Браузеры при перезагрузке появляются в других папках, не .exe, а .bat

@EKonomika · Регистрация: 01.12.2014

Author24 — интернет-сервис помощи студентам

Добрый день. Я в компьютерах слабоват, прошу вашей помощи. У меня стоит KIS последней версии, скачал недавно програмку, он не ругался. после перезагрузки компьютера он начал ругаться, на значке горит желтый восклицательный знак, но зайдя в KIS там пишет что все нормально. Зайдя в нормальный браузер который установлен по умолчанию, все нормально. Делаю релог компьютера, браузер(google chrome) появляется в папке ProgramData под рандомным названием с расширением .bat, и открыв этот файл открывается браузер со всеми предыдущими вкладками, и открывается сайт searichsli-clip, и сразу идет переадресация на сайты типа Вулкан-онлайн казино, и прочее. Перевожу файл .bat в .txt, а там куча разных знаков(%, цифры, буквы разного регистра, и тд). Подскажите пожалуйста, что мне делать?
Буду признателен если кто-то разбирающийся в этом напишет мне или позвонит. Мои данные ниже. Огромное спасибо.
Почта-Ekonomika125@yandex.ru
скайп-dremsl
телефон-89151072107

@thyrex · 03.03.2016, 20:25

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@EKonomika · 03.03.2016, 22:21 **[ТС]**

Сделал как написано в инструкции. Надеюсь правильно

@EKonomika · 04.03.2016, 21:01 **[ТС]**

Мне кто-нибудь поможет?

@thyrex · 05.03.2016, 18:27

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\hpdef\1so58l.exe');
 SetServiceStart('HSystem', 4);
 QuarantineFile('c:\program files (x86)\hpdef\1so58l.exe','');
 QuarantineFile('C:\ProgramData\FgUXwjvpV\lJnXWQ5.bat','');
 QuarantineFile('C:\ProgramData\IVXfqZ\SIPByf0.bat','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\sweet-page\UninstallManager.exe','');
 QuarantineFile('C:\Users\Илья\appdata\roaming\freevpn\freevpn.exe','');
 DeleteFile('C:\Users\Илья\appdata\roaming\freevpn\freevpn.exe','32');
 DeleteFile('C:\Users\Илья\AppData\Roaming\sweet-page\UninstallManager.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{76FFD35B-C3E8-4E84-88F4-FB60577C58F2}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64');
 DeleteFile('C:\ProgramData\IVXfqZ\SIPByf0.bat','32');
 DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini','32');
 DeleteFile('C:\ProgramData\FgUXwjvpV\lJnXWQ5.bat','32');
 DeleteFile('c:\program files (x86)\hpdef\1so58l.exe','32');
 DeleteService('HSystem');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
http://dragokas.com/tools/move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@EKonomika · 05.03.2016, 18:53 **[ТС]**

Сделал

@EKonomika · 05.03.2016, 19:06 **[ТС]**

и еще раз логи

@thyrex · 05.03.2016, 23:10

Сделайте лог МВАМ

@EKonomika · 06.03.2016, 11:24 **[ТС]**

сделал

@thyrex · 06.03.2016, 12:01

Удалите в МВАМ только

Код

PUP.Optional.MySites123.ShrtCln, HKLM\SOFTWARE\WOW6432NODE\mysites123Software, , [ec3d8ef6cdcc82b438cc3fd2649f9070], 

PUP.Optional.Qone8, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES|DefaultScope, {33BB0A4E-99AF-4226-BDF6-49120163DE86}, Хорошо: ({0633EE93-D776-472f-A0FF-E1416B8B2E3A}), Плохо: ({33BB0A4E-99AF-4226-BDF6-49120163DE86}),,[ec3d077d9603a393f4ff897b54b1b64a]

PUP.Optional.AdvancedSystemProtector, C:\AdwCleaner\Quarantine\C\WINDOWS\System32\sasnative64.exe.vir, , [39f03c48f7a256e0fb6226ac956b50b0],

@EKonomika · 06.03.2016, 12:05 **[ТС]**

Это все?
если да, то почему на касперском горит желтый восклицательный знак, хотя когда открываешь его, пишет что все хорошо?

@EKonomika · 06.03.2016, 12:16 **[ТС]**

на 1 скрине показано что вылазит каждый раз когда компьютер загрузился, а на втором это когда нажимаю "Подробнее"
что делать, понять не могу

@thyrex · 06.03.2016, 16:32

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

@EKonomika · 06.03.2016, 17:14 **[ТС]**

Сделал

@thyrex · 07.03.2016, 11:47

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
ShellExecuteHooks:  - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} -  No File [ ]
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} =>  No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} =>  No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} =>  No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} =>  No File
ShellIconOverlayIdentifiers: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} =>  No File
BHO: No Name -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> No File
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
FF Extension: No Name -  C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\url_advisor@kaspersky.com [not found]
FF Extension: No Name -  C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\virtual_keyboard@kaspersky.com [not found]
FF Extension: No Name -  C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\content_blocker@kaspersky.com [not found]
FF Extension: No Name -  C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\anti_banner@kaspersky.com [not found]
FF Extension: No Name -  C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\FFExt\online_banking@kaspersky.com [not found]
FF Extension: No Name -  C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\puw8jqyh.default\extensions\iobitascsurfingprotection@iobit.com [not found]
FF Extension: No Name -  C:\Program Files (x86)\IObit Apps Toolbar\FF [not found]
FF Extension: No Name -  C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\puw8jqyh.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: Advanced SystemCare Surfing Protection - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\puw8jqyh.default\Extensions\iobitascsurfingprotection@iobit.com [2014-12-16] [not signed]
CHR Extension: (Tampermonkey) - C:\Users\Илья\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2015-12-16]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKU\S-1-5-21-3960690821-1367102088-3072549876-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
Task: {11D77B5B-264B-4640-938A-C247B6AA6DDB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {37D911E4-4D87-4C85-8634-20D622160351} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {42728F2B-2914-4742-A243-BAC65BFB45E8} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {43E98E1A-FCCB-4F6E-B57A-D8C04A7CC7B9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {51F7967B-4A92-47F7-B6A2-334B9C260445} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {6CE545A9-111D-4113-948E-4E4604A1C06E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {87D702C6-154B-459F-B5C7-A03F1AB074AB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {9FA2E17F-F144-424D-B3EC-410B3C2453B2} - \{76FFD35B-C3E8-4E84-88F4-FB60577C58F2} -> No File <==== ATTENTION
Task: {A84DE8DD-7CE1-4142-825B-FB887EA8E2EA} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION
Task: {E043D4FB-CC29-4D01-9901-220F3626EECA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {E49FF6D7-5A68-450C-B11A-0E8D9663AFCD} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {E825D934-9282-4DE9-B24E-51924DEBC621} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {FCCA30EE-D40B-4223-8D51-5134DDE5D6EE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

@EKonomika · 07.03.2016, 14:53 **[ТС]**

сделал

@thyrex · 07.03.2016, 15:16

Что с проблемой?

@EKonomika · 07.03.2016, 15:18 **[ТС]**

все еще горит желтый восклицательный знак на антивирусе. короче ничего еще не поменялось

@thyrex · 07.03.2016, 15:37

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку компьютера и сообщите результат

@EKonomika · 07.03.2016, 16:11 **[ТС]**

Отчет очистил, а полную проверку у меня сделать не получится, так как всегда, в любой программе(будь то др.веб куреит, утилиты касперского, сам КИС, и прочее) проверка до конца не доходит. останавливается всегда рандомно на каком то месте(бывает после проверки 7к файлов, бывает после 196к, по разному). После очистки отчета значок остался

Браузеры при перезагрузке появляются в других папках, не .exe, а .bat

Решение

Решение

Решение

@EKonomika 0 / 0 / 0 Регистрация: 01.12.2014 Сообщений: 18
		1
	Браузеры при перезагрузке появляются в других папках, не .exe, а .bat 03.03.2016, 18:04. Показов 1123. Ответов 27 Метки нет (Все метки) Добрый день. Я в компьютерах слабоват, прошу вашей помощи. У меня стоит KIS последней версии, скачал недавно програмку, он не ругался. после перезагрузки компьютера он начал ругаться, на значке горит желтый восклицательный знак, но зайдя в KIS там пишет что все нормально. Зайдя в нормальный браузер который установлен по умолчанию, все нормально. Делаю релог компьютера, браузер(google chrome) появляется в папке ProgramData под рандомным названием с расширением .bat, и открыв этот файл открывается браузер со всеми предыдущими вкладками, и открывается сайт searichsli-clip, и сразу идет переадресация на сайты типа Вулкан-онлайн казино, и прочее. Перевожу файл .bat в .txt, а там куча разных знаков(%, цифры, буквы разного регистра, и тд). Подскажите пожалуйста, что мне делать? Буду признателен если кто-то разбирающийся в этом напишет мне или позвонит. Мои данные ниже. Огромное спасибо. Почта-Ekonomika125@yandex.ru скайп-dremsl телефон-89151072107 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	03.03.2016, 20:25	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@EKonomika 0 / 0 / 0 Регистрация: 01.12.2014 Сообщений: 18
	04.03.2016, 21:01 [ТС]	4
	Мне кто-нибудь поможет? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	05.03.2016, 23:10	8
	Сообщение было отмечено EKonomika как решение Решение Сделайте лог МВАМ 1

@EKonomika 0 / 0 / 0 Регистрация: 01.12.2014 Сообщений: 18
	06.03.2016, 12:05 [ТС]	11
	Это все? если да, то почему на касперском горит желтый восклицательный знак, хотя когда открываешь его, пишет что все хорошо? 0

@EKonomika 0 / 0 / 0 Регистрация: 01.12.2014 Сообщений: 18
	06.03.2016, 12:16 [ТС]	12
	на 1 скрине показано что вылазит каждый раз когда компьютер загрузился, а на втором это когда нажимаю "Подробнее" что делать, понять не могу Миниатюры 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	06.03.2016, 16:32	13
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	07.03.2016, 15:16	17
	Что с проблемой? 0

@EKonomika 0 / 0 / 0 Регистрация: 01.12.2014 Сообщений: 18
	07.03.2016, 15:18 [ТС]	18
	все еще горит желтый восклицательный знак на антивирусе. короче ничего еще не поменялось 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	07.03.2016, 15:37	19
	Очистите отчеты антивируса с найденными угрозами, выполните полную проверку компьютера и сообщите результат 0

@EKonomika 0 / 0 / 0 Регистрация: 01.12.2014 Сообщений: 18
	07.03.2016, 16:11 [ТС]	20
	Отчет очистил, а полную проверку у меня сделать не получится, так как всегда, в любой программе(будь то др.веб куреит, утилиты касперского, сам КИС, и прочее) проверка до конца не доходит. останавливается всегда рандомно на каком то месте(бывает после проверки 7к файлов, бывает после 196к, по разному). После очистки отчета значок остался 0