ESET NOD32 обнаружил win32/adware.PBot.A - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 14.08.2017

Размещено 15.08.2017 19:53:50

Добрый день.
Подскажите пож-та как избавиться от вируса win32/adware.PBot.A ?
При включении компьютера нод32 выдает около 20-30 окошек с этим вирусом и пишет что он очищен, но при каждом перезапуске ПК история повторяется.
Образ автозапуска прикрепил.
Заранее благодарен.

Прикрепленные файлы

GIGABYTE_2017-08-15_19-45-23.7z (553.43 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 15.08.2017 22:41:38

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- delref %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\MSI.EXE del %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\MSI.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://MAIL.RU/CNT/10445?GP=811013 delref HTTP://WWW.GOOGLE.COM/ delall %SystemDrive%\USERS\ИРИНА\APPDATA\LOCAL\TEMP\V8_7067_53.TMP delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02 delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BB419F6E0-CD3B-4113-BC57-38ADF77CA898%7D&GP=811010 delref HTTP://MAIL.RU/CNT/10445?GP=811009 delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=811008 apply regt 27 ;------------------------------------------------------------- deltmp restart ;---------command-block--------- delref DESKTOP\STILEX_GEL_INSTRUKTSIYA___.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\60.0.3112.90\INSTALLER\CHRMSTP.EXE delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID] apply

Код


;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\MSI.EXE
del %SystemDrive%\USERS\ИРИНА\APPDATA\ROAMING\MICROSOFT\MSI.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://MAIL.RU/CNT/10445?GP=811013
delref HTTP://WWW.GOOGLE.COM/
delall %SystemDrive%\USERS\ИРИНА\APPDATA\LOCAL\TEMP\V8_7067_53.TMP
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BB419F6E0-CD3B-4113-BC57-38ADF77CA898%7D&GP=811010
delref HTTP://MAIL.RU/CNT/10445?GP=811009
delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=811008
apply

regt 27
;-------------------------------------------------------------

deltmp
restart
;---------command-block---------
delref DESKTOP\STILEX_GEL_INSTRUKTSIYA___.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\60.0.3112.90\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID]
apply

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 4

Баллов: 2

Регистрация: 14.08.2017

Размещено 16.08.2017 22:49:20

Проблема осталась.
лог программой malwarebytes прикладываю

Прикрепленные файлы

16082247.txt (357.09 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 16.08.2017 22:57:11

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 4

Баллов: 2

Регистрация: 14.08.2017

Размещено 17.08.2017 20:40:10

все действия выполнил.
после проверки frst прикладываю 2 текстовых файла.

Прикрепленные файлы

Addition.txt (46.89 КБ)
FRST.txt (49.67 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 17.08.2017 23:16:39

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
Task: {3C0270D1-80CC-429B-9482-419BFC6EE85E} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION Task: {4C8F793B-C429-45A1-A8F0-40FF6D88EE75} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION Task: {D13D9637-789B-4796-B226-5513F385B414} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION Task: {D9394BC6-6844-4C7D-A040-E82F092B21C3} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION HKLM Group Policy restriction on software: C:\USERS\123\DOWNLOADS\ZFXD.EXE <==== ATTENTION CHR HKU\S-1-5-21-3778422923-2011462618-1557199982-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HKU\S-1-5-21-3778422923-2011462618-1557199982-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08172017202804756\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Toolbar: HKU\S-1-5-21-3778422923-2011462618-1557199982-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3778422923-2011462618-1557199982-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08172017202804756 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] CHR NewTab: Default -> Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html" CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} EmptyTemp: Reboot:

Код

  

Task: {3C0270D1-80CC-429B-9482-419BFC6EE85E} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {4C8F793B-C429-45A1-A8F0-40FF6D88EE75} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
Task: {D13D9637-789B-4796-B226-5513F385B414} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {D9394BC6-6844-4C7D-A040-E82F092B21C3} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\123\DOWNLOADS\ZFXD.EXE <==== ATTENTION
CHR HKU\S-1-5-21-3778422923-2011462618-1557199982-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-3778422923-2011462618-1557199982-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08172017202804756\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-3778422923-2011462618-1557199982-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-3778422923-2011462618-1557199982-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08172017202804756 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR NewTab: Default ->  Not-active:"chrome-extension://epgjfmblhacacphaljkdcjllkomdcjpc/visual-bookmarks.html"
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}

EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.

Сообщений: 4

Баллов: 2

Регистрация: 14.08.2017

Размещено 18.08.2017 18:35:57

Добрый вечер.
fixlog приложил.
После проверки отпишусь как работает.

Прикрепленные файлы

Fixlog.txt (5.31 КБ)

[ Закрыто ] ESET NOD32 обнаружил win32/adware.PBot.A