Bat файлы в ярлыках браузеров

@desation · Регистрация: 25.12.2015

Author24 — интернет-сервис помощи студентам

В свойствах прописываются бат файлы. Удаление папок не помогает, создаются новые с другими названиями типа C:\ProgramData\gSOOUNOAmGI\soWsfCvHK0ztDBk4.bat. Так же в браузерах появилсиь на всех сайтах всплывающие окна и реклама которой быть не должно.Если запускать браузеры через коневую папку то рекламы почти нет. бат файлы проипсываются сами и сразу во всех ярылках(пуск, рабочий стол, панель инструментов). Помогите пожайлуста. что с ними делать

@shestale · 26.12.2015, 07:45

Внимание! Рекомендации написаны специально для desation. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\oursoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFileF('C:\Users\User\AppData\Local\SystemDir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 ,0);
 QuarantineFile('c:\program files\87e77040-1451018916-11b2-8000-e7156741a95a\knsy2cd0.tmpfs', '');
 QuarantineFile('c:\program files\oursoft\oursoft.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\daemon2.exe', '');
 QuarantineFile('C:\ProgramData\KZNsVZMu\PNVaIQvJf0.bat', '');
 QuarantineFile('C:\Program Files\Microsoft Data\install_addons.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\SystemDir\nethost.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5_logon" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 DeleteFile('c:\program files\87e77040-1451018916-11b2-8000-e7156741a95a\knsy2cd0.tmpfs', '32');
 DeleteFile('c:\program files\oursoft\oursoft.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\daemon2.exe', '32');
 DeleteFile('C:\ProgramData\KZNsVZMu\PNVaIQvJf0.bat', '32');
 DeleteFile('C:\Program Files\Microsoft Data\install_addons.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFileMask('c:\program files\oursoft', '*', true);
 DeleteFileMask('C:\Users\User\AppData\Local\SystemDir', '*', true);
 DeleteDirectory('c:\program files\oursoft');
 DeleteDirectory('C:\Users\User\AppData\Local\SystemDir');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon','command');
 DeleteService('HHandler Service');
 DeleteService('vigyvibu');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:
Windows Batch file
1 2 3
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщению ЗАПРЕЩЕНО!!!

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Windows Batch file

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.mystartsearch.com/?type=hp&ts=1435094041&z=9490ad23279365afd363515g6z0c3w9e0t1zae1c8q&from=cmi&uid=SAMSUNGXHM321HI_S2HZJ9CB501653[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://www.mystartsearch.com/?type=hp&ts=1435094041&z=9490ad23279365afd363515g6z0c3w9e0t1zae1c8q&from=cmi&uid=SAMSUNGXHM321HI_S2HZJ9CB501653[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://www.mystartsearch.com/?type=hp&ts=1435094041&z=9490ad23279365afd363515g6z0c3w9e0t1zae1c8q&from=cmi&uid=SAMSUNGXHM321HI_S2HZJ9CB501653[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1435178260&z=de58fb36b2c9e5f0333404cg4z2c1w3g3mcb6o4wam&from=cmi&uid=SAMSUNGXHM321HI_S2HZJ9CB501653&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1435178260&z=de58fb36b2c9e5f0333404cg4z2c1w3g3mcb6o4wam&from=cmi&uid=SAMSUNGXHM321HI_S2HZJ9CB501653&q={searchTerms}

Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

@desation · 26.12.2015, 09:22 **[ТС]**

adw

@shestale · 26.12.2015, 10:22

Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте логи Farbar Recovery Scan Tool

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	26.12.2015, 10:22	4
	Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Подготовьте логи Farbar Recovery Scan Tool 0