Перейти к содержанию

вредоносная программа Pbot блокирует все ссылки


tjubu1965

Рекомендуемые сообщения

Здравствуйте, проблема началась с того, что однажды не смогла зайти в свою почту Gmail.com. - компьютер зависал.  Остальные ссылки открывались нормально.  Установила лицензионную версию Тотал секьюрити Касперского. После этого начались проблемы при переходе по любой ссылке из писем, закладок. Переход блокируется. Появляется надпись каждый раз " заблокирован переход по вредоносной ссылке (программа Pbot )". Ссылка может открыться через 3-4 перезагрузки браузера, а может и не открыться совсем. Проверяла  в нескольких браузерах (хром, яндекс, эксплоер).   Результаты сканирования прилагаю.

CollectionLog-2016.12.18-14.38.zip

Изменено пользователем tjubu1965
Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\Тьюби\AppData\Roaming\PBot\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
 DeleteFile('C:\Users\Тьюби\AppData\Roaming\SafeWeb\python\pythonw.exe','32');
 DeleteFile('C:\Users\Тьюби\AppData\Roaming\SafeWeb\ml.py','32');
 DeleteFile('C:\Windows\system32\Tasks\SafeWeb','32');
 DeleteFile('C:\Users\Тьюби\AppData\Roaming\SafeWeb\updater.py','32');
 DeleteFile('C:\Windows\system32\Tasks\SafeWeb2','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O4 - User Startup: PBot.lnk    ->    C:\Users\Тьюби\AppData\Roaming\PBot\python\pythonw.exe
O4 - User Startup: SafeWeb.lnk    ->    C:\Users\Тьюби\AppData\Roaming\SafeWeb\python\pythonw.exe
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Спасибо за ответ. Все  сделала. Не совсем поняла, что делать с программой HiJackThis. Строк, которые Вы указали, не нашла в файле.    Жду, что делать дальше. Можно ли закрыть окно  программы adw cleaner?

AdwCleanerS0.txt

Изменено пользователем tjubu1965
Ссылка на комментарий
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction ? <======= ATTENTION
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Тьюби\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-12-06]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\Тьюби\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-12-06]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Тьюби\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-06]
    CHR Extension: (ProProfs Knowledgebase) - C:\Users\Тьюби\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpjoanalgdngaknlhkelfcplamaendfk [2016-06-25]
    CHR Extension: (Fast search) - C:\Users\Тьюби\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
    CHR Extension: (Fast search) - C:\Users\Тьюби\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
    OPR Extension: (No Name) - C:\Users\Тьюби\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
    Task: {848D6472-9D50-42FE-9A29-7883CBA59D88} - \PBot -> No File <==== ATTENTION
    Task: {94352771-329C-405E-AC0A-6C858A29533A} - \SafeWeb -> No File <==== ATTENTION
    Task: {B3CE30F4-3621-4B69-94DB-1B8EB12F8FF9} - \PBot2 -> No File <==== ATTENTION
    Task: {C2FD682C-0B9D-4EC1-804B-89BB07A7148D} - \SafeWeb2 -> No File <==== ATTENTION
    EmptyTemp:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты

Спасибо,  больше не перенаправляет. Ни на хроме, ни на эксплоере. Только  в закладках эксплоера в разделе "часто посещаемые" после всех чисток осталась одна активная закладка на ютуб. Я ее закрыла просто. Михаил, нужно ли удалять программы, которыми сегодня пользовалась для проверки и файлы, которые созданы?

Изменено пользователем tjubu1965
Ссылка на комментарий
Поделиться на другие сайты

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме
Ссылка на комментарий
Поделиться на другие сайты

Почему то отправилось с опозданием и повтором. Повторы удалила.  Извините, спасибо за помощь.

Изменено пользователем tjubu1965
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • grammer91
      От grammer91
      Добрый день!
       
      Проблема в следующем: после запуска системы примерно через 30 секунд запускается и сразу закрывается Powershell, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Проверку на вирусы запускал дважды, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему, пожалуйста
      CollectionLog-2024.11.14-11.33.zip
    • hu553in
      От hu553in
      Проблема схожая с соседними темами.
      C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0 Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.
      Помогите пожалуйста.
      Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.
      DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt
    • Timur644
      От Timur644
      Добрый день.
      Последнее время антивирус Касперского - Kaspersky Endpoint Secutiry 12.1.0.506 (Windows 10 64bit Enterprice 22H2)
      стал блокировать программу, именно самой программе при звонках не слышно абсолютно ничего. Антивирус блокирует микрофон и динамики наушников (USB, Mini-jack 3.55mm)
       Тот раз открыл топик,  по всем шагам прошел не помог ничего.
      Прошу вас, помочь проблема серьезная, сейчас у часть пользователей антивирус выключенным стоит уже 7 дней около. 
      Support очень долго и неясно общим ответом отвечает.
      Скриншот из моего компьютера:
       
       

    • Камиль Махмутянов
      От Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • mksmith
      От mksmith
      Всем привет,
      Мне нужна помощь с проблемой вредоносного ПО которая постоянно появляется на моем компьютере Я заметил необычное поведение, например частые всплывающие окна и значительное замедление производительности. После сканированя Kaspersky было обнаружено несколько угроз но даже после выполнения предлагаемых шагов по их удалению проблемы сохраняются,
      Также я использовал Kaspersky Virus Removal Tool и выполнил полное сканирование системы, но я все еще вижу симптом заражения Я беспокоюсь о безопасноти своих данных и конфиденциальности, потому что мой браузер постоянно перенаправляет меня на неизвестные веб сайты.
      Может ли кто нибудь посоветовать мне, что еще мне следует сделать, чтобы избавиться от этого вредоносного ПО?? Есть ли какие-то конкретные инструменты или методы, которые вы рекомендуете для полной очистки??
      Кроме того, я нашел эти ресурсы, когда проводил исследование по этому вопросу https://forum.kasperskyclub.ru/rpa-Interview-questopic/464326-netmalwareurl/ и если у кого tо есть какие либо ресурсы, руководства или личный опыт, пожалуйста, поделитесь со мной, я буду очень признателен!!
       
      Спасибо

       
×
×
  • Создать...