Тема: Браузерний вірус

Ярлики браузера замінюються на ярлик до БАТ вірусу, БАТ вірус має приблизно слідуючий код

Прихований текст
chcp 1251 >NUL 
set /p ckRmT1JhTmFOcw=< "%~dp0ckRmT1JhTmFOcw"
"cVhBaExDQg=="
set /p YkxwS1pkYw=< "%~dp0YkxwS1pkYw"
"SWRuTHNOWktF"
set /p Rmp2bEZM=< "%~dp0Rmp2bEZM"
"b1hKdWV6d3J0"
set /p eWNLY05HeWNGVEo=< "%~dp0eWNLY05HeWNGVEo"
"Y2RBbUFJTEpXVg=="
chcp 866 >NUL 
%ckRmT1JhTmFOcw%%YkxwS1pkYw%%Rmp2bEZM%%eWNLY05HeWNGVEo%

але проблема в тому що якщо видалити цей бат вірус він після перезавантаження все рівно появляється притому часто змінює назву себе і своєї папки, я пробував замінити це код на шлях до браузера тоді його вдається "обдурити" на деякий час але проблеми це не вирішує. Я дивився в папці автозапуску, програми автозапуску і також в планувальнику задач там нічого немає, але при старті він (вірус) включається запускає браузер за замовчуванням і перевіряє наявність своїх БАТ файлів і ярликів якщо їх немає він їх створює. Де ще можна пошукати цей вірус ? (до речі антивірус його не знаходить, деякі антивіруси знаходять БАТ файли і видаляють їх)

Подякували: 0xDADA11C71

2 Востаннє редагувалося HetmanNet (02.01.2016 22:39:17)

Re: Браузерний вірус

Betterthanyou написав:

Ярлики браузера замінюються на ярлик до БАТ вірусу, БАТ вірус має приблизно слідуючий код

Прихований текст
chcp 1251 >NUL 
set /p ckRmT1JhTmFOcw=< "%~dp0ckRmT1JhTmFOcw"
"cVhBaExDQg=="
set /p YkxwS1pkYw=< "%~dp0YkxwS1pkYw"
"SWRuTHNOWktF"
set /p Rmp2bEZM=< "%~dp0Rmp2bEZM"
"b1hKdWV6d3J0"
set /p eWNLY05HeWNGVEo=< "%~dp0eWNLY05HeWNGVEo"
"Y2RBbUFJTEpXVg=="
chcp 866 >NUL 
%ckRmT1JhTmFOcw%%YkxwS1pkYw%%Rmp2bEZM%%eWNLY05HeWNGVEo%

але проблема в тому що якщо видалити цей бат вірус він після перезавантаження все рівно появляється притому часто змінює назву себе і своєї папки, я пробував замінити це код на шлях до браузера тоді його вдається "обдурити" на деякий час але проблеми це не вирішує. Я дивився в папці автозапуску, програми автозапуску і також в планувальнику задач там нічого немає, але при старті він (вірус) включається запускає браузер за замовчуванням і перевіряє наявність своїх БАТ файлів і ярликів якщо їх немає він їх створює. Де ще можна пошукати цей вірус ? (до речі антивірус його не знаходить, деякі антивіруси знаходять БАТ файли і видаляють їх)

1. В усіх ярликах на всі браузери, ІЕ теж не забудь хоч і не юзаєш.
2. Налаштування сторінки яку відкриває браузер при запуску.
3. Розширення до браузерів, видаляй все окрім стандартних.
4. В автозапуску пошукай за допомогою спеціальних утиліт, бо він себе в реєстр може вкатувати а не лише в спец теки кидати.
5. Видали всі підозрілі теки в ProgramData.
6. Почисти комп утилітою від тимчасових файлів та не праюючих ярликів і т.д.
7. Перевір закладки в браузерах на наявність на незрозумілі сайти та популярні.

Раджу порядок: 3, 2, 1, 4, 5, 6, 7.
Перед процедурою запусти всі браузери разом та закривай як виконаєш пункти: 3, 2, 1, 4, 5.

Подякували: Betterthanyou, koala, leofun01, Анатолій4

3

Re: Браузерний вірус

Стандартні місця автозапуска. Реєстр:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Пункт "автозавантаження" в меню (спільна папка
W:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
і папка користувача,
W:\Users\%username%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
увага на сховані файли!)
Служби (так, туди теж записуються).
І перегляньте список встановлених програм, а також список процесів, що працюють під час роботи системи - чи нема там чогось неочікуваного?

Подякували: Betterthanyou, leofun012

4 Востаннє редагувалося Betterthanyou (02.01.2016 22:44:45)

Re: Браузерний вірус

Прихований текст
HetmanNet написав:
Betterthanyou написав:

Ярлики браузера замінюються на ярлик до БАТ вірусу, БАТ вірус має приблизно слідуючий код

Прихований текст
chcp 1251 >NUL 
set /p ckRmT1JhTmFOcw=< "%~dp0ckRmT1JhTmFOcw"
"cVhBaExDQg=="
set /p YkxwS1pkYw=< "%~dp0YkxwS1pkYw"
"SWRuTHNOWktF"
set /p Rmp2bEZM=< "%~dp0Rmp2bEZM"
"b1hKdWV6d3J0"
set /p eWNLY05HeWNGVEo=< "%~dp0eWNLY05HeWNGVEo"
"Y2RBbUFJTEpXVg=="
chcp 866 >NUL 
%ckRmT1JhTmFOcw%%YkxwS1pkYw%%Rmp2bEZM%%eWNLY05HeWNGVEo%

але проблема в тому що якщо видалити цей бат вірус він після перезавантаження все рівно появляється притому часто змінює назву себе і своєї папки, я пробував замінити це код на шлях до браузера тоді його вдається "обдурити" на деякий час але проблеми це не вирішує. Я дивився в папці автозапуску, програми автозапуску і також в планувальнику задач там нічого немає, але при старті він (вірус) включається запускає браузер за замовчуванням і перевіряє наявність своїх БАТ файлів і ярликів якщо їх немає він їх створює. Де ще можна пошукати цей вірус ? (до речі антивірус його не знаходить, деякі антивіруси знаходять БАТ файли і видаляють їх)

1. В усіх ярликах на всі браузери, ІЕ теж не забудь хоч і не юзаєш.
2. Налаштування сторінки яку відкриває браузер при запуску.
3. Розширення до браузерів, видаляй все окрім стандартних.
4. В автозапуску пошукай за допомогою спеціальних утиліт, бо він себе в реєстр може вкатувати а не лише в спец теки кидати.
5. Видали всі підозрілі теки в ProgramData.
6. Почисти комп утилітою від тимчасових файлів та не праюючих ярликів і т.д.
7. Перевір закладки в браузерах на наявність на незрозумілі сайти та популярні.

Раджу порядок: 3, 2, 1, 4, 5, 6, 7.
Перед процедурою запусти всі браузери разом та закривай як виконаєш пункти: 3, 2, 1, 4, 5.

Все це зробив крім 4 пункту, а що використати найшов Chameleon Startup Manager підійде чи є щось краще ?

5 Востаннє редагувалося HetmanNet (02.01.2016 22:46:27)

Re: Браузерний вірус

Betterthanyou написав:
Прихований текст
HetmanNet написав:
Betterthanyou написав:

Ярлики браузера замінюються на ярлик до БАТ вірусу, БАТ вірус має приблизно слідуючий код

Прихований текст
chcp 1251 >NUL 
set /p ckRmT1JhTmFOcw=< "%~dp0ckRmT1JhTmFOcw"
"cVhBaExDQg=="
set /p YkxwS1pkYw=< "%~dp0YkxwS1pkYw"
"SWRuTHNOWktF"
set /p Rmp2bEZM=< "%~dp0Rmp2bEZM"
"b1hKdWV6d3J0"
set /p eWNLY05HeWNGVEo=< "%~dp0eWNLY05HeWNGVEo"
"Y2RBbUFJTEpXVg=="
chcp 866 >NUL 
%ckRmT1JhTmFOcw%%YkxwS1pkYw%%Rmp2bEZM%%eWNLY05HeWNGVEo%

але проблема в тому що якщо видалити цей бат вірус він після перезавантаження все рівно появляється притому часто змінює назву себе і своєї папки, я пробував замінити це код на шлях до браузера тоді його вдається "обдурити" на деякий час але проблеми це не вирішує. Я дивився в папці автозапуску, програми автозапуску і також в планувальнику задач там нічого немає, але при старті він (вірус) включається запускає браузер за замовчуванням і перевіряє наявність своїх БАТ файлів і ярликів якщо їх немає він їх створює. Де ще можна пошукати цей вірус ? (до речі антивірус його не знаходить, деякі антивіруси знаходять БАТ файли і видаляють їх)

1. В усіх ярликах на всі браузери, ІЕ теж не забудь хоч і не юзаєш.
2. Налаштування сторінки яку відкриває браузер при запуску.
3. Розширення до браузерів, видаляй все окрім стандартних.
4. В автозапуску пошукай за допомогою спеціальних утиліт, бо він себе в реєстр може вкатувати а не лише в спец теки кидати.
5. Видали всі підозрілі теки в ProgramData.
6. Почисти комп утилітою від тимчасових файлів та не праюючих ярликів і т.д.
7. Перевір закладки в браузерах на наявність на незрозумілі сайти та популярні.

Раджу порядок: 3, 2, 1, 4, 5, 6, 7.
Перед процедурою запусти всі браузери разом та закривай як виконаєш пункти: 3, 2, 1, 4, 5.

Все це зробив крім 4 пункту

Це треба робити все за один захід, якщо недоробив та закрив він повернеться одразу чи згодом.
Ccleaner в поміч у війні з автозапуском.

6 Востаннє редагувалося leofun01 (03.01.2016 02:47:34)

Re: Браузерний вірус

В боротьбі проти змін в реєстрі, корисною буде програмка AnVir.

Подякували: Betterthanyou1