Подхватил троян!

[COLOR=#333333]Внешне проявляется в браузерах:[/COLOR][COLOR=#333333]открываются Google Ghrome и internet explorer, в браузерах начальная страничка go.mail.ru а также всё время открывается реклама в новых вкладках. Нашел процесс Pithonw.exe раньше его не было,но сам файл был не в системной папке, а в [/COLOR]C:\Users\Admin\AppData\Roaming\PBot\python/ Я эту папку всю удалил,но не помогло. теперь этого процесса нет, но появляются процессы .tmp.exe
[COLOR=#333333]Помогите удалить этот вирус. Антивируса у меня нет.
Во вложении отчет.[/COLOR]

Уважаемый(ая) [B]Danil.Diamond[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте !!!

[quote="Danil.Diamond;1427036"]Помогите удалить этот вирус. Антивируса у меня нет.[/quote]
[B]Чтобы в следующих логах он был на компьютере и я увидел его наличие. Любой, можно бесплатный. [/B]

Выполните скрипт в AVZ: Запустите файл AVZ.exe от имени администратора (в Windows Vista - 10 щелкните правой клавишей мыши и выберите "Запустить от имени администратора
[CODE]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\admin\appdata\local\comdev\comdev.exe');
QuarantineFile('C:\Users\Admin\AppData\Local\itorrent\itorrent.exe','');
QuarantineFile('C:\Program Files\Jumpstart\jswtrayutil.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\SearchGo\searchgo.exe','');
QuarantineFile('C:\Users\Admin\AppData\Local\fupdate\fupdate.exe','');
QuarantineFile('c:\users\admin\appdata\local\comdev\comdev.exe','');
DeleteFile('C:\Users\Admin\AppData\Local\itorrent\itorrent.exe');
DeleteFile('C:\Program Files\Ghostery Storage Server\ghstore.exe','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Windows\system32\Tasks\ComDev','32');
DeleteFile('C:\Windows\system32\Tasks\fupdate','32');
DeleteFile('C:\Windows\system32\Tasks\mans-find','32');
DeleteFile('C:\Windows\system32\Tasks\SearchGo Task','32');
DeleteFile('C:\Windows\system32\Tasks\worldtradereklama','32');
DeleteFile('C:\Users\Admin\appdata\local\comdev\comdev.exe','32');
DeleteFile('C:\Users\Admin\appdata\local\fupdate\fupdate.exe','32');
DeleteFile('C:\Users\Admin\appdata\local\searchgo\searchgo.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "mans-find" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "worldtradereklama" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','evgivolggo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zaxar','command');
DeleteService('Ghostery Storage Server');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Здравствуйте !!! Вы сказали,чтобы в следующих логах антивирус был на компьютере и вы увидели его наличие. Любой, можно бесплатный.
Я установил AVG. Сделал вроде бы все скрипты,которые вы сказали сделать. Папку карантин отправил.Прикладываю повторные логи.

Здравствуйте! Я отправлял Вам запрошенные Вами отчеты. Получили ли Вы их? Если нет, то дайте знать.

[quote="Danil.Diamond;1428003"]Я отправлял Вам запрошенные Вами отчеты. Получили ли Вы их?[/quote]
Только что их заметил.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven/10[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Прошу см. вложение

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Здравствуйте! Надеюсь Вы уже получили отчет C:\AdwCleaner\AdwCleaner[S0].txt. и у Вас есть время ответить мне,что следует делать дальше?

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

+
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Здравствуйте! Отчеты во вложении.

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-156489693-2611561387-2043184047-1000\...\MountPoints2: {2ec1f7f6-d3f3-11e6-b3ad-00217075d389} - E:\setup.exe
HKU\S-1-5-21-156489693-2611561387-2043184047-1000\...\MountPoints2: {56042155-b12b-11e6-a3e8-00217075d389} - E:\setup.exe
HKU\S-1-5-21-156489693-2611561387-2043184047-1000\...\MountPoints2: {f55d4fd5-c383-11e6-b2f6-00217075d389} - E:\SISetup.exe
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B543A663A-1DE5-416E-B96E-83A49B755FBB%7D&gp=811610
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-01-20]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-01-20]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-20]
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-01-20]
CHR DefaultSearchURL: Default -> hxxp://go-search.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> gosearch
Task: {40789D99-04D8-490A-B8CE-A6809E46D669} - \ComDev -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
AlternateDataStreams: C:\Users\Admin\Documents:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
AlternateDataStreams: C:\Users\Admin\Мои документы:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
MSCONFIG\startupreg: mailruhomesearch => "C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
MSCONFIG\startupreg: Zaxar =>
EmptyTemp:
Reboot:[/CODE]
[*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

+ Прекратите хакать WiFi, удалите эту программу и Ваш компьютер скажет Вам спасибо. (по крайней мере одной ошибкой станет меньше в работе ПК)

Добрый день! Отчет во вложении.

Что с проблемой ?

До сих пор открываются вкладки в гугл хром с вулканом и еще всякой рекламой

Только в хроме ? Сделайте новый комплект логов FRST.

Новый комплект логов FRST

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Пользуюсь только хромом. Раньше открывался эксплоер самостоятельно, но теперь вроде нормально.

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-156489693-2611561387-2043184047-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818407
SearchScopes: HKU\S-1-5-21-156489693-2611561387-2043184047-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BCF2BFD05-C21D-45DB-B496-40426601795E%7D&gp=811014
SearchScopes: HKU\S-1-5-21-156489693-2611561387-2043184047-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BCF2BFD05-C21D-45DB-B496-40426601795E%7D&gp=811014
BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR Extension: (Скачать музыку и видео с VK!) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\adjbnnmnmbdmgohjopaebaaneclmihfm [2016-12-29]
CHR Extension: (Скачать музыку с Вконтакте (vk.com)) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap [2016-11-12]
CHR Extension: (Google*Документы офлайн) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-11-12]
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
Task: {35B1A0F9-A277-4814-AE62-4C925A19CAE8} - \fupdate -> No File <==== ATTENTION
Task: {C6BA84AD-8007-4FF8-B729-15A3DE57990E} - \SearchGo Task -> No File <==== ATTENTION
Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk -> C:\Users\Admin\AppData\Local\MediaGet2\mediaget-uninstaller.exe () <===== Cyrillic
AlternateDataStreams: C:\Users\Admin\Documents:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
AlternateDataStreams: C:\Users\Admin\Мои документы:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26]
MSCONFIG\Services: Ghostery Storage Server => 2
MSCONFIG\startupreg: Zaxar =>
Reboot:[/CODE]
[*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

После перезагрузки открыл хром вместе с нужной вкладкой,открылась самостоятельно новая вкладка, но просто "Без имени".

[quote="Danil.Diamond;1429053"]После перезагрузки открыл хром вместе с нужной вкладкой,открылась самостоятельно новая вкладка, но просто "Без имени".[/quote]
Подробности, скриншоты, комментарии.

Добрый день. Раньше открывался сам internet explorer, в хроме устанавливалась начальная страничка go.mail.ru и открывался поиск не гугл, а в майле.
Теперь все в порядке.
Осталось только то, что при открытии какой нибудь вкладки в хроме,дополнительно сама открывается вкладка с рекламой: Вулкан,Игровые автоматы.

Добрый день! Удалил хром и переустановил его. Кажется все в порядке. Спасибо Вам за помощь. Если что-то будет не так, то надеюсь Вы поможете мне. Всего доброго Вам.