Поймал вирус Exe.rehcnual.bat

@Капитан_ВВС · Регистрация: 31.10.2015

Студворк — интернет-сервис помощи студентам

Добрый день, ребята. Вчера решил скачать старого доброго СТАЛКЕРа,с модами, и при распаковке "поймал"...( вирусняк. Самому бы голову включить,зачем он просил антивир отключить,но.. увы.. Расслабился. Давно ТАКОЙ ГАДОСТИ не "ловил".
Сначала прочистился своим "360 секьюрити",есть ещё Адвард. После прошёлся Др.Вебом Куррейт. Но.. Работает чисто только Гугл Хром, браузер жены. А моя ОПЕРА - исчезает сразу же после перезапуска и выхода из нее.
На вашем сайте почитал инфу.Скачал и прогнал комп через AVZ. AVZ базы обновлял. Комп прогнал,но вот сделать СКРИПТ не даёт.
При запуске - пишет "Ошибка в позиции" и кнопка "Ок".
Подскажите,что и КАК мне сделать.
Отсылаю Вам то,что смог сделать и сканировать.
Прошу прощения,я - далеко не асс в IT-технологиях,поэтому мне,желательно,подробнее объяснить.
Размеры файлов весьма "толстые",поэтому вышлю на указанную почту.

@Капитан_ВВС · 31.10.2015, 12:32 **[ТС]**

Вот,удалось что-то сделать и показать Вам.

@Капитан_ВВС · 31.10.2015, 12:55 **[ТС]**

Дальше, по рекомендациям Вашего сайта

@Капитан_ВВС · 31.10.2015, 13:08 **[ТС]**

прикрепляю отчет advcleaner

@Капитан_ВВС · 31.10.2015, 13:12 **[ТС]**

Заранее спасибо за помощь...

@thyrex · 03.11.2015, 19:37

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Вертолётчик\AppData\Local\Hostinstaller\2864549023_installcube.exe','');
 DeleteFile('C:\Users\Вертолётчик\AppData\Local\Hostinstaller\2864549023_installcube.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@Капитан_ВВС · 04.11.2015, 12:20 **[ТС]**

Зипфайл "карантин" - отправил по почте, на @safezone.

@Капитан_ВВС · 04.11.2015, 12:40 **[ТС]**

файл

@Капитан_ВВС · 04.11.2015, 12:53 **[ТС]**

лог

@thyrex · 05.11.2015, 22:01

Сил не хватило дочитать?

Сообщение от thyrex

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@Капитан_ВВС · 06.11.2015, 03:42 **[ТС]**

Извините за неловкость,но я ВСЁ прочёл. И старался отправить всё. Единственно что,я- не программист,)),а поэтому отправил,как мне показалось,всё. Сейчас повторю все действия.

@Капитан_ВВС · 06.11.2015, 03:51 **[ТС]**

Вот.

@Капитан_ВВС · 06.11.2015, 04:07 **[ТС]**

еще

@Капитан_ВВС · 06.11.2015, 04:15 **[ТС]**

я старался...

@Капитан_ВВС · 06.11.2015, 04:19 **[ТС]**

Надеюсь, у меня получилось предоставить все нужные данные. Кстати, ещё одна ерунда происходит. Пропадают "Часы" из "гаджетов" винды. появляются снова, как "заходишь" прав. кнопкой в меню стола, и дальше - в гаджеты.. Это лечится?? И вообще - - большущее человеческое спасибо за Вашу работу..

@thyrex · 07.11.2015, 10:22

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

@Капитан_ВВС · 07.11.2015, 13:31 **[ТС]**

Всё сделал,как вы и написали.
Единственно что, появилась табличка, скрин которой прилагаю.

@Капитан_ВВС · 07.11.2015, 13:36 **[ТС]**

Сорри. Сначала отправил,потом обнаружил,что отчёты не прикрепились. Слишком большими оказались.
Высылаю в архивах.

@thyrex · 08.11.2015, 10:57

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2015-09-24 18:10 - 2015-10-31 10:24 - 00000000 ____D C:\Users\Вертолётчик\AppData\Roaming\Browsers
2015-06-11 00:26 - 2015-10-31 15:12 - 0000383 _____ () C:\Program Files\installer_prefs.json
Task: {2F8594CB-A391-4905-87D9-C7E5A1E1D5D6} - \Soft installer -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

@Капитан_ВВС · 08.11.2015, 14:26 **[ТС]**

Сделал

@thyrex 12727 / 6886 / 1438 Регистрация: 06.09.2009 Сообщений: 25,675
	07.11.2015, 10:22	16
	Сообщение было отмечено Капитан_ВВС как решение Решение Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt**). Пожалуйста, и его тоже прикрепите в следующем сообщении. 1

@Капитан_ВВС 0 / 0 / 0 Регистрация: 31.10.2015 Сообщений: 18
	07.11.2015, 13:31 [ТС]	17
	Всё сделал,как вы и написали. Единственно что, появилась табличка, скрин которой прилагаю. Миниатюры 0

@Капитан_ВВС 0 / 0 / 0 Регистрация: 31.10.2015 Сообщений: 18
		1
	Поймал вирус Exe.rehcnual.bat 31.10.2015, 12:14. Показов 1267. Ответов 24 Метки нет (Все метки) Добрый день, ребята. Вчера решил скачать старого доброго СТАЛКЕРа,с модами, и при распаковке "поймал"...( вирусняк. Самому бы голову включить,зачем он просил антивир отключить,но.. увы.. Расслабился. Давно ТАКОЙ ГАДОСТИ не "ловил". Сначала прочистился своим "360 секьюрити",есть ещё Адвард. После прошёлся Др.Вебом Куррейт. Но.. Работает чисто только Гугл Хром, браузер жены. А моя ОПЕРА - исчезает сразу же после перезапуска и выхода из нее. На вашем сайте почитал инфу.Скачал и прогнал комп через AVZ. AVZ базы обновлял. Комп прогнал,но вот сделать СКРИПТ не даёт. При запуске - пишет "Ошибка в позиции" и кнопка "Ок". Подскажите,что и КАК мне сделать. Отсылаю Вам то,что смог сделать и сканировать. Прошу прощения,я - далеко не асс в IT-технологиях,поэтому мне,желательно,подробнее объяснить. Размеры файлов весьма "толстые",поэтому вышлю на указанную почту. 0

@Капитан_ВВС 0 / 0 / 0 Регистрация: 31.10.2015 Сообщений: 18
	31.10.2015, 13:12 [ТС]	5
	Заранее спасибо за помощь... 0

@thyrex 12727 / 6886 / 1438 Регистрация: 06.09.2009 Сообщений: 25,675
	03.11.2015, 19:37	6
	Выполните скрипт в AVZ Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Вертолётчик\AppData\Local\Hostinstaller\2864549023_installcube.exe',''); DeleteFile('C:\Users\Вертолётчик\AppData\Local\Hostinstaller\2864549023_installcube.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ Код begin CreateQurantineArchive('c:\quarantine.zip'); end. Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. 1. Распакуйте архив с утилитой в отдельную папку. 2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке http://dragokas.com/tools/move.gif 3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. 4. Прикрепите этот отчет к своему следующему сообщению. Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи 1

@Капитан_ВВС 0 / 0 / 0 Регистрация: 31.10.2015 Сообщений: 18
	04.11.2015, 12:20 [ТС]	7
	Зипфайл "карантин" - отправил по почте, на @safezone. 0

@thyrex 12727 / 6886 / 1438 Регистрация: 06.09.2009 Сообщений: 25,675
	05.11.2015, 22:01	10
	Сил не хватило дочитать? Сообщение от thyrex Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи 0

@Капитан_ВВС 0 / 0 / 0 Регистрация: 31.10.2015 Сообщений: 18
	06.11.2015, 03:42 [ТС]	11
	Извините за неловкость,но я ВСЁ прочёл. И старался отправить всё. Единственно что,я- не программист,)),а поэтому отправил,как мне показалось,всё. Сейчас повторю все действия. 0

@Капитан_ВВС 0 / 0 / 0 Регистрация: 31.10.2015 Сообщений: 18
	06.11.2015, 04:19 [ТС]	15
	Надеюсь, у меня получилось предоставить все нужные данные. Кстати, ещё одна ерунда происходит. Пропадают "Часы" из "гаджетов" винды. появляются снова, как "заходишь" прав. кнопкой в меню стола, и дальше - в гаджеты.. Это лечится?? И вообще - - большущее человеческое спасибо за Вашу работу.. 0

@thyrex 12727 / 6886 / 1438 Регистрация: 06.09.2009 Сообщений: 25,675
	08.11.2015, 10:57	19
	1. Откройте Блокнот и скопируйте в него приведенный ниже текст Код CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION 2015-09-24 18:10 - 2015-10-31 10:24 - 00000000 ____D C:\Users\Вертолётчик\AppData\Roaming\Browsers 2015-06-11 00:26 - 2015-10-31 15:12 - 0000383 _____ () C:\Program Files\installer_prefs.json Task: {2F8594CB-A391-4905-87D9-C7E5A1E1D5D6} - \Soft installer -> No File <==== ATTENTION Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – *Все файлы (.)* 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. 1

Поймал вирус Exe.rehcnual.bat

Решение