Страницы: 1
RSS
ESET NOD32 обнаружил win32/adware.PBot.A
 
Добрый день.
Подскажите пож-та как избавиться от вируса win32/adware.PBot.A ?
При включении компьютера нод32 выдает около 20-30 окошек с этим вирусом и пишет что он очищен, но при каждом перезапуске ПК история повторяется.
Образ автозапуска прикрепил.
Заранее благодарен.
 
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\MSI.EXE
del %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\MSI.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://MAIL.RU/CNT/10445?GP=811013
delref HTTP://WWW.GOOGLE.COM/
delall %SystemDrive%\USERS\ИРИНА\APPDATA\LOCAL\TEMP\V8_7067_53.TMP
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BB419F6E0-CD3B-4113-BC57-38ADF77CA898%7D&GP=811010
delref HTTP://MAIL.RU/CNT/10445?GP=811009
delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=811008
apply

regt 27
;-------------------------------------------------------------

deltmp
restart
;---------command-block---------
delref DESKTOP\STILEX_GEL_INSTRUKTSIYA___.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\60.0.3112.90\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID]
apply




+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
 
Проблема осталась.
лог программой malwarebytes прикладываю  
 
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
 
все действия выполнил.
после проверки frst прикладываю 2 текстовых файла.
 
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
  

Task: {3C0270D1-80CC-429B-9482-419BFC6EE85E} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {4C8F793B-C429-45A1-A8F0-40FF6D88EE75} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {D13D9637-789B-4796-B226-5513F385B414} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {D9394BC6-6844-4C7D-A040-E82F092B21C3} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\123\DOWNLOADS\ZFXD.EXE <==== ATTENTION
CHR HKU\S-1-5-21-3778422923-2011462618-1557199982-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-3778422923-2011462618-1557199982-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08172017202804756\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-3778422923-2011462618-1557199982-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-3778422923-2011462618-1557199982-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08172017202804756 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}

EmptyTemp:
Reboot: 

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.
 
Добрый вечер.
fixlog приложил.
После проверки отпишусь как работает.
Страницы: 1
Читают тему (гостей: 1)