[ Закрыто ] Угроза Win64 / Adware.PBot , NOD32 обнаружил Win64 / Adware.PBot и не может удалить

RSS

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 12.01.2019 12:16:00

NOD32 обнаружил Win64 / Adware.PBot и не может удалить

Добавил файл https://my-files.ru/ep7m6i

Изменено: Вениамин Шульц - 12.01.2019 12:33:57 (Добавления файла)

Ответы

Пред. 1 2 3 След.

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 13.01.2019 08:46:44

Здравствуйте.

Проблемы продолжаются. Выходит вот такое сообщение

Каждый раз как сообщение выходит, в название URL-адреса меняется первое слово ( zei) и другой айпи. Повторов не заметил.

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 13.01.2019 08:47:55

Извиняюсь, айпи остаётся неизменным

Перестал запускаться калькулятор, стандартный виндовс 10.

Изменено: Вениамин Шульц - 13.01.2019 09:57:45

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.01.2019 09:49:14

добавьте новый образ автозапуска

[ Как создать образ автозапуска? ]

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 13.01.2019 10:15:01

Прикрепил

Прикрепленные файлы

DESKTOP-S9CRD6I_2019-01-13_10-06-01_v4.1.2.7z (956.78 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.01.2019 10:53:09

этот файл проверьте на http://virustotal.com и дайте ссылку на линк проверки

C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\71.0.3578.98\CHROME.DLL
+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %Sys32%\DRIVERS\ITSTTNSMRAGH.SYS addsgn BABF20D2D686243A800DE63C597BEBFADAC671EBA5F81F78B60ACA0BD4EF054B2317A515B7518401A84186F9C3D63C103552FD7F56DAB065A6BC4C1E3AF9DD3B 64 Win64/Capcom.A 7 chklst delvir delref %SystemDrive%\USERS\VENIA\APPDATA\ROAMING\EVERYDAYHOLIDAY\PYTHON\PYTHONW.EXE delref LOAD.PYC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDOICAPFDALDIOKBCDNLLFHNAPOKCBK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDHPACFHLJHCOMBKALCMKAHKHODPKBIM%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.15_1\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDHPACFHLJHCOMBKALCMKAHKHODPKBIM\15.1.13.1_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.24.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_8064_26306\RESPONSE delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_7392_11471\4907_ALL_CRL-SET-8442666315293413759.DATA.CRX3 delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_7012_592\32.0.0.114_WIN_PEPPERFLASHPLAYER.CRX3 delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_9972_4242\4909_ALL_CRL-SET-3005835740647420984.DATA.CRX3 delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {23170F69-40C1-278A-1000-000100020000}\[CLSID] delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID] delref %Sys32%\BLANK.HTM delref MBAMSERVICE\[SERVICE] delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\E_S73E.TMP ;------------------------------------------------------------- restart

Код


;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %Sys32%\DRIVERS\ITSTTNSMRAGH.SYS
addsgn BABF20D2D686243A800DE63C597BEBFADAC671EBA5F81F78B60ACA0BD4EF054B2317A515B7518401A84186F9C3D63C103552FD7F56DAB065A6BC4C1E3AF9DD3B 64 Win64/Capcom.A 7

chklst
delvir

delref %SystemDrive%\USERS\VENIA\APPDATA\ROAMING\EVERYDAYHOLIDAY\PYTHON\PYTHONW.EXE
delref LOAD.PYC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDOICAPFDALDIOKBCDNLLFHNAPOKCBK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDHPACFHLJHCOMBKALCMKAHKHODPKBIM%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.15_1\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDHPACFHLJHCOMBKALCMKAHKHODPKBIM\15.1.13.1_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.24.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_8064_26306\RESPONSE
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_7392_11471\4907_ALL_CRL-SET-8442666315293413759.DATA.CRX3
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_7012_592\32.0.0.114_WIN_PEPPERFLASHPLAYER.CRX3
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_9972_4242\4909_ALL_CRL-SET-3005835740647420984.DATA.CRX3
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\BLANK.HTM
delref MBAMSERVICE\[SERVICE]
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\E_S73E.TMP
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 13.01.2019 21:55:15

Ссылка на на линк проверки https://www.virustotal.com/#/file/16a49c8afb007269af653e5301dd5d2e22b1507f6ffdac190af7065b8095f4ff/d...
https://www.virustotal.com/#/file/16a49c8afb007269af653e5301dd5d2e22b1507f6ffdac190af7065b8095f4ff/d...

Выполняю пока что скрипт....

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 13.01.2019 22:05:38

Антивирус молчит, виндовс просит включить брандмауэр, но он не включается

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.01.2019 06:45:03

какой у вас продукт от ESET установлен: Antivirus или Internet Security?

[ Как создать образ автозапуска? ]

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 14.01.2019 19:44:53

Антивирус установлен.

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 14.01.2019 20:21:22

Все запустил, путем обновления виндовс, все заработало, вирусов нет. Спасибо вам огромное.

Пред. 1 2 3 След.