Win32/Adware.PBot.A - Форум технической поддержки ESET NOD32

Сообщений: 18

Баллов: 9

Регистрация: 03.02.2012

Размещено 03.04.2017 19:29:32

Добрый день, постоянно всплывает Win32/Adware.PBot.A
Нужна ваша помощь)

Прикрепленные файлы

DESKTOP-A07R7TF_2017-04-04_02-16-21.7z (637.96 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 03.04.2017 20:00:21

Franky27

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v3.87.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\8B5AT5GGHH0D.EXE delref %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\\8B5AT5GGHH0D.EXE delref HTTP://CHAYNACHA.RU/?UTM_SOURCE=SPEEDDIAL03&UTM_CONTENT=9DF415BEAB3B0D9F0D100AE29035C866&UTM_TERM=$__MID&UTM_D=$__UTMD delref HTTP://AROLINA.THIGH-ADVICE.GDN/2INF_SPEADDIAL.PNG delref HTTP://EISLRGWXAPKP.MEALMELTSPEND.GDN/SOFTWARE_INSTALL?HETAG=1477B999FAD32062BC6AA811FBE9B0A2&GUID=$__GUID&SIG=$__SIG&OVR=$__OVR&DEFAULT=$__DEFAULT&BR=$__BROWSER&FILE_ID=133363096&DID=2667245032&EXT_PARTNER_ID=&2INF_SPEEDDIAL=1&EXT_PARTNER_ID= delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\VBQU8EUKZIGK.EXE delref %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\\VBQU8EUKZIGK.EXE delref HTTP://CHAYNACHA.RU/?UTM_SOURCE=FAVORITES03&UTM_CONTENT=7790075E2B6899EC7954D0772C8E0271&UTM_TERM=$__MID&UTM_D=$__UTMD\|ИНТЕРНЕТ delref HTTP://EISLRGWXAPKP.MEALMELTSPEND.GDN/SOFTWARE_INSTALL?HETAG=1477B999FAD32062BC6AA811FBE9B0A2&GUID=$__GUID&SIG=$__SIG&OVR=$__OVR&DEFAULT=$__DEFAULT&BR=$__BROWSER&FILE_ID=133363096&DID=2667245032&EXT_PARTNER_ID=&2INF_FAVORITES=1&EXT_PARTNER_ID= delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\JM3HENIWLKZE.EXE delref %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\\JM3HENIWLKZE.EXE delref HTTP://AROLINA.THIGH-ADVICE.GDN/CHROME.CRX delref HTTP://EISLRGWXAPKP.MEALMELTSPEND.GDN/SOFTWARE_INSTALL?HETAG=1477B999FAD32062BC6AA811FBE9B0A2&GUID=$__GUID&SIG=$__SIG&OVR=$__OVR&DEFAULT=$__DEFAULT&BR=$__BROWSER&FILE_ID=133363096&DID=2667245032&EXT_PARTNER_ID=&EXT_PARTNER_ID=&VKLIKE=1 delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\WCT1D96.TMP delref %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE del %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE delref %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL del %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL deldirex %SystemDrive%\USERS\123\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=IE8SRC deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR delref HTTP://WWW.GOOGLE.RU/SEARCH?HL=RU&Q={SEARCHTERMS}&BTNG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+GOOGLE&LR= delref HTTP://OVGORSKIY.RU delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE del %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B6DEF3402-DCC7-4110-AEDE-3977FD0759C0%7D&GP=831106 delref %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\SPUTNIK\PTLS\MAILRUHOMESEARCH.EXE del %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\SPUTNIK\PTLS\MAILRUHOMESEARCH.EXE delref HTTP://CHAYNACHA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=CFB47DC403DD27F678F72BF6EFA1E739&UTM_TERM=3E6706D8B9B0BA87B8F4768AEE7E546E&UTM_D=20170403 deldirex %SystemDrive%\USERS\123\APPDATA\LOCAL\AMIGO\APPLICATION delref HTTP://MAIL.RU/CNT/10445?GP=831105 del %SystemDrive%\USERS\123\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=831101 del %SystemDrive%\USERS\123\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK ;------------------------------------------------------------- unload %SystemDrive%\USERS\123\DOWNLOADS\CP_OT_MELLSTROY__HRISTMA.EXE delall %SystemDrive%\USERS\123\DOWNLOADS\CP_OT_MELLSTROY__HRISTMA.EXE delall %SystemDrive%\USERS\123\APPDATA\ROAMING\CPUZAPP2\CPUZAPP.EXE delref %SystemDrive%\USERS\123\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PBJDLPAFFKKDGGNABFDBHBFBNCMCCKIO\4.3.0_0\VK DOWNLOADER bp C:\USERS\123\DOWNLOADS\ZFXD.EXE delall %SystemDrive%\USERS\123\DOWNLOADS\ZFXD.EXE uidel "C:\Users\123\AppData\Local\Amigo\Application\54.0.2840.191\Installer\setup.exe" --uninstall uidel C:\Users\123\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall uidel C:\Users\123\AppData\Roaming\setupsk\uninstall.exe uidel "C:\Program Files (x86)\Zaxar\unins000.exe" uidel C:\Users\123\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser deltmp delnfr restart

Код


;uVS v3.87.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\8B5AT5GGHH0D.EXE

delref %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\\8B5AT5GGHH0D.EXE

delref HTTP://CHAYNACHA.RU/?UTM_SOURCE=SPEEDDIAL03&UTM_CONTENT=9DF415BEAB3B0D9F0D100AE29035C866&UTM_TERM=$__MID&UTM_D=$__UTMD
delref HTTP://AROLINA.THIGH-ADVICE.GDN/2INF_SPEADDIAL.PNG
delref HTTP://EISLRGWXAPKP.MEALMELTSPEND.GDN/SOFTWARE_INSTALL?HETAG=1477B999FAD32062BC6AA811FBE9B0A2&GUID=$__GUID&SIG=$__SIG&OVR=$__OVR&DEFAULT=$__DEFAULT&BR=$__BROWSER&FILE_ID=133363096&DID=2667245032&EXT_PARTNER_ID=&2INF_SPEEDDIAL=1&EXT_PARTNER_ID=
delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\VBQU8EUKZIGK.EXE

delref %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\\VBQU8EUKZIGK.EXE

delref HTTP://CHAYNACHA.RU/?UTM_SOURCE=FAVORITES03&UTM_CONTENT=7790075E2B6899EC7954D0772C8E0271&UTM_TERM=$__MID&UTM_D=$__UTMD|ИНТЕРНЕТ
delref HTTP://EISLRGWXAPKP.MEALMELTSPEND.GDN/SOFTWARE_INSTALL?HETAG=1477B999FAD32062BC6AA811FBE9B0A2&GUID=$__GUID&SIG=$__SIG&OVR=$__OVR&DEFAULT=$__DEFAULT&BR=$__BROWSER&FILE_ID=133363096&DID=2667245032&EXT_PARTNER_ID=&2INF_FAVORITES=1&EXT_PARTNER_ID=
delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\JM3HENIWLKZE.EXE

delref %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\\JM3HENIWLKZE.EXE

delref HTTP://AROLINA.THIGH-ADVICE.GDN/CHROME.CRX
delref HTTP://EISLRGWXAPKP.MEALMELTSPEND.GDN/SOFTWARE_INSTALL?HETAG=1477B999FAD32062BC6AA811FBE9B0A2&GUID=$__GUID&SIG=$__SIG&OVR=$__OVR&DEFAULT=$__DEFAULT&BR=$__BROWSER&FILE_ID=133363096&DID=2667245032&EXT_PARTNER_ID=&EXT_PARTNER_ID=&VKLIKE=1
delall %SystemDrive%\USERS\123\APPDATA\LOCAL\TEMP\WCT1D96.TMP

delref %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
del %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE

delref %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
del %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL

deldirex %SystemDrive%\USERS\123\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=IE8SRC
deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

delref HTTP://WWW.GOOGLE.RU/SEARCH?HL=RU&Q={SEARCHTERMS}&BTNG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+GOOGLE&LR=
delref HTTP://OVGORSKIY.RU
delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE
del %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE

delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B6DEF3402-DCC7-4110-AEDE-3977FD0759C0%7D&GP=831106
delref %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\SPUTNIK\PTLS\MAILRUHOMESEARCH.EXE
del %SystemDrive%\USERS\123\APPDATA\LOCAL\MAIL.RU\SPUTNIK\PTLS\MAILRUHOMESEARCH.EXE

delref HTTP://CHAYNACHA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=CFB47DC403DD27F678F72BF6EFA1E739&UTM_TERM=3E6706D8B9B0BA87B8F4768AEE7E546E&UTM_D=20170403
deldirex %SystemDrive%\USERS\123\APPDATA\LOCAL\AMIGO\APPLICATION

delref HTTP://MAIL.RU/CNT/10445?GP=831105
del %SystemDrive%\USERS\123\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АМИГО.LNK

delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=831101
del %SystemDrive%\USERS\123\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\АМИГО.LNK

;-------------------------------------------------------------

unload %SystemDrive%\USERS\123\DOWNLOADS\CP_OT_MELLSTROY__HRISTMA.EXE
delall %SystemDrive%\USERS\123\DOWNLOADS\CP_OT_MELLSTROY__HRISTMA.EXE
delall %SystemDrive%\USERS\123\APPDATA\ROAMING\CPUZAPP2\CPUZAPP.EXE
delref %SystemDrive%\USERS\123\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PBJDLPAFFKKDGGNABFDBHBFBNCMCCKIO\4.3.0_0\VK DOWNLOADER
bp C:\USERS\123\DOWNLOADS\ZFXD.EXE
delall %SystemDrive%\USERS\123\DOWNLOADS\ZFXD.EXE
uidel "C:\Users\123\AppData\Local\Amigo\Application\54.0.2840.191\Installer\setup.exe" --uninstall
uidel C:\Users\123\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
uidel C:\Users\123\AppData\Roaming\setupsk\uninstall.exe
uidel  "C:\Program Files (x86)\Zaxar\unins000.exe"
uidel C:\Users\123\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
deltmp
delnfr
restart

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 18

Баллов: 9

Регистрация: 03.02.2012

Размещено 03.04.2017 20:45:11

Проблема не прошла

Прикрепленные файлы

1234.txt (179.13 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 03.04.2017 20:59:30

Franky27

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 18

Баллов: 9

Регистрация: 03.02.2012

Размещено 04.04.2017 06:44:07

После чистки Malwarebytes проблема ушла, но AdwCleaner показал еще, их тоже удалил. Malwarebytes блокирует открытие http://rghost.ru

Прикрепленные файлы

FRST.txt (70.59 КБ)
Addition.txt (30.32 КБ)
AdwCleaner[S0].txt (4.36 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 04.04.2017 08:23:53

1) По AdwCleaner - инструкция по чистке дана выше.

2) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
HKLM Group Policy restriction on software: C:\USERS\123\DOWNLOADS\ZFXD.EXE <====== ATTENTION HKLM Group Policy restriction on software: C:\USERS\123\DOWNLOADS\ZFXD.EXE <====== ATTENTION GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION EmptyTemp: Reboot:

Код

  

HKLM Group Policy restriction on software: C:\USERS\123\DOWNLOADS\ZFXD.EXE <====== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\123\DOWNLOADS\ZFXD.EXE <====== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.

Сообщений: 18

Баллов: 9

Регистрация: 03.02.2012

Размещено 06.04.2017 05:29:46

Все работает, спасибо.

Прикрепленные файлы

Fixlog.txt (1.77 КБ)

[ Закрыто ] Win32/Adware.PBot.A