Exe.emorhc.bat

@Deg93 · Регистрация: 30.08.2015

Author24 — интернет-сервис помощи студентам

Получил вирус exe.emorhc.bat, подменяющий ярлыки браузеров и отправляющий на сторонние сайты при попытке запустить интернет браузер. В моём случае были подменены ярлыки Google chrome, internet explorer и Opera, однако на сторонний сайт отправлял лишь Google chrome. После очистки несколькими антивирусами браузеры работают исправно, но запускаются лишь из папок, при попытке запустить из меню> Пуск или с панели задач вылетает ошибка " Объект " exe.emorthc.bat", на который ссылается этот ярлык, изменён или перемещён, и ярлык больше не работает.", в свойствах ярлыков указан путь: C:\Users\Deg\AppData\Roaming\Browsers\exe.emorhc.bat, папки Browsers не существует. Прошу помочь избавиться от последствий заражения и вернуть ярлыкам их былые свойства. Прикладываю лог adwcleaner.
Примечание: Браузер Opera- единственный запускается с панели задач, остальные выдают ошибку, при запуске из меню>Пуск тоже выдаёт ошибку.

@Sandor · 31.08.2015, 16:59

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Deg93 · 31.08.2015, 17:31 **[ТС]**

Прошу прощения за запрос без нужных логов.

@Sandor · 01.09.2015, 08:29

Внимание! Рекомендации написаны специально для пользователя Deg93. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.rehcnual.bat','');
 DeleteFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.rehcnual.bat','32');
 DeleteFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы в верху или с помощью этой формы.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Deg93 · 01.09.2015, 14:08 **[ТС]**

На данный момент ярлыки работают исправно, большое спасибо за быструю и качественную поддержку.

@Sandor · 01.09.2015, 14:18

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

В завершение проверим уязвимый софт:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Deg93 · 01.09.2015, 14:27 **[ТС]**

SecurityCheck

@Sandor · 01.09.2015, 14:39

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.4.40911 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u60-windows-x64.exe)^

Обновите указанное, прочтите и выполните Рекомендации после удаления вредоносного ПО.

Удачи!

@Deg93 · 01.09.2015, 15:06 **[ТС]**

Большое спасибо.

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,031
	31.08.2015, 16:59	2
	Здравствуйте! Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,031
	01.09.2015, 08:29	4
	Сообщение было отмечено Deg93 как решение Решение Внимание! Рекомендации написаны специально для пользователя Deg93. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.emorhc.bat', ''); QuarantineFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.erolpxei.bat', ''); QuarantineFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.rehcnual.bat',''); DeleteFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.rehcnual.bat','32'); DeleteFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.emorhc.bat', '32'); DeleteFile('C:\Users\Deg\AppData\Roaming\Browsers\exe.erolpxei.bat', '32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы в верху или с помощью этой формы. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Подготовьте лог сканирования AdwCleaner. 1

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,031
	01.09.2015, 14:18	6
	Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. В завершение проверим уязвимый софт: Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,031
	01.09.2015, 14:39	8
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.4.40911 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u60-windows-x64.exe)^ Обновите указанное, прочтите и выполните Рекомендации после удаления вредоносного ПО. Удачи! 1

@Deg93 0 / 0 / 0 Регистрация: 30.08.2015 Сообщений: 5
	01.09.2015, 15:06 [ТС]	9
	Большое спасибо. 0

Опции темы

Exe.emorhc.bat

Решение