProgramData\ajnwrMDtD\');
QuarantineFileF('C:\ProgramData\jVrnsC\', '*', true, '', 0, 0);
DeleteFileMask('C:\ProgramData\jVrnsC\', '*', true);
DeleteDirectory('C:\ProgramData\jVrnsC\');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/code]
- Файл [B][color=RED]quarantine.zip[/color][/B] из папки AVZ загрузите по ссылке [B][color=RED]Прислать запрошенный карантин[/color][/B] вверху темы.

- Исправьте с помощью [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиты ClearLNK[/url] следующие ярлыки, отчёт о работе прикрепите:
[CODE]C:\Users\Михаил\AppData\Local\Yandex\yapin\Yandex.lnk
C:\Users\Михаил\Desktop\Opera.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Автозагрузка\Punto Switcher.lnk
C:\Users\Михаил\AppData\Local\Microsoft\Windows\GameExplorer\{FE84218E-D964-454B-AC01-AC016FA374C2}\PlayTasks\0\Играть.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры Playrix.ru\Коллекция игр Playrix.lnk
C:\Program Files (x86)\Playrix.ru\playrix.url
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры Playrix.ru\Фишдом. Время праздников.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры Алавар\Именем Короля 3. Коллекционное издание.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры от Alawar\Кельтские cказания. Холмы Сид.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры от Alawar\Легенда о большой рыбе.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры от Alawar\Невероятные приключения Мюнхгаузена.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры от Alawar\Радужная паутинка 3.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры от Alawar\Сага о вампире. Начало.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры от Alawar\Сокровища Ост-Индской компании.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры от Alawar\Янки на службе у Санта-Клауса.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Outlook Express.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Мои игры.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Удаленный помощник.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\AIMP2\AIMP2 Advanced Tag Editor.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\AIMP2\AIMP2 Audio Converter.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\AIMP2\AIMP2 Audio Recorder.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\AIMP2\AIMP2 Help (Russian Only).lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\AIMP2\AIMP2 Home.lnk
C:\Program Files\AIMP2\AIMP2.url
C:\Users\Михаил\YandexDisk\Главное меню\Программы\AIMP2\AIMP2.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\AIMP2\Uninstall.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\CyberLink PowerDVD\CyberLink PowerDVD.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\CyberLink PowerDVD\Online registration.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\CyberLink PowerDVD\PowerDVD Help file.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\CyberLink PowerDVD\Read Me.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\CyberLink PowerDVD\System Diagnosis.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Light Alloy\Light Alloy.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Light Alloy\Инструкция.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Light Alloy\Удалить программу.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\stepmania.com\smpackage Application.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\stepmania.com\StepMania.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\stepmania.com\Uninstall stepmania.com.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Игры TurboGames.ru\Даймон Джонс. Глаз дракона.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Соло на Клавиатуре 9. Три в одном\Русская справка.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Стандартные\Адресная книга.lnk
C:\Users\Михаил\YandexDisk\Главное меню\Программы\Стандартные\Знакомство с Windows XP.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Roulette Bot Plus.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Magic Desktop.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\- HP Game Console -.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Agatha Christie - Death on the Nile.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Bejeweled 2 Deluxe.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Blackhawk Striker 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Chuzzle Deluxe.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Dora's Carnival Adventure.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Escape Rosecliff Island.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\FATE.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Final Drive Nitro.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Jewel Quest - Heritage.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\More Games from HP Games.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Penguins!.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Plants vs. Zombies.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Poker Superstars III.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Polar Bowler.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Polar Golfer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Virtual Villagers - The Secret City.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Games\Zuma Deluxe.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Light Alloy\Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Light Alloy\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Игры Alawar.ru\4 Элемента II.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Игры Alawar.ru\Скрытые чудеса глубин.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Игры Alawar.ru\Янки при дворе короля Артура 2.lnk
C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\SendTo\Передача файлов через Bluetooth.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\Bluetooth File Transfer Wizard.lnk
C:\Users\Михаил\Favorites\Mail.Ru.url
[/CODE]

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

C:\Program Files (x86)\Manager\ там остался файл uninstal.exe

Похоже вы закрыли AdwCleaner (by Xplode) до того как он до конца отработал. Повторите очистку и свежий лог прикрепите.

[QUOTE=regist;1338335]Похоже вы закрыли AdwCleaner (by Xplode) до того как он до конца отработал. Повторите очистку и свежий лог прикрепите.[/QUOTE]

После нажатия на "очистить" выдало сообщение, что все программы закроются. И он закрыл в том числе сам себя.

Повторный лог прикрепляю

Вот теперь до конца отработал :).

Ещё раз свежий лог AdwCleaner сделайте.

Логи здесь

[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Удалить[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]

что с проблемой?

Проблема ушла.
Вопрос, что делать с файлом C:\Program Files (x86)\Manager\uninstal.exe ?
Запустить, удалить, оставить как есть?
В панели управления - программы и компоненты - тоже осталась запись Manager. Оттуда её удалить или не трогать ?

[quote="Mister Z;1338713"]Вопрос, что делать с файлом C:\Program Files (x86)\Manager\uninstal.exe ?
Запустить, удалить, оставить как есть?[/quote]Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

потом удаляйте.

[quote="Mister Z;1338713"]В панели управления - программы и компоненты - тоже осталась запись Manager. Оттуда её удалить или не трогать ?[/quote]
удаляйте.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

+
Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\manager\manager.exe - [B]not-a-virus:AdWare.Win32.Amonetize.bzmk[/B] ( DrWEB: Trojan.Amonetize.10301 )[/LIST][/LIST]