Trojan.BAT.StartPage.nu (HEUR:Trojan.BAT.StartPage.ov) [HEUR:Trojan.BAT.StartPage.ov, Trojan.BAT.StartPage.nu ]

**об.261** · 23.03.2017, 21:19

Посмотрите плиз. Комп медленно работает, но видимо потому, что 7-ка, а памяти 2 Гб, что соответственно мало.
В установленных программах ничего лишнего не нашел. Как мне сказали - это все нужно. Картина не удаляется.
Аваст я вырубил, как мог...
Осталось по логам глянуть, что там и как. Заранее спасибо.
А это анализатор - http://virusinfo.info/virusdetector/...3D279B74245FAE

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.03.2017, 21:21

Уважаемый(ая) об.261, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 24.03.2017, 10:29

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\Victoria\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Victoria\AppData\Roaming\Browsers\exe.emorhc.bat','');
 DeleteFile('C:\Users\Victoria\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Victoria\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

**об.261** · 24.03.2017, 16:40

Завтра после обеда будет. Клиент не дома.

**Сомнение** · 24.03.2017, 20:24

Также, скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**об.261** · 25.03.2017, 18:54

Файл сохранён как 170325_184413_virus_58d6904d0cbcb.zip
Размер файла 1917
MD5 2a4053f3049e4c6d436497c98b77a6ce

Norton Internet Security (Version: 16.0.0.125 - Symantec Corporation) Hidden

В системе стоит Аваст, а Нортона там вообще нету.

**Сомнение** · 26.03.2017, 14:48

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
Toolbar: HKU\S-1-5-21-4111471489-2736889933-879115022-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF HKLM\...\Firefox\Extensions: [{7BA52691-1876-45ce-9EE6-54BCB3B04BBC}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn => not found
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR HKU\S-1-5-21-4111471489-2736889933-879115022-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
CustomCLSID: HKU\S-1-5-21-4111471489-2736889933-879115022-1001_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => No File
CustomCLSID: HKU\S-1-5-21-4111471489-2736889933-879115022-1001_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => No File
CustomCLSID: HKU\S-1-5-21-4111471489-2736889933-879115022-1001_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => No File
Task: C:\Windows\Tasks\WiseUninsDetecter.job => C:\Users\Victoria\Desktop\Wise Program Uninstaller\UnMonitor.exe

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**об.261** · 26.03.2017, 15:13

Вероятно в скрипте чего-то в конце не хватает, т.к. без команды - комп вряд ли перезагрузится.

**Сомнение** · 26.03.2017, 15:25

Не нужно, пожалуйста, умничать. Выполните скрипт.

**об.261** · 26.03.2017, 20:49

Какие будут дальше рекомендации.

**Сомнение** · 27.03.2017, 09:53

Присутствуют какие-либо проблемы на компьютере ?

**об.261** · 28.03.2017, 20:40

Сегодня вечером спрошу, т.к. вчера не смог дозвониться.

- - - - -Добавлено - - - - -

Проблем нету. Левые расширения исчезли. Чуть быстрее стал работать комп.
Просили передать вам огромное спасибо.

Еще что-то надо будет делать или все?

**Сомнение** · 28.03.2017, 21:29

При желании можете выполнить скрипт в AVZ:

Код:

var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
   if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
     if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
        ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
        exit;
       end;
   end;
  if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После работы скрипта, в блокноте откроется файл avz_log.txt со ссылкам на обновление Вашей системы и критичных к безопасности программ, которые нужно загрузить и обновить в первую очередь.
Подробнее также читайте здесь - http://virusinfo.info/showthread.php?t=121902

На этом все.

**CyberHelper** · 28.03.2017, 21:39

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\users\victoria\appdata\roaming\browsers\exe.emo rhc.bat - HEUR:Trojan.BAT.StartPage.ov ( DrWEB: BAT.Hosts.147 )
2. c:\users\victoria\appdata\roaming\browsers\exe.ero lpxei.bat - Trojan.BAT.StartPage.nu ( DrWEB: BAT.Hosts.147 )

Trojan.BAT.StartPage.nu (HEUR:Trojan.BAT.StartPage.ov) [HEUR:Trojan.BAT.StartPage.ov, Trojan.BAT.StartPage.nu ] (заявка № 210521)

Опции темы