Вирус типа exe.emorhc.bat

Toddo · 12.09.2015, 20:37

Поймал эту гадость с сайта indi-games, по-моему весь сайт левый
Лог в uVS
http://rghost.ru/7YB4D8MR5

Лог в MBAM
http://rghost.ru/86hm2Qq65

RP55.RP55 · 12.09.2015, 21:27

1) В Malwarebytes - всё найденное удалите - поместите на карантин.

2) Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код:

     

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.OMNIBOXES.COM/WEB/?TYPE=DS&TS=1438806728&Z=40ED35AF1DF96F2AAC38DC9G8Z1C7B1B9ECQ9M9CAG&FROM=TTI&UID=ST1000DM003-1CH162_Z1D8QQADXXXXZ1D8QQAD&Q={SEARCHTERMS}
delref HTTP://SCEARCHI-NAYTY.RU
delref HTTP://R.PROXYLOADS.RU/NC18
delref HTTP://R.PROXYLOADS.RU/NC21
delref %SystemDrive%\USERS\TODDO\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALWE.BAT
del %SystemDrive%\USERS\TODDO\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALWE.BAT

delref %SystemDrive%\USERS\TODDO\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\USERS\TODDO\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

delref %SystemDrive%\USERS\TODDO\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\USERS\TODDO\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

delref %SystemDrive%\USERS\TODDO\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL TEN.ELTTAB.BAT
del %SystemDrive%\USERS\TODDO\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL TEN.ELTTAB.BAT

delref HTTP://JAVA.COM/HELP
delref HTTP://DOCS.ORACLE.COM/JAVASE
regt 28
regt 29
;-------------------------------------------------------------

delref %SystemDrive%\USERS\TODDO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FDCGDNKIDJAADAFNICHFPABHFOMCEBME\5.3.0_0\ZENMATE SECURITY, PRIVACY & UNBLOCK VPN
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\40.0.2214.111\RESOURCES\GAIA_AUTH\GAIAAUTHEXTENSION
delref %SystemDrive%\USERS\TODDO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FCFENMBOOJPJINHPGGGODEFCCIPIKBPD\0.0.0.6_0\MSN HOMEPAGE & BING SEARCH ENGINE
delall %SystemDrive%\USERS\TODDO\APPDATA\LOCAL\MICROSOFT\REDIST\VCREDIST_X86.EXE
deltmp
delnfr
restart

3) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

4) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html

Toddo · 13.09.2015, 02:31

лог Farbar Recovery Scan
http://rghost.ru/6fg4hf5Pn
http://rghost.ru/8bXmBRWk8

safety · 13.09.2015, 06:32

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

Task: {702F401F-83C1-416B-A94C-F9E4390C4DDB} - \ASC6_PerformanceMonitor -> No File <==== ATTENTION
Task: {8D1DD340-A91A-4B84-9026-AF3ED380D2AA} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
CHR Extension: (No Name) - C:\Users\Toddo\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdcgdnkidjaadafnichfpabhfomcebme [2014-12-24]
CHR HKU\S-1-5-21-3084466062-3472772989-86307976-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:

Toddo · 13.09.2015, 13:53

Заранее благодарен
http://rghost.ru/7FjtNKLTW

safety · 13.09.2015, 15:46

если проблемы решены,

7.закрываем уязвимости
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Toddo · 13.09.2015, 16:08

Всем огромное спасибо.
Тему можно закрывать

12.09.2015, 20:37	#1
Toddo Новичок Регистрация: 26.04.2012 Сообщений: 20 Репутация: 0	Вирус типа exe.emorhc.bat Поймал эту гадость с сайта indi-games, по-моему весь сайт левый Лог в uVS http://rghost.ru/7YB4D8MR5 Лог в MBAM http://rghost.ru/86hm2Qq65

13.09.2015, 06:32	#4
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Код: Task: {702F401F-83C1-416B-A94C-F9E4390C4DDB} - \ASC6_PerformanceMonitor -> No File <==== ATTENTION Task: {8D1DD340-A91A-4B84-9026-AF3ED380D2AA} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION CHR Extension: (No Name) - C:\Users\Toddo\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdcgdnkidjaadafnichfpabhfomcebme [2014-12-24] CHR HKU\S-1-5-21-3084466062-3472772989-86307976-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx EmptyTemp: Reboot:

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Последствия после emorhc и arepo .	vasil-ii	Безопасность	8	16.04.2015 01:25
Подключение типа мост	ekom	Интернет и сети	1	09.09.2013 12:00
Типа Аллодов...	miraclePC	Игры	9	11.01.2012 21:53
Типа вирус	Жеся	Интернет и сети	9	17.04.2010 10:41
Работа с архивами типа .tib	Faust i ne on	Утилиты	7	08.12.2009 01:48

13.09.2015, 02:31	#3
Toddo Новичок Регистрация: 26.04.2012 Сообщений: 20 Репутация: 0	лог Farbar Recovery Scan http://rghost.ru/6fg4hf5Pn http://rghost.ru/8bXmBRWk8

13.09.2015, 13:53	#5
Toddo Новичок Регистрация: 26.04.2012 Сообщений: 20 Репутация: 0	Заранее благодарен http://rghost.ru/7FjtNKLTW

13.09.2015, 15:46	#6
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	если проблемы решены, 7.закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

13.09.2015, 16:08	#7
Toddo Новичок Регистрация: 26.04.2012 Сообщений: 20 Репутация: 0	Всем огромное спасибо. Тему можно закрывать

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads