Ярлыки браузеров ведут на bat-файлы - Лечение компьютерных вирусов

@nikita89 · Регистрация: 27.03.2016

Студворк — интернет-сервис помощи студентам

Ярлыки браузеров начали ссылаться на файлы с расширением .bat(C:\ProgramData\****\****.bat), при этом после удаления папки с этими файлами, и изменения ярлыков(вручную) после следующего запуска браузеров создается папка с другим названием, и ярлыки браузеров ссылаются на файлы размещенные в ней. При запуске браузера запускаются сайты рекламного характера. Помогите, пожалуста вылечить эту заразу.
Файл с логами приложил.

@Sandor · 28.03.2016, 09:18

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя nikita89. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Calculator
HDefsoft
VK OK AdBlock

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\vk ok adblock', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\oVBHspU.exe', '');
 QuarantineFile('C:\Users\Nikita\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Nikita\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Nikita\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk', '');
 QuarantineFile('C:\Users\Nikita\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Nikita\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Nikita\Desktop\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\XnwkddOWq\kVyxZe0.bat', '');
 QuarantineFile('C:\ProgramData\YhGzJuspp\omWcqaY5.bat', '');
 QuarantineFile('C:\ProgramData\mESdyPJlK\KqQbcjql5.bat', '');
 QuarantineFile('C:\ProgramData\cZpFlGQhU\zAywxyOVQX3.bat', '');
 QuarantineFile('C:\ProgramData\LKOqtpXbUb\nHoOEbWV3.bat', '');
 QuarantineFileF('C:\ProgramData\XnwkddOWq', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\YhGzJuspp', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\mESdyPJlK', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\cZpFlGQhU', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\LKOqtpXbUb', '*', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\Tasks\Update Service for VK OK AdBlock.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\Update Service for VK OK AdBlock2.job', '64');
 DeleteFile('C:\ProgramData\XnwkddOWq\kVyxZe0.bat', '32');
 DeleteFile('C:\ProgramData\YhGzJuspp\omWcqaY5.bat', '32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\oVBHspU.exe', '32');
 DeleteFile('C:\ProgramData\XnwkddOWq\kVyxZe0.bat', '');
 DeleteFile('C:\ProgramData\YhGzJuspp\omWcqaY5.bat', '');
 DeleteFile('C:\ProgramData\mESdyPJlK\KqQbcjql5.bat', '');
 DeleteFile('C:\ProgramData\cZpFlGQhU\zAywxyOVQX3.bat', '');
 DeleteFile('C:\ProgramData\LKOqtpXbUb\nHoOEbWV3.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for VK OK AdBlock2" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\vk ok adblock', '*', true);
 DeleteFileMask('C:\ProgramData\XnwkddOWq', '*', true);
 DeleteFileMask('C:\ProgramData\YhGzJuspp', '*', true);
 DeleteFileMask('C:\ProgramData\mESdyPJlK', '*', true);
 DeleteFileMask('C:\ProgramData\cZpFlGQhU', '*', true);
 DeleteFileMask('C:\ProgramData\LKOqtpXbUb', '*', true);
 DeleteDirectory('c:\program files (x86)\vk ok adblock');
 DeleteDirectory('C:\ProgramData\XnwkddOWq');
 DeleteDirectory('C:\ProgramData\YhGzJuspp');
 DeleteDirectory('C:\ProgramData\mESdyPJlK');
 DeleteDirectory('C:\ProgramData\cZpFlGQhU');
 DeleteDirectory('C:\ProgramData\LKOqtpXbUb');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@nikita89 · 28.03.2016, 09:54 **[ТС]**

Отчёт о работе

@Sandor · 28.03.2016, 10:09

Жду еще п.4

@nikita89 · 28.03.2016, 10:25 **[ТС]**

извините, думал просто подготовить его, вот держите

@Sandor · 28.03.2016, 10:26

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс настроек Proxy
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@nikita89 · 28.03.2016, 14:04 **[ТС]**

извините за задержку

@Sandor · 28.03.2016, 14:15

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
2016-03-28 11:13 - 2016-03-28 11:13 - 00000000 ____D C:\Users\Все пользователи\ujGwQT
2016-03-28 11:13 - 2016-03-28 11:13 - 00000000 ____D C:\ProgramData\ujGwQT
C:\Users\Nikita\Desktop\chrome — ярлык.lnk
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Файл

C:\Users\Nikita\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦

удалите вручную.

Сообщите что с проблемой.

@nikita89 · 28.03.2016, 15:53 **[ТС]**

файл Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 удалил
файл Fixlog.txt приложил

@Sandor · 28.03.2016, 15:55

Сообщение от Sandor

что с проблемой

???

@nikita89 · 28.03.2016, 16:02 **[ТС]**

???

вроде исчезла, нету рекламы и этих файлов

@Sandor · 28.03.2016, 16:05

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

2.

Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@nikita89 · 28.03.2016, 16:12 **[ТС]**

adw удалил

@nikita89 · 28.03.2016, 16:13 **[ТС]**

спасибо большое за помощь!

@Sandor · 28.03.2016, 16:22

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.3 v.7.3.101 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41712 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 73 v.8.0.730.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u77-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.1.2.27 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 9 - Russian v.9.0.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex v.15.12.1.6758 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.49.0.2623.87 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Free VPN version 3.2 v.3.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@nikita89 · 28.03.2016, 18:29 **[ТС]**

Спасибо за все, прошел по ссылкам и выполнил как там указано

@Sandor · 29.03.2016, 08:14

Удачи!

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,749
	28.03.2016, 10:09
	Жду еще п.4 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,749
	28.03.2016, 10:26
	1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс настроек Proxy Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,749
	28.03.2016, 16:05
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. 2. Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@nikita89 0 / 0 / 0 Регистрация: 27.03.2016 Сообщений: 9
	28.03.2016, 16:13 [ТС]
	спасибо большое за помощь! 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,749
	28.03.2016, 16:22
	------------------------------- [ Windows ] ------------------------------- Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.3 v.7.3.101 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41712 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 73 v.8.0.730.2 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u77-windows-i586.exe)^ --------------------------- [ AppleProduction ] --------------------------- iTunes v.12.1.2.27 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader 9 - Russian v.9.0.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Yandex v.15.12.1.6758 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Google Chrome v.49.0.2623.87 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Free VPN version 3.2 v.3.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@nikita89 0 / 0 / 0 Регистрация: 27.03.2016 Сообщений: 9
	28.03.2016, 18:29 [ТС]
	Спасибо за все, прошел по ссылкам и выполнил как там указано 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,749
	29.03.2016, 08:14
	Удачи! 0