Решена exe.rehcnual.bat - kak уничтожить?

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Michalina Raubich, 17 фев 2015.

Статус темы:
Закрыта.
  1. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    Набрался мой компьютер блох. Переадресовывает браузер на страницу со всякой чушью. Я стерла Оперу и Хром, но остался хвост от Оперы - иконка на рабочем столе, неработающая, при проверке на вирусы Касперский ничего не находит, но выдал адрес - C:/Users/User/AppData/Roaming/Browsers/exe.rehcnual.bat. Гугл сказал, то это вирус. Поиска файла exe.rehcnual.bat ничего не дает, файл не находится.
    Я скачала AdwCleaner, он собрал всю дичь в карантин, но exe.rehcnual.bat не тронул.

    Что делать?
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    Выполнитескриптв AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
    TerminateProcessByName('c:\users\user\appdata\roaming\00c6e1d0-1424166679-e311-9a88-fe2638f7c4f1\josrv.exe');
    TerminateProcessByName('c:\users\user\appdata\roaming\00c6e1d0-1424166679-e311-9a88-fe2638f7c4f1\nsu6dab.tmp');
    QuarantineFile('c:\users\user\appdata\roaming\00c6e1d0-1424166679-e311-9a88-fe2638f7c4f1\nsu6dab.tmp','');
    QuarantineFile('c:\users\user\appdata\roaming\00c6e1d0-1424166679-e311-9a88-fe2638f7c4f1\josrv.exe','');
    DeleteFile('c:\users\user\appdata\roaming\00c6e1d0-1424166679-e311-9a88-fe2638f7c4f1\josrv.exe','32');
    DeleteFile('c:\users\user\appdata\roaming\00c6e1d0-1424166679-e311-9a88-fe2638f7c4f1\nsu6dab.tmp','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютерперезагрузится.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip при помощи этой формы

    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
      [​IMG]
    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.

    Сделайте новые логи
     
  3. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    Я зрабіла ўсё як мае быць. І што далей?
    --- Объединённое сообщение, 18 фев 2015, Дата первоначального сообщения: 18 фев 2015 ---
    Квлі ласка, новы лог
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Здравствуйте!

    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    QuarantineFile('C:\ProgramData\dceb1d9ad8d840839fafeaae9d35a545\dceb1d9ad8d840839fafeaae9d35a545.exe', '');
    QuarantineFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\R13B2~1.LNK', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\desktop (1).ini', '');
    QuarantineFile('C:\Users\Public\Desktop\R13B2~1.LNK', '');
    QuarantineFile('C:\Users\Public\Desktop\Ореrа.lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\GGLECH~1.LNK', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\LUNCHI~1.LNK', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\GOGLCH~1.LNK', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\INTRNT~1.LNK', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Еxрlorеr.lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\PRA(2)~1.LNK', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеra (2).lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\PRA~1.LNK', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеra.lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\INTRNT~1.LNK', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Еxрlorеr.lnk', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat', '');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat', '');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.


    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Dragokas нравится это.
  5. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    Вось вам, калі ласка, апошнія логі.
    --- Объединённое сообщение, 18 фев 2015, Дата первоначального сообщения: 18 фев 2015 ---
    Ой, только сейчас заметила, что пишу по-нашему, по-белорусски. Но вы все поняли?
    --- Объединённое сообщение, 18 фев 2015 ---
    Интернет Эксплорер по умолчанию загружает какой-то левый сайт. Где у него установки, чтобы сменить?
     

    Вложения:

  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    эти логи тоже прикрепите.

    +
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S3].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    Профиксите в HijackThis
    Код (Text):
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://2knl.org/?src=hp4&subid1=feb
    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    DeleteFile('C:\WINDOWS\system32\Tasks\WHSGSKO', '64');
    DeleteFile('C:\ProgramData\dceb1d9ad8d840839fafeaae9d35a545\dceb1d9ad8d840839fafeaae9d35a545.exe', '32');
    ExecuteSysClean;
    ExecuteRepair(3);
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
     
    Последнее редактирование: 18 фев 2015
  7. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    Я ХОТЕЛА сказать - настройки
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    да, а thyrex, так вообще из Белоруссии.
    по логу это видно, выполняйте рекомендации из предыдущего поста. Скрипт должен это исправить.
     
  9. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    У меня НЕТ такой строки!
    И как ее вставить, я не знаю...

    Есть R0 - R1-HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwink/?linkId=54896
     
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    пропустите этот пункт, выполняйте остальное.
     
  11. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    Как в ClearLNK.exe сменить кодировку? У меня вместо кириллицы - вопросительные знаки и кракозябры...
    --- Объединённое сообщение, 18 фев 2015 ---
    Дело в том, что у меня немецкая Виндоус.
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    не надо ничего менять!
    Просто перетащите лог Check_Browsers_LNK.log на утилиту (на файл ClearLNK.exe), а потом лог работы прикрепите.
     
  13. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    Лог работы - как сделать? Я уже совсем одурела...
    --- Объединённое сообщение, 18 фев 2015 ---
    Первое диалоговое окно - это какое?
     
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    у вас виндоус x64 так что можете просто Ок жать везде, то есть также как собирали первый раз (результат будет тот же).
    нет, после того как перетащите лог на утилиту, она сама сохранит лог своей работы.
     
  15. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    У меня не получился новый файл quarantine.zip, в папках только старые файлы с таким названием.
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    на этот раз он не нужен, делайте остальное.
     
  17. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    вот логи, целая куча
     

    Вложения:

  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    - выполните такой скрипт в AVZ
    Код (Text):

    begin
    ClearQuarantine;
    QuarantineFile('C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\R13B2~1.LNK','');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk','');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\GGLECH~1.LNK','');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk','');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\LUNCHI~1.LNK','');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk','');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\GOGLCH~1.LNK','');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk','');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\INTRNT~1.LNK','');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Еxрlorеr.lnk','');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\TaskBar\PRA~1.LNK','');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Оpеra.lnk','');
    QuarantineFile('C:\Users\User\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\INTRNT~1.LNK','');
    QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Еxрlorеr.lnk','');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual.bat','');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat','');
    QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat','');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.rehcnual.bat','');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat','');
    DeleteFile('C:\Users\User\AppData\Roaming\Browsers\exe.erolpxei.bat','');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
     
    Снова перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. В прошлый раз вы видно, что-то другое перетаскивали.

    Запустите утилиту \AutoLogger\CheckBrowsersLNK\Check Browsers LNK.exe и прикрепите её лог.
     
  19. Michalina Raubich
    Оффлайн

    Michalina Raubich Новый пользователь

    Сообщения:
    27
    Симпатии:
    2
    Проверила браузеры. Хром и Опера грузят нормально, а Эксплорер по-прежнему грузит какую-то хрень
    Код (Text):
    http://goinf.ru/
    . и ничто не помогает
    --- Объединённое сообщение, 18 фев 2015, Дата первоначального сообщения: 18 фев 2015 ---
    вот логи
    --- Объединённое сообщение, 18 фев 2015 ---
    выполнила скрипт - все то же самое. Не помогло.
     

    Вложения:

    Последнее редактирование модератором: 18 фев 2015
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    карантин присылайте либо через форму либо на почту
    к сообщению его прикреплять запрещено.
    --- Объединённое сообщение, 18 фев 2015 ---
    этого вы не сделали.
     
Статус темы:
Закрыта.

Поделиться этой страницей