0 / 0 / 0
Регистрация: 06.11.2015
Сообщений: 7
1

Exe.rehcnual.bat, exe.erolpxei.bat, exe.emorhc.bat

06.11.2015, 19:42. Показов 1781. Ответов 12
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Здравствуйте. Буквально 2 дня назад случилось: скачал и запустил неизвестный мне exe файл(корю себя за это), после началась установка различных программ, большую часть которых заблокировал антивирус. Но все же не все. При закреплении ярлыка браузера на панели задач значение поля объект меняется(на примере оперы на: C:\Users\DarkPrince\AppData\Roaming\Browsers\exe.rehcnual.bat, но такого файла в пути нет) и при запуске брузера с панели открывается случайный рекламный сайт. В общем не страшно но бесит.
Логи прилагаю.
Вложения
Тип файла: zip CollectionLog-2015.11.06-21.30.zip (69.6 Кб, 4 просмотров)
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
06.11.2015, 19:42
Ответы с готовыми решениями:

Exe.rehcnual.bat, exe.erolpxei.bat, exe.emorhc.bat итд
добрый день! в конце мая поймала заразу, которая поставила мне кучу хлама от мыла, браузер амиго и...

В ярлыках браузеров emorhc.bat rehcnual.bat xoferif.bat erolpxei.bat
В ярлыках браузеров встроились вирусы и при открытии открывается реклама

Вирус exe.emorhc.bat и exe.erolpxei.bat
Здравствуйте! Помогите, пожалуйста, избавиться от вируса. Прописался в Свойства ярлыка Intеrnet...

Вирус exe.emorhc.bat, exe.xoferif.bat
Таких тем море, но "Внимание! Рекомендации написаны специально для пользователя...", поэтому решила...

12
Вирусоборец
21911 / 15707 / 3030
Регистрация: 08.10.2012
Сообщений: 63,822
06.11.2015, 20:54 2
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя DarkPr1nce. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Сhrоmе.lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Internet Ехplorer Вrowsеr.lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Сhromе (2).lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Сhromе.lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxрlorer (2).lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Ехplorеr.lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа (2).lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа (3).lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа (4).lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оperа.lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnet Explоrеr.lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Explorеr (No Аdd-ons).lnk','');
     QuarantineFile('C:\Users\DarkPrince\Desktop\Progs\Gооglе Chrоme.lnk','');
     QuarantineFile('C:\Users\DarkPrince\Desktop\Progs\Орerа.lnk','');
     QuarantineFile('C:\Users\DarkPrince\Desktop\Games\Skyrim - Lеgendary Edition.lnk','');
     QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Skyrim - Legendary Edition\Игрaть Skyrim - Lеgendаry Edition.lnk','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Browsers\exe.emorhc.bat','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Browsers\exe.erolpxei.bat','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Browsers\exe.rehcnual.bat','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat','');
     QuarantineFile('C:\Users\DarkPrince\AppData\Roaming\MyDesktop\qweeeCL.exe','');
     DeleteFile('C:\Users\DarkPrince\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
     DeleteFile('C:\Users\DarkPrince\AppData\Roaming\Browsers\exe.emorhc.bat','32');
     DeleteFile('C:\Users\DarkPrince\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
     DeleteFile('C:\Users\DarkPrince\AppData\Roaming\Browsers\exe.rehcnual.bat','32');
     DeleteFile('C:\Users\DarkPrince\AppData\Roaming\Browsers\exe.rehcnualmiryks.bat','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
    ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteRepair(3);
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
    К сообщению прикреплять карантин не нужно!

  3. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  4. Подготовьте лог сканирования AdwCleaner.
1
0 / 0 / 0
Регистрация: 06.11.2015
Сообщений: 7
07.11.2015, 10:25  [ТС] 3
Вот. Вроде все сделал.
Вложения
Тип файла: log ClearLNK-07.11.2015_12-20.log (12.5 Кб, 1 просмотров)
Тип файла: txt AdwCleaner[S1].txt (1.6 Кб, 1 просмотров)
0
0 / 0 / 0
Регистрация: 06.11.2015
Сообщений: 7
07.11.2015, 10:37  [ТС] 4
Оу. Кажется всё)) На всякий.
Вложения
Тип файла: txt AdwCleaner[C1].txt (1.7 Кб, 2 просмотров)
Тип файла: log Quarantine.log (15.6 Кб, 1 просмотров)
0
Вирусоборец
21911 / 15707 / 3030
Регистрация: 08.10.2012
Сообщений: 63,822
07.11.2015, 14:40 5
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
1
0 / 0 / 0
Регистрация: 06.11.2015
Сообщений: 7
07.11.2015, 15:06  [ТС] 6
Вот.
Вложения
Тип файла: rar FRST.rar (7.0 Кб, 1 просмотров)
Тип файла: rar Addition.rar (7.6 Кб, 1 просмотров)
Тип файла: rar Shortcut.rar (5.0 Кб, 1 просмотров)
0
Вирусоборец
21911 / 15707 / 3030
Регистрация: 08.10.2012
Сообщений: 63,822
07.11.2015, 16:05 7
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код
start
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://www.istartsurf.com/?type=hp&ts=1408538711&from=smt&uid=WDCXWD2500AAJS-00VWA0_WD-WMARW011480514805","hxxp://mail.ru/cnt/10445?gp=openpart"
CHR Extension: (Quick Searcher) - C:\Users\DarkPrince\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbepggeogbaibhgnhhndojpepiihcmeb [2015-11-05]
OPR Extension: (Quick Searcher) - C:\Users\DarkPrince\AppData\Roaming\Opera Software\Opera Stable\Extensions\dbepggeogbaibhgnhhndojpepiihcmeb [2015-11-05]
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
1
0 / 0 / 0
Регистрация: 06.11.2015
Сообщений: 7
08.11.2015, 14:06  [ТС] 8
Вот.
Вложения
Тип файла: txt Fixlog.txt (1.3 Кб, 1 просмотров)
0
Вирусоборец
21911 / 15707 / 3030
Регистрация: 08.10.2012
Сообщений: 63,822
08.11.2015, 18:44 9
Проблема решена?
1
0 / 0 / 0
Регистрация: 06.11.2015
Сообщений: 7
08.11.2015, 19:23  [ТС] 10
Да. Премного благодарен.
0
Вирусоборец
21911 / 15707 / 3030
Регистрация: 08.10.2012
Сообщений: 63,822
08.11.2015, 19:51 11
Завершаем:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

2.
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
0 / 0 / 0
Регистрация: 06.11.2015
Сообщений: 7
09.11.2015, 16:08  [ТС] 12
Есть.
Вложения
Тип файла: txt SecurityCheck.txt (8.2 Кб, 1 просмотров)
0
Вирусоборец
21911 / 15707 / 3030
Регистрация: 08.10.2012
Сообщений: 63,822
09.11.2015, 16:11 13
------------------------------- [ Windows ] -------------------------------
Internet Explorer 10.0.9200.17183 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 65 (64-bit) v.8.0.650.17 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u66-windows-x64.exe)^
Java SE Development Kit 7 Update 79 (64-bit) v.1.7.0.790 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jdk-7u80-windows-x64.exe)^

Антивирус обновите.

Прочтите и выполните Рекомендации после удаления вредоносного ПО
0
09.11.2015, 16:11
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
09.11.2015, 16:11
Помогаю со студенческими работами здесь

Вирус Exe.rehcnual.bat
Здравствуйте. Словил вирус Exe.rehcnual.bat, подменил некоторые ярлыки на рабочем столе, а также...

Поймал вирус Exe.rehcnual.bat
Добрый день, ребята. Вчера решил скачать старого доброго СТАЛКЕРа,с модами, и при распаковке...

Exe.emorhc.bat
Получил вирус exe.emorhc.bat, подменяющий ярлыки браузеров и отправляющий на сторонние сайты при...

Exe.emorhc.bat
Доброго времени суток! установил прогу и вылетела такая штука: из панели задач исчез хром, так...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
13
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru