Вирус

[Григорий Реев]

Скачал программу для востановления даных, в итоге имю постоянно дело с ЯНДЕКСом и Mail в браузере, выбрасывает переодически на нttp://2netvl.ru/obsorm
Avast выдает 21 угрозу без остановки, вот на один из этих файлов pythonw.exe. Могу сделать скриншоты.

[Info_bot]

Уважаемый(ая) Григорий Реев, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Гриша\AppData\Roaming\PBot\app.py','');
 QuarantineFile('C:\Users\Гриша\AppData\Local\fupdate\fupdate.exe','');
 QuarantineFile('C:\Users\Гриша\AppData\Roaming\PBot\ml.py','');
 DeleteFile('C:\Users\Гриша\AppData\Roaming\PBot\ml.py','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1579012293-4019522716-3833979834-1003\Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 DeleteFile('C:\Users\Гриша\AppData\Local\fupdate\fupdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\fupdate','64');
 DeleteFile('C:\Windows\system32\Tasks\PBot','64');
 DeleteFile('C:\Windows\system32\Tasks\PBot2','64');
 DeleteFile('C:\Users\Гриша\AppData\Roaming\PBot\app.py','32');
 DeleteFile('C:\Windows\system32\Tasks\{CC430714-6FA2-4319-9EB1-5214AC629B6A}','64');
 DeleteFile('C:\Users\1\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZJYRKBJX\amigo_setup[1].exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Григорий Реев]

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

Переустановил Google Chrome но всё равно с интервалом выбрасывает на страницу КАЗИНО http://2netvl.ru/obsorm или https://landingsadverts.xyz/leon/sto...c5d04081293630

[Григорий Реев]

Здравствуйте! Будет продолжение или это уже всё ?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Григорий Реев]

заархивировал (в один архив) и прикрепл к сообщению

[Григорий Реев]

Движуха будет ?

[Григорий Реев]

Здравствуйте! можно узнать что дальше будет ?

[Григорий Реев]

ДОБРОГО ДНЯ ВАМ! Дайте ответ пожалуйста

[thyrex]

ATTENTION: The user is not administrator

Переделывайте, дав учетной записи права администратора

[Григорий Реев]

Переделал

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
Toolbar: HKU\S-1-5-21-1579012293-4019522716-3833979834-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-1579012293-4019522716-3833979834-1000 -> No Name - {F41A56D2-7B52-4D16-812C-A63C6CA9D4C5} -  No File
Toolbar: HKU\S-1-5-21-1579012293-4019522716-3833979834-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-1579012293-4019522716-3833979834-1003 -> No Name - {F41A56D2-7B52-4D16-812C-A63C6CA9D4C5} -  No File
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1579012293-4019522716-3833979834-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1579012293-4019522716-3833979834-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1579012293-4019522716-3833979834-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1579012293-4019522716-3833979834-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
2017-01-27 16:15 - 2017-01-29 00:03 - 00000000 ____D C:\Users\Гриша\AppData\Roaming\PBot
2017-01-27 16:13 - 2017-01-27 17:22 - 00000000 ____D C:\Users\Гриша\AppData\Local\syslog
2016-12-22 22:49 - 2016-12-22 22:49 - 3036376 _____ () C:\Users\1\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
2017-01-30 17:45 - 2017-01-30 17:45 - 3039448 _____ () C:\Users\1\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
2017-01-30 17:46 - 2017-01-30 17:46 - 1310700 _____ () C:\Users\1\AppData\Local\Temp\hcv_mailruhomesearch (3).exe
2016-12-22 22:47 - 2016-12-22 22:47 - 3036376 _____ () C:\Users\1\AppData\Local\Temp\hcv_mailruhomesearch.exe
2016-12-17 19:15 - 2016-12-17 19:14 - 0024576 _____ (BackWeb) C:\Users\1\AppData\Local\Temp\IadHide4.dll
2016-12-22 22:49 - 2016-12-22 22:49 - 0026112 _____ (Ubar Plugin Soft) C:\Users\1\AppData\Local\Temp\icb1634.exe
2016-12-15 09:06 - 2016-12-15 09:06 - 2458672 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\1\AppData\Local\Temp\libeay32.dll
2016-12-22 22:49 - 2016-12-22 22:49 - 3036376 _____ () C:\Users\1\AppData\Local\Temp\mailruhomesearch.exe
2016-12-22 22:47 - 2017-01-18 20:41 - 4167384 _____ (Mail.Ru) C:\Users\1\AppData\Local\Temp\MailRuUpdater.exe
2016-12-22 22:49 - 2016-12-22 22:49 - 0061572 _____ () C:\Users\1\AppData\Local\Temp\MMIns.exe
2016-09-02 14:54 - 2016-09-23 12:11 - 4157656 _____ (Mail.Ru) C:\Users\1\AppData\Local\Temp\mrutmp.exe
HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\Software\Classes\exefile:  <===== ATTENTION
HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\Software\Classes\.exe:  =>  <===== ATTENTION
HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\Software\Classes\scrfile:  <===== ATTENTION
HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\Software\Classes\.scr:  =>  <===== ATTENTION
HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\Software\Classes\comfile:  <===== ATTENTION
HKU\S-1-5-21-1579012293-4019522716-3833979834-1003\Software\Classes\.com:  =>  <===== ATTENTION
AlternateDataStreams: C:\Users\1\Desktop\ACDSeePro-5.0.110V3.exe:KAVICHS [74]
FirewallRules: [{A87BBB93-6636-4F15-A9DE-FDC89C8ABE44}] => C:\Program Files\UBar\ubar.exe
C:\Program Files\UBar
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Григорий Реев]

Прикрепил

[thyrex]

Что с проблемой?

[Григорий Реев]

Её нету. благодарю