Не открываются браузеры, ESS-9 беспрерывно удаляет из памяти pythonw.exe, ругаясь, что это Win32/Adware.PBot.A.
В процессе лечения ESS-9 было найдено множество вирусов, все они пролечены, но результата это не дало.
Свежая версия MBAM ничего не нашла.
Прошу помощи.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Alex_VG, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\users\1\appdata\roaming\setupsk\python\pythonw.exe'); TerminateProcessByName('c:\users\1\appdata\roaming\aswast\python\pythonw.exe'); QuarantineFile('c:\users\1\appdata\roaming\setupsk\python\pythonw.exe', ''); QuarantineFile('c:\users\1\appdata\roaming\aswast\python\pythonw.exe', ''); QuarantineFile('C:\Users\1\AppData\Roaming\setupsk\ml.py', ''); QuarantineFile('C:\Users\1\AppData\Roaming\aswast\ml.py', ''); QuarantineFile('C:\Windows\System32\ihctrl32.dll', ''); QuarantineFile('C:\Windows\System32\wsaudio.dll', ''); QuarantineFile('C:\Users\1\AppData\Roaming\aswast\app.py', ''); QuarantineFile('C:\Users\1\AppData\Local\FileSystemDriver\FileSystemDriver.exe', ''); QuarantineFile('C:\Users\1\AppData\Local\fupdate\fupdate.exe', ''); QuarantineFile('C:\Users\1\AppData\Local\SearchGo\searchgo.exe', ''); QuarantineFile('C:\Users\1\AppData\Roaming\setupsk\app.py', ''); DeleteFile('c:\users\1\appdata\roaming\setupsk\python\pythonw.exe', '32'); DeleteFile('c:\users\1\appdata\roaming\aswast\python\pythonw.exe', '32'); DeleteFile('C:\Users\1\AppData\Roaming\setupsk\ml.py', '32'); DeleteFile('C:\Users\1\AppData\Roaming\aswast\ml.py', '32'); DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ultimate-Discounter Browser.lnk', '32'); DeleteFile('C:\Windows\System32\ihctrl32.dll', '32'); DeleteFile('C:\Windows\System32\wsaudio.dll', '32'); DeleteFile('C:\Users\1\AppData\Roaming\aswast\app.py', '32'); DeleteFile('C:\Users\1\AppData\Local\FileSystemDriver\FileSystemDriver.exe', '32'); DeleteFile('C:\Users\1\AppData\Local\fupdate\fupdate.exe', '32'); DeleteFile('C:\Users\1\AppData\Local\SearchGo\searchgo.exe', '32'); DeleteFile('C:\Users\1\AppData\Roaming\setupsk\app.py', '32'); DeleteFileMask('c:\users\1\appdata\roaming\setupsk', '*', true); DeleteFileMask('c:\users\1\appdata\roaming\aswast', '*', true); DeleteFileMask('c:\users\1\appdata\local\filesystemdriver', '*', true); DeleteFileMask('c:\users\1\appdata\local\fupdate', '*', true); DeleteFileMask('c:\users\1\appdata\local\searchgo', '*', true); DeleteDirectory('c:\users\1\appdata\roaming\setupsk'); DeleteDirectory('c:\users\1\appdata\roaming\aswast'); DeleteDirectory('c:\users\1\appdata\local\filesystemdriver'); DeleteDirectory('c:\users\1\appdata\local\fupdate'); DeleteDirectory('c:\users\1\appdata\local\searchgo'); ExecuteFile('schtasks.exe', '/delete /TN "aswast" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "krutonewsorgplosicsm" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "aswast2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "FileSystemDriver" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "setupsk" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "setupsk2" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'setupsk'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aswast'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Последний раз редактировалось Vvvyg; 19.03.2017 в 10:10.
WBR,
Vadim
Ok, отправил.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Сделано.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKU\S-1-5-21-345578308-2723077383-4259425922-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811036 SearchScopes: HKU\S-1-5-21-345578308-2723077383-4259425922-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BBC51A01D-2F3A-498B-8BEA-4E13D43C0256%7D&gp=811037 SearchScopes: HKU\S-1-5-21-345578308-2723077383-4259425922-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BBC51A01D-2F3A-498B-8BEA-4E13D43C0256%7D&gp=811037 BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\1\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-03-03] (Mail.Ru) FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811040 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BE180DB73-7D35-4052-93CD-048CFC2ADA7F%7D&gp=811041 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-03-03] FF Extension: (Поиск@Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-03-03] CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811040","hxxp://www.yandex.ru/" CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B260235A4-9B70-4E3D-AE8B-3ECF2668F436%7D&gp=811041 CHR DefaultSearchKeyword: Default -> mail.ru_ CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2017-03-03] CHR Extension: (Ultimate Discounter) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2017-03-17] CHR Extension: (Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp [2017-01-30] CHR Extension: (The Safe Surfing) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2017-03-14] CHR Extension: (Convenient TTest) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbnbblpcickpemfcgmeejknhhohkbbdb [2017-03-03] CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2017-03-03] CHR Extension: (uPromonator) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgjjlglfnamkhfidnchomgjkjnjhlofo [2017-03-03] CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2016-11-07] CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-345578308-2723077383-4259425922-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gojnmemgacliifihcagijaadgpeioooa] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-345578308-2723077383-4259425922-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-345578308-2723077383-4259425922-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx OPR Extension: (The Safe Surfing) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2017-03-14] OPR Extension: (Convenient TTest) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\lbnbblpcickpemfcgmeejknhhohkbbdb [2017-03-03] OPR Extension: (uPromonator) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgjjlglfnamkhfidnchomgjkjnjhlofo [2017-03-03] S4 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.4.127.0 [X] 2017-03-14 12:52 - 2017-03-14 12:52 - 00000000 ____D C:\Users\1\AppData\Local\uCozMedia 2017-03-14 12:52 - 2017-03-14 12:52 - 00000000 ____D C:\Users\1\AppData\Local\Torch 2017-03-14 12:52 - 2017-03-14 12:52 - 00000000 ____D C:\Users\1\AppData\Local\PlayFree Browser 2017-03-14 12:52 - 2017-03-14 12:52 - 00000000 ____D C:\Users\1\AppData\Local\Orbitum 2017-03-14 12:52 - 2017-03-14 12:52 - 00000000 ____D C:\Users\1\AppData\Local\MapleStudio 2017-03-14 12:52 - 2017-03-14 12:52 - 00000000 ____D C:\Users\1\AppData\Local\Kometa 2017-03-14 12:52 - 2017-03-14 12:52 - 00000000 ____D C:\Users\1\AppData\Local\Crossbrowse 2017-03-14 12:52 - 2017-03-14 12:52 - 00000000 ____D C:\Users\1\AppData\Local\Comodo 2017-03-14 12:52 - 2017-03-14 12:52 - 00000000 ____D C:\Users\1\AppData\Local\Bromium 2017-03-03 13:20 - 2017-03-03 13:20 - 00000000 ____D C:\Users\1\AppData\Local\Вoйти в Интeрнет 2017-03-03 13:17 - 2017-03-17 08:38 - 00000000 ____D C:\Users\1\AppData\LocalLow\SearchGo 2017-03-03 13:15 - 2017-03-03 13:15 - 00000000 ____D C:\Users\1\AppData\Local\Поиcк в Интeрнете 2017-03-03 12:52 - 2017-03-17 08:48 - 00000000 ____D C:\Program Files\Ultimate-Discounter Browser 2017-03-03 12:48 - 2017-03-03 12:51 - 00000187 _____ C:\Users\1\Desktop\Искать в Интернете.url Reg: reg delete "HKU\S-1-5-21-345578308-2723077383-4259425922-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\aswast" /f Reg: reg delete "HKU\S-1-5-21-345578308-2723077383-4259425922-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\setupsk" /f Reg: reg delete "HKU\S-1-5-21-345578308-2723077383-4259425922-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\TablacusApp" /f Reg: reg delete "HKU\S-1-5-21-345578308-2723077383-4259425922-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ultimate-Discounter Browser" /f EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемами.
WBR,
Vadim
Похоже, что проблемы ушли. Понаблюдаю. Спасибо огромное!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 22
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Alex_VG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
