Вирус в obfuscated bat

Printable View

08.03.2016, 16:20
oper_89

Вложений: 5

Вирус в obfuscated bat

По неосторожности установил левое ПО. Поставились Амиго и прочее мейловское ПО, а так же Advanced PC Care.
Все вычистил,но осталась проблема:
при запуске любого браузера путь к его запуску заменяется на путь к батнику, при запуске которого открывается браузер+реклама+ замечены попытки установки по новой всей мейловской чепухи.
Нод32 при этом ругается на батник и блочит его.
Если прописать нормальный путь и не запускать браузер(даже если перезагрузиться) - ярлык остается в порядке, но если запустить браузер, то запускается какой-то процесс,который создает левую папку с батником и меняет ярлык. Планировщик заданий пролистал - ничего подобного для срабатывания по такому тригеру не нашел.
[ATTACH=CONFIG]619851[/ATTACH][ATTACH=CONFIG]619852[/ATTACH]
08.03.2016, 16:21
Info_bot

Уважаемый(ая) [B]oper_89[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.03.2016, 17:38
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\hpdef\iilayz.exe');
StopService('HSystem');
QuarantineFile('c:\program files (x86)\hpdef\iilayz.exe', '');
QuarantineFile('C:\Users\oper\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '');
DeleteFile('c:\program files (x86)\hpdef\iilayz.exe', '32');
DeleteFile('C:\Users\oper\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
DeleteService('HSystem');
DeleteFileMask('c:\program files (x86)\hpdef', '*', true);
DeleteFileMask('C:\Users\oper\AppData\Local\Mail.Ru', '*', true);
DeleteDirectory('c:\program files (x86)\hpdef');
DeleteDirectory('C:\Users\oper\AppData\Local\Mail.Ru');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mailruhomesearch', 'command');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].

Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK.zip"]Check Browsers' Lnk 2[/URL].
08.03.2016, 21:17
oper_89

Вложений: 2

[QUOTE]
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK.zip"]Check Browsers' Lnk 2[/URL].[/QUOTE]

Готово.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=oper_89;1364801]Готово.[/QUOTE]

В Хроме все ок, а в мозилле при запуске открывает стартовую мейлру, после изменения настроек и следующем запуске она все равно стартовая
08.03.2016, 21:52
Vvvyg

Перетащите лог Check_Browsers_LNK.log на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
09.03.2016, 11:43
oper_89

Вложений: 2

Проблем больше нет.все работает как положено.спасибо.
09.03.2016, 12:40
Vvvyg

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].