Внешне проявляется в браузерах:открываются Google Ghrome и internet explorer, в браузерах начальная страничка go.mail.ru а также всё время открывается реклама в новых вкладках. Нашел процесс Pithonw.exe раньше его не было,но сам файл был не в системной папке, а в C:\Users\Admin\AppData\Roaming\PBot\python/ Я эту папку всю удалил,но не помогло. теперь этого процесса нет, но появляются процессы .tmp.exe
Помогите удалить этот вирус. Антивируса у меня нет.
Во вложении отчет.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Danil.Diamond, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Чтобы в следующих логах он был на компьютере и я увидел его наличие. Любой, можно бесплатный.Сообщение от Danil.Diamond
Выполните скрипт в AVZ: Запустите файл AVZ.exe от имени администратора (в Windows Vista - 10 щелкните правой клавишей мыши и выберите "Запустить от имени администратора
После перезагрузки выполните скрипт:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\admin\appdata\local\comdev\comdev.exe'); QuarantineFile('C:\Users\Admin\AppData\Local\itorrent\itorrent.exe',''); QuarantineFile('C:\Program Files\Jumpstart\jswtrayutil.exe',''); QuarantineFile('C:\Users\Admin\AppData\Local\SearchGo\searchgo.exe',''); QuarantineFile('C:\Users\Admin\AppData\Local\fupdate\fupdate.exe',''); QuarantineFile('c:\users\admin\appdata\local\comdev\comdev.exe',''); DeleteFile('C:\Users\Admin\AppData\Local\itorrent\itorrent.exe'); DeleteFile('C:\Program Files\Ghostery Storage Server\ghstore.exe','32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Windows\system32\Tasks\ComDev','32'); DeleteFile('C:\Windows\system32\Tasks\fupdate','32'); DeleteFile('C:\Windows\system32\Tasks\mans-find','32'); DeleteFile('C:\Windows\system32\Tasks\SearchGo Task','32'); DeleteFile('C:\Windows\system32\Tasks\worldtradereklama','32'); DeleteFile('C:\Users\Admin\appdata\local\comdev\comdev.exe','32'); DeleteFile('C:\Users\Admin\appdata\local\fupdate\fupdate.exe','32'); DeleteFile('C:\Users\Admin\appdata\local\searchgo\searchgo.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "mans-find" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "worldtradereklama" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','evgivolggo'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zaxar','command'); DeleteService('Ghostery Storage Server'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Здравствуйте !!! Вы сказали,чтобы в следующих логах антивирус был на компьютере и вы увидели его наличие. Любой, можно бесплатный.
Я установил AVG. Сделал вроде бы все скрипты,которые вы сказали сделать. Папку карантин отправил.Прикладываю повторные логи.
Последний раз редактировалось mrak74; 20.01.2017 в 11:51.
Здравствуйте! Я отправлял Вам запрошенные Вами отчеты. Получили ли Вы их? Если нет, то дайте знать.
Только что их заметил.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Прошу см. вложение
- - - - -Добавлено - - - - -
Здравствуйте! Надеюсь Вы уже получили отчет C:\AdwCleaner\AdwCleaner[S0].txt. и у Вас есть время ответить мне,что следует делать дальше?
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
+
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Здравствуйте! Отчеты во вложении.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-156489693-2611561387-2043184047-1000\...\MountPoints2: {2ec1f7f6-d3f3-11e6-b3ad-00217075d389} - E:\setup.exe HKU\S-1-5-21-156489693-2611561387-2043184047-1000\...\MountPoints2: {56042155-b12b-11e6-a3e8-00217075d389} - E:\setup.exe HKU\S-1-5-21-156489693-2611561387-2043184047-1000\...\MountPoints2: {f55d4fd5-c383-11e6-b2f6-00217075d389} - E:\SISetup.exe GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy\User: Restriction ? <======= ATTENTION FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B543A663A-1DE5-416E-B96E-83A49B755FBB%7D&gp=811610 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-01-20] FF Extension: (Поиск@Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-01-20] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-20] FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-01-20] CHR DefaultSearchURL: Default -> hxxp://go-search.ru/search?q={searchTerms} CHR DefaultSearchKeyword: Default -> gosearch Task: {40789D99-04D8-490A-B8CE-A6809E46D669} - \ComDev -> No File <==== ATTENTION AlternateDataStreams: C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26] AlternateDataStreams: C:\Users\Admin\Documents:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26] AlternateDataStreams: C:\Users\Admin\Мои документы:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26] MSCONFIG\startupreg: mailruhomesearch => "C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred MSCONFIG\startupreg: Zaxar => EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
+ Прекратите хакать WiFi, удалите эту программу и Ваш компьютер скажет Вам спасибо. (по крайней мере одной ошибкой станет меньше в работе ПК)
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Добрый день! Отчет во вложении.
Что с проблемой ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
До сих пор открываются вкладки в гугл хром с вулканом и еще всякой рекламой
Только в хроме ? Сделайте новый комплект логов FRST.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Новый комплект логов FRST
- - - - -Добавлено - - - - -
Пользуюсь только хромом. Раньше открывался эксплоер самостоятельно, но теперь вроде нормально.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-156489693-2611561387-2043184047-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818407 SearchScopes: HKU\S-1-5-21-156489693-2611561387-2043184047-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BCF2BFD05-C21D-45DB-B496-40426601795E%7D&gp=811014 SearchScopes: HKU\S-1-5-21-156489693-2611561387-2043184047-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BCF2BFD05-C21D-45DB-B496-40426601795E%7D&gp=811014 BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Admin\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll => No File CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR Extension: (Скачать музыку и видео с VK!) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\adjbnnmnmbdmgohjopaebaaneclmihfm [2016-12-29] CHR Extension: (Скачать музыку с Вконтакте (vk.com)) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap [2016-11-12] CHR Extension: (Google*Документы офлайн) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-11-12] CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx Task: {35B1A0F9-A277-4814-AE62-4C925A19CAE8} - \fupdate -> No File <==== ATTENTION Task: {C6BA84AD-8007-4FF8-B729-15A3DE57990E} - \SearchGo Task -> No File <==== ATTENTION Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk -> C:\Users\Admin\AppData\Local\MediaGet2\mediaget-uninstaller.exe () <===== Cyrillic AlternateDataStreams: C:\Users\Admin\Documents:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26] AlternateDataStreams: C:\Users\Admin\Мои документы:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26] MSCONFIG\Services: Ghostery Storage Server => 2 MSCONFIG\startupreg: Zaxar => Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
После перезагрузки открыл хром вместе с нужной вкладкой,открылась самостоятельно новая вкладка, но просто "Без имени".
Подробности, скриншоты, комментарии.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Добрый день. Раньше открывался сам internet explorer, в хроме устанавливалась начальная страничка go.mail.ru и открывался поиск не гугл, а в майле.
Теперь все в порядке.
Осталось только то, что при открытии какой нибудь вкладки в хроме,дополнительно сама открывается вкладка с рекламой: Вулкан,Игровые автоматы.
Добрый день! Удалил хром и переустановил его. Кажется все в порядке. Спасибо Вам за помощь. Если что-то будет не так, то надеюсь Вы поможете мне. Всего доброго Вам.
Уважаемый(ая) Danil.Diamond, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
