Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.83/6: Рейтинг темы: голосов - 6, средняя оценка - 4.83
0 / 0 / 0
Регистрация: 05.03.2016
Сообщений: 8
1

Bat-файлы вместо браузеров

05.03.2016, 22:32. Просмотров 1071. Ответов 13
Метки нет (Все метки)


Вирус подменяет ярлыки браузеров, со ссылкой на левые bat-файлы. Первой страницей открывается реклама казино Вулкан. Пытался чистить с помощью uvs, cureit, KAV. После перезагрузки ярлыки снова заменяются.
0
Вложения
Тип файла: zip CollectionLog-2016.03.06-01.14.zip (38.5 Кб, 2 просмотров)
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
05.03.2016, 22:32
Ответы с готовыми решениями:

Bat файлы в ярлыках браузеров
Здравствуйте! Недавно сказал файл и впервые не заметил галочки нашего "любимого" mail.ru....

Bat файлы в ярлыках браузеров
В свойствах прописываются бат файлы. Удаление папок не помогает, создаются новые с другими...

BAT файлы в ярлыках браузеров
Реклама лезет со всех браузеров. Проверил ярлыки,все ярлыки запускаю батники. Почистил руками....

Ярлыки браузеров ведут на bat-файлы
Здравствуйте. Жена при скачивании книг что-то не то нажала и все браузеры (у меня их 3: Мозилла,...

13
0 / 0 / 0
Регистрация: 05.03.2016
Сообщений: 8
05.03.2016, 22:56  [ТС] 2
Автологгер выдал ошибку, что AVZ не был запущен. По рекомендации для jay88 в теме ниже, сменил дату на 20 марта и перезапустил автологгер. Новые логи во вложении к данному сообщению.
0
Вложения
Тип файла: zip CollectionLog-2016.03.20-01.50.zip (96.0 Кб, 6 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
06.03.2016, 06:49 3
Лучший ответ Сообщение было отмечено Skripa444 как решение

Решение

Внимание! Рекомендации написаны специально для Skripa444. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Windows Batch file
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    
    begin
    ExecuteAVUpdate;
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('C:\Program Files\ContentProtector', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
     QuarantineFileF('c:\program files (x86)\hpdef', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
     QuarantineFileF('C:\Program Files (x86)\Kinoroom Browser', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
     QuarantineFileF('C:\ProgramData\TimeTasks', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
     QuarantineFile('C:\Users\Ярослава\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
     QuarantineFile('C:\Users\Ярослава\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
     QuarantineFile('C:\Users\Ярослава\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk', '');
     QuarantineFile('C:\Users\Ярослава\Desktop\Google Chrome.lnk', '');
     QuarantineFile('C:\Users\Ярослава\Desktop\Internet Explorer.lnk', '');
     QuarantineFile('C:\Users\Ярослава\Desktop\Opera.lnk', '');
     QuarantineFile('C:\Program Files\ContentProtector\ContentProtector.exe', '');
     QuarantineFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', '');
     QuarantineFile('C:\Windows\Temp\9FE12F78-7C4A-466E-B40E-DAAB8E317918\DismHost.exe', '');
     QuarantineFile('c:\program files (x86)\hpdef\mdzklc.exe', '');
     QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
     QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe', '');
     QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe', '');
     QuarantineFile('C:\Program Files (x86)\Common Files\C62456B8-1F38-4158-842A-400BB3C1C906\49E757D7-81B9-41BD-9A1B-97DE522F423C.exe','');
     DeleteFile('C:\Program Files (x86)\Common Files\C62456B8-1F38-4158-842A-400BB3C1C906\49E757D7-81B9-41BD-9A1B-97DE522F423C.exe','32');
     ExecuteFile('schtasks.exe', '/delete /TN "KRBLNKRUN" /F', 0, 15000, true);
     DeleteFile('C:\Program Files\ContentProtector\ContentProtector.exe', '32');
     DeleteFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe', '32');
     DeleteFile('C:\Windows\Temp\9FE12F78-7C4A-466E-B40E-DAAB8E317918\DismHost.exe', '32');
     DeleteFile('c:\program files (x86)\hpdef\mdzklc.exe', '32');
     DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
     DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe', '32');
     DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
     DeleteFileMask('C:\Program Files\ContentProtector', '*', true);
     DeleteFileMask('c:\program files (x86)\hpdef', '*', true);
     DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true);
     DeleteFileMask('C:\ProgramData\TimeTasks', '*', true);
     DeleteDirectory('C:\Program Files\ContentProtector');
     DeleteDirectory('c:\program files (x86)\hpdef');
     DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser');
     DeleteDirectory('C:\ProgramData\TimeTasks');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
     DeleteService('ContentProtector');
     DeleteService('ContentProtectorUpdate');
     DeleteService('HSystem');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
  2. После перезагрузки, выполните такой скрипт:

    Windows Batch file
    1
    2
    3
    
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
  3. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


  4. Удалите параметры запуска ярлыков.

  5. Подготовьте лог AdwCleaner.
1
0 / 0 / 0
Регистрация: 05.03.2016
Сообщений: 8
06.03.2016, 08:05  [ТС] 4
Вроде решено, посмотрю еще после перезагрузки. Прикладываю файлы отчетов Clearlnk и adwcleaner.
0
Вложения
Тип файла: txt AdwCleaner[S1].txt (9.0 Кб, 1 просмотров)
Тип файла: log ClearLNK-06.03.2016_10-54.log (4.6 Кб, 2 просмотров)
0 / 0 / 0
Регистрация: 05.03.2016
Сообщений: 8
06.03.2016, 08:28  [ТС] 5
Решено, спасибо!!! Где тут плюсики ставить, или пометки "спасибо"? ))))
Нашел и поставил.
0
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
06.03.2016, 09:16 6
Не торопитесь, лечение еще не закончено.
Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте логи Farbar Recovery Scan Tool
0
0 / 0 / 0
Регистрация: 05.03.2016
Сообщений: 8
06.03.2016, 09:51  [ТС] 7
готово
0
Вложения
Тип файла: txt AdwCleaner[C1].txt (9.5 Кб, 1 просмотров)
Тип файла: txt AdwCleaner[S1].txt (9.0 Кб, 1 просмотров)
Тип файла: zip FRST.zip (25.5 Кб, 1 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
06.03.2016, 13:27 8
Выполните скрипт в Farbar Recovery Scan Tool
fixlist.zip
+
Почистите кэш и куки в браузерах.
0
0 / 0 / 0
Регистрация: 05.03.2016
Сообщений: 8
06.03.2016, 13:50  [ТС] 9
сделано
0
Вложения
Тип файла: zip Fixlog.zip (4.3 Кб, 1 просмотров)
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
06.03.2016, 13:52 10
Если проблем больше нет, тогда для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
0
0 / 0 / 0
Регистрация: 05.03.2016
Сообщений: 8
06.03.2016, 13:59  [ТС] 11
SecurityCheck by glax24 & Severnyj v.1.4.0.37 [05.03.16]
WebSite: www.safezone.cc
DateLog: 06.03.2016 16:54:11
Path starting: C:\Users\Ярослава\AppData\Local\Temp\SecurityCheck\SecurityC heck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Ярослава
VersionXML: 2.58is-05.03.2016
____________________________________________________________ _______________

Windows 8.1(6.3.9600) (x64) Enterprise Lang: Russian(0419)
Дата установки ОС: 26.12.2013 13:32:16
Статус лицензии: Windows(R), Professional edition Не имеет лицензии
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [465.8 Гб] Занято: [101.1 Гб] Свободно: [364.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18205
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2016-03-05 07:13:59
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Anti-Virus (выключен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Anti-Virus (выключен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Anti-Virus v.15.0.2.396
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 9.20
TeamViewer 9 v.9.0.41110 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.3.40760 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 51 v.7.0.510 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 20 NPAPI v.20.0.0.306
Adobe Flash Player 20 PPAPI v.20.0.0.306
------------------------------- [ Browser ] -------------------------------
Google Chrome v.47.0.2526.111 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 35.0.2066.92 v.35.0.2066.92
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.47.0.2526.111
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 15.0.2\avp.exe v.15.0.2.448
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 15.0.2\avpui.exe v.15.0.2.448
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.8.0.0.9103 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
----------------------------- [ End of Log ] ------------------------------
0
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
06.03.2016, 14:00 12
Обновляйтесь
+
Выполните рекомендации после удаления вредоносного ПО
1
0 / 0 / 0
Регистрация: 05.03.2016
Сообщений: 8
06.03.2016, 14:21  [ТС] 13
Выполнено. Спасибо огромное за помощь!)
0
Вирусоборец
8608 / 4178 / 332
Регистрация: 22.02.2011
Сообщений: 13,730
06.03.2016, 14:22 14
Удачи!
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
06.03.2016, 14:22

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

Ярлыки браузеров ссылаются на файлы .bat
Ярлыки браузеров начали ссылаться на файлы с расширением .bat(C:\ProgramData\gFaveww\CxuGVg0.bat),...

Ярлыки браузеров ведут на .bat файлы
Здравствуйте. Ярлыки всех браузеров начали ссылаться на фалы .bat. При открытии браузера вылазит...

Ярлыки браузеров указывают на .bat файлы
Здравствуйте. Подхватил вчера такую штуку. Ярлыки всех браузеров ссылались на bat файлы и в папке...

Ярлыки браузеров подменяются на bat файлы
Просьба помочь.


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
14
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.