[ Закрыто ] Угроза Win64 / Adware.PBot , NOD32 обнаружил Win64 / Adware.PBot и не может удалить

NOD32 обнаружил Win64 / Adware.PBot и не может удалить

Добавил файл https://my-files.ru/ep7m6i
Изменено: Вениамин Шульц - 12.01.2019 12:33:57 (Добавления файла)
Здравствуйте

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
bl 25175B36F3CC974065E2077582D9B878 606208
uidel "C:\Users\venia\AppData\Roaming\SchedTaskSetup\unins000.exe"
deltmp
restart
;---------command-block---------
delref START.PYC
delall %SystemDrive%\USERS\VENIA\APPDATA\ROAMING\SCHEDTASKSETUP\SCHED.EXE
delref %Sys32%\DRIVERS\KRNSBNOKSNRS.SYS
del %Sys32%\DRIVERS\KRNSBNOKSNRS.SYS
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delall %SystemDrive%\USERS\VENIA\APPDATA\ROAMING\YOUTUBEDOWNLOADER\PYTHON\_CTYPES.PYD
delall %SystemDrive%\USERS\VENIA\APPDATA\ROAMING\YOUTUBEDOWNLOADER\PYTHON\PYTHONW.EXE
delall %SystemDrive%\USERS\VENIA\APPDATA\ROAMING\YOUTUBEDOWNLOADER_UPD\PYTHON\PYTHONW.EXE
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_1568_23157\4907_ALL_CRL-SET-8442666315293413759.DATA.CRX3
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_1392_23049\4907_ALL_CRL-SET-8442666315293413759.DATA.CRX3
delref %SystemDrive%\PROGRAMDATA\BLUESTACKS\CLIENT\HELPER\BLUESTACKSHELPER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref {FE8E6AD6-DABE-45E1-88C2-48DC4578924C}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref MPSSVC\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\KADPDPDNMISH.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref H:\LENOVO_SUITE.EXE
delref H:\AUTORUN.EXE
delref %SystemDrive%\USERS\VENIA\DESKTOP\CHROME-WIN32\CHROME.EXE
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemRoot%\TEMP\E_SD37C.TMP
delref {0AFC3C9A-22C8-4A22-AA33-BEEB423E2075}\[CLSID]
delref {263F09EA-853A-4F1A-BEFA-339D8467B909}\[CLSID]
delref %SystemDrive%\USERS\VENIA\APPDATA\ROAMING\JIVOSITE INC\JIVOSITE\JIVOSITE.EXE
apply




+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Изменено: RP55 RP55 - 12.01.2019 13:00:54
Отчет от хелпера  
Всё найденное в Malwarebytes - удалите ( помести в карантин )


Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
Файлы[TABLE][TR][TD]AdwCleaner[C00].txt[/TD][/TR][/TABLE]файлы логов FRST.txt и Addition.txt.
Изменено: Вениамин Шульц - 12.01.2019 13:44:51 (Добавления файла)
FRST: Сейчас посмотрю.
Изменено: RP55 RP55 - 12.01.2019 13:45:40
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
  

ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
Task: {B2F4AC84-A8D0-4524-9363-BFF5A5911A00} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> No File <==== ATTENTION
HKU\S-1-5-21-2860636378-2279114448-4052714680-1001\...\Run: [AdobeBridge] => [X]
GroupPolicy\User: Restriction ? <==== ATTENTION

EmptyTemp:
Reboot:


Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.
Fixlog.txt
Пишем по _общему результату лечения.
Читают тему (гостей: 3)