Закрыто exe.rehcnual.bat - как избавиться от него?

Тема в разделе "Лечение компьютерных вирусов", создана пользователем XarekPro, 12 май 2015.

Статус темы:
Закрыта.
  1. XarekPro
    Оффлайн

    XarekPro Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    Бороздя просторы интернета поймал эту штуку. Не дает открыть оперу, а при открытии хрома просто чёрный экран. Просит найти этот файл, которого, как я понял, толком и не найдешь.
    Что делать?
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    TerminateProcessByName('c:\users\user\appdata\local\26bd8080-1431385673-11d9-9e1d-5404a6a1d22c\snsc7b4a.tmp');
    TerminateProcessByName('c:\users\user\appdata\roaming\26bd8080-1431371078-11d9-9e1d-5404a6a1d22c\nszd5b2.tmp');
    TerminateProcessByName('c:\users\user\appdata\roaming\26bd8080-1431371078-11d9-9e1d-5404a6a1d22c\jnsvb8f2.tmp');
    SetServiceStart('visubyzy', 4);
    SetServiceStart('xukemehy', 4);
    SetServiceStart('nugilevu', 4);
    SetServiceStart('feditemy', 4);
    StopService('visubyzy');
    StopService('xukemehy');
    StopService('nugilevu');
    StopService('feditemy');
    QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{193EA8BA-8AA4-4632-BCB8-FC6FC027CD23}.exe', '');
    QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{6D99E1FE-87F3-4DEC-9511-D9FD13A23D0A}.exe', '');
    QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{7F700D48-8247-456E-9B4B-E98644F07AA9}.exe', '');
    QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{BB649A9E-CF49-4FEC-8971-F930E9B0FAB0}.exe', '');
    QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{C0995004-D5BF-4710-8500-D4AFC8C64328}.exe', '');
    QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{C0A96A64-4CDA-4834-B0A4-69EB2721718F}.exe', '');
    QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\{EB75EDBE-4EF0-4AE0-A471-5076E0774476}.exe', '');
    QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
    QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
    QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '');
    QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Windows\toolbar.exe', '');
    QuarantineFile('C:\Users\User\AppData\Local\26BD8080-1431385658-11D9-9E1D-5404A6A1D22C\cnsm41F4.tmp', '');
    QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
    QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.resworb.bat', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.resworbrk.bat', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
    QuarantineFile('c:\users\user\appdata\local\26bd8080-1431385673-11d9-9e1d-5404a6a1d22c\snsc7b4a.tmp', '');
    QuarantineFile('c:\users\user\appdata\roaming\26bd8080-1431371078-11d9-9e1d-5404a6a1d22c\nszd5b2.tmp', '');
    QuarantineFile('c:\users\user\appdata\roaming\26bd8080-1431371078-11d9-9e1d-5404a6a1d22c\jnsvb8f2.tmp', '');
    QuarantineFileF('C:\ProgramData\KRB Updater Utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
    QuarantineFileF('C:\Users\User\AppData\Roaming\26BD8080-1431371078-11D9-9E1D-5404A6A1D22C', '*', true, '', 0 , 0);
    DeleteFile('c:\users\user\appdata\roaming\26bd8080-1431371078-11d9-9e1d-5404a6a1d22c\jnsvb8f2.tmp');
    DeleteFile('c:\users\user\appdata\roaming\26bd8080-1431371078-11d9-9e1d-5404a6a1d22c\nszd5b2.tmp');
    DeleteFile('c:\users\user\appdata\local\26bd8080-1431385673-11d9-9e1d-5404a6a1d22c\snsc7b4a.tmp');
    DeleteFile('c:\users\user\appdata\local\26bd8080-1431385658-11d9-9e1d-5404a6a1d22c\cnsm41f4.tmp');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat');
    DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico');
    DeleteFile('C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.resworb.bat', '');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat', '');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.resworbrk.bat', '');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
    DeleteFile('C:\Users\User\AppData\Local\26BD8080-1431385673-11D9-9E1D-5404A6A1D22C\snsc7B4A.tmp', '32');
    DeleteFile('C:\Users\User\AppData\Roaming\26BD8080-1431371078-11D9-9E1D-5404A6A1D22C\nszD5B2.tmp', '32');
    DeleteFile('C:\Users\User\AppData\Roaming\26BD8080-1431371078-11D9-9E1D-5404A6A1D22C\jnsvB8F2.tmp', '32');
    DeleteFile('C:\Users\User\AppData\Local\26BD8080-1431385658-11D9-9E1D-5404A6A1D22C\cnsm41F4.tmp', '32');
    DeleteFile('C:\Users\User\AppData\Local\Microsoft\Windows\toolbar.exe', '32');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
    DeleteFile('C:\Windows\system32\Tasks\extsetup', '64');
    DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup', '64');
    DeleteFile('C:\Windows\system32\Tasks\Safebrowser', '64');
    DeleteFile('C:\Windows\system32\Tasks\SystemScript', '64');
    DeleteFile('C:\Windows\system32\Tasks\{193EA8BA-8AA4-4632-BCB8-FC6FC027CD23}', '64');
    DeleteFile('C:\Users\User\appdata\local\microsoft\extensions\extsetup.exe', '32');
    DeleteFile('C:\Users\User\appdata\local\microsoft\extensions\safebrowser.exe', '32');
    DeleteService('visubyzy');
    DeleteService('xukemehy');
    DeleteService('nugilevu');
    DeleteService('feditemy');
    DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
    DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SystemScript');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.


    Подробнее читайте в этом руководстве.
     
  3. XarekPro
    Оффлайн

    XarekPro Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    вот лог
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве.

    Код (Text):

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Версия базы данных:  v2015.05.13.05

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 8.0.7601.17514
    User :: USER-PC [администратор]

    13.05.2015 22:19:38
    MBAM-log-2015-05-13 (23-42-18).txt

    Тип сканирования:  Полное сканирование  (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
    Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
    Опции сканирования отключены: P2P
    Просканированные объекты:  642303
    Времени прошло:  1 часов , 9 минут , 19 секунд

    Обнаруженные процессы в памяти:  0
    (Вредоносных программ не обнаружено)

    Обнаруженные модули в памяти:  0
    (Вредоносных программ не обнаружено)

    Обнаруженные ключи в реестре:  8
    HKCU\Software\systweak\ssd (PUP.Optional.SystemSpeedup) -> Действие не было предпринято.
    HKLM\SOFTWARE\Speedchecker Limited (PUP.Optional.SpeedChecker.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\V-bates (PUP.Optional.VbatesHelper.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage (PUP.Optional.VoPackage.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\systweak\ssd (PUP.Optional.SystemSpeedup) -> Действие не было предпринято.
    HKLM\Software\AppSuper (PUP.Optional.AppSuper.A) -> Действие не было предпринято.
    HKLM\Software\iWebar (PUP.Optional.iWebar.A) -> Действие не было предпринято.
    HKLM\Software\webssearchesSoftware (PUP.Optional.WebsSearches.A) -> Действие не было предпринято.

    Обнаруженные параметры в реестре:  1
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce|Update (PUP.Optional.Package.A) -> Параметры: C:\Users\User\AppData\Roaming\VOPackage\VOPackage.exe /runonce -> Действие не было предпринято.

    Объекты реестра обнаружены:  0
    (Вредоносных программ не обнаружено)

    Обнаруженные папки:  0
    (Вредоносных программ не обнаружено)


    (конец)


     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
    --- Объединённое сообщение, 14 май 2015 ---
    + пишем какие проблемы остаются.
     
  5. XarekPro
    Оффлайн

    XarekPro Новый пользователь

    Сообщения:
    3
    Симпатии:
    0
    уже 61 час идет сканирование...
     
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    если до сих пор идет,то остановите.

    удалим по другому:
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     RegKeyParamDel('HKLM', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Update');
     RegKeyDel('HKCU', 'Software\systweak\ssd');
     RegKeyDel('HKLM', 'SOFTWARE\Speedchecker Limited');
     RegKeyDel('HKLM', 'SOFTWARE\V-bates ');
     RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage ');
     RegKeyDel('HKLM', 'SOFTWARE\systweak\ssd');
     RegKeyDel('HKLM', 'Software\AppSuper ');
     RegKeyDel('HKLM', 'Software\iWebar');
     RegKeyDel('HKLM', 'Software\webssearchesSoftware');
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(false);
    end.

     
    Компьютер перезагрузится.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
Статус темы:
Закрыта.

Поделиться этой страницей