Меняет ярлыки браузера после перезагрузки. browser0.bat

@hadizhensk · Регистрация: 01.06.2015

Author24 — интернет-сервис помощи студентам

Добрый день.
Сейчас не вспомнить где и как подцепил вредоносное ПО. После перезагрузки меняет ярлыки на browser0.bat в котором Nod32 находит троян и удаляет его.
До этого постоянно первая страница в хроме менялась на рекламную "вулкан"..
Лог прикладываю.
Помогите вылечить компьютер.

@hadizhensk · 23.12.2015, 16:51 **[ТС]**

В журнале Нод32 нашел название троянца - BAT/Obfuscated.l

@Sandor · 23.12.2015, 17:34

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя hadizhensk. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Host App Service
HP Defender
Start Menu

Soda Manager - ставили самостоятельно? Если нет, тоже удалите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Browsers\browser0.bat', '');
 QuarantineFile('C:\ProgramData\Browsers\browser6.bat', '');
 QuarantineFile('C:\Users\gd\AppData\Local\Browsers\browser1.bat', '');
 DeleteFile('C:\ProgramData\Browsers\browser0.bat', '32');
 DeleteFile('C:\ProgramData\Browsers\browser6.bat', '32');
 DeleteFile('C:\Users\gd\AppData\Local\Browsers\browser1.bat', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@hadizhensk · 24.12.2015, 09:09 **[ТС]**

Все сделал. Логи в приложении.

@Sandor · 24.12.2015, 09:15

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@hadizhensk · 24.12.2015, 09:37 **[ТС]**

Все сделано. Ярлыки не меняются.
По поводу Soda Manager, ее устанавливал я как альтернативную программу работы с пдф. Вот только удалить ее никак не получается. Она как невидимка.

@Sandor · 24.12.2015, 09:57

1. Два антивируса - много

AV: ESET Smart Security 9.0.318.24
AV: Защита от вирусов и шпионских программ McAfee

Один оставьте, один удалите:
Чистка системы после некорректного удаления антивируса

2.

Сообщение от hadizhensk

Вот только удалить ее никак не получается

Для удаления
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
Soda Manager (x32 Version: 8.0.0.0 - LULU Software Limited) Hidden
Soda PDF 8 Asian Fonts Pack (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Soda PDF 8 Convert Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Soda PDF 8 Create Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Soda PDF 8 Edit Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Soda PDF 8 Forms Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Soda PDF 8 Insert Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Soda PDF 8 OCR Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Soda PDF 8 Review Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Soda PDF 8 Secure Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Soda PDF 8 View Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Все перечисленные появятся в списке установленных программ в Панели управления.

3.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

4.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@hadizhensk · 24.12.2015, 14:13 **[ТС]**

Soda удалена, с Вашей помощью. Спасибо.

@hadizhensk · 24.12.2015, 14:16 **[ТС]**

Все программы запустил, логи прикрепляю.

@Sandor · 24.12.2015, 14:19

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.7.0.8.1216 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.4.0.2710 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.15.9.2403.3043 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Maxthon Cloud Browser v.4.4.2.2000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@hadizhensk · 24.12.2015, 16:02 **[ТС]**

Спасибо, наконец-то мой компьютер заработал как раньше.

@Sandor · 24.12.2015, 16:04

Удачи!

@hadizhensk 0 / 0 / 0 Регистрация: 01.06.2015 Сообщений: 7
	24.12.2015, 16:02 [ТС]	11
	Спасибо, наконец-то мой компьютер заработал как раньше. 0

@hadizhensk 0 / 0 / 0 Регистрация: 01.06.2015 Сообщений: 7
	23.12.2015, 16:51 [ТС]	2
	В журнале Нод32 нашел название троянца - BAT/Obfuscated.l 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	23.12.2015, 17:34	3
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя hadizhensk. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: Host App Service HP Defender Start Menu Soda Manager - ставили самостоятельно? Если нет, тоже удалите. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\ProgramData\Browsers\browser0.bat', ''); QuarantineFile('C:\ProgramData\Browsers\browser6.bat', ''); QuarantineFile('C:\Users\gd\AppData\Local\Browsers\browser1.bat', ''); DeleteFile('C:\ProgramData\Browsers\browser0.bat', '32'); DeleteFile('C:\ProgramData\Browsers\browser6.bat', '32'); DeleteFile('C:\Users\gd\AppData\Local\Browsers\browser1.bat', '32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы. К сообщению прикреплять карантин не нужно! Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Подготовьте лог сканирования AdwCleaner. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	24.12.2015, 09:15	5
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	24.12.2015, 09:57	7
	1. Два антивируса - много AV: ESET Smart Security 9.0.318.24 AV: Защита от вирусов и шпионских программ McAfee Один оставьте, один удалите: Чистка системы после некорректного удаления антивируса 2. Сообщение от hadizhensk Вот только удалить ее никак не получается Для удаления Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. Windows Batch file start CreateRestorePoint: Soda Manager (x32 Version: 8.0.0.0 - LULU Software Limited) Hidden Soda PDF 8 Asian Fonts Pack (Version: 8.0.44.25306 - LULU Software Limited) Hidden Soda PDF 8 Convert Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden Soda PDF 8 Create Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden Soda PDF 8 Edit Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden Soda PDF 8 Forms Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden Soda PDF 8 Insert Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden Soda PDF 8 OCR Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden Soda PDF 8 Review Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden Soda PDF 8 Secure Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden Soda PDF 8 View Module (Version: 8.0.44.25306 - LULU Software Limited) Hidden Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Все перечисленные появятся в списке установленных программ в Панели управления. 3. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. 4. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@hadizhensk 0 / 0 / 0 Регистрация: 01.06.2015 Сообщений: 7
	24.12.2015, 14:13 [ТС]	8
	Soda удалена, с Вашей помощью. Спасибо. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	24.12.2015, 14:19	10
	------------------------------- [ Windows ] ------------------------------- Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Foxit Reader v.7.0.8.1216 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.3.4.0.2710 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Yandex v.15.9.2403.3043 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Maxthon Cloud Browser v.4.4.2.2000 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	24.12.2015, 16:04	12
	Удачи! 0