Перейти к содержанию
Правила раздела

вредоносная программа Pbot блокирует все ссылки

tjubu1965

Автор tjubu1965
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

tjubu1965

tjubu1965

Опубликовано
Опубликовано (изменено)

Здравствуйте, проблема началась с того, что однажды не смогла зайти в свою почту Gmail.com. - компьютер зависал.  Остальные ссылки открывались нормально.  Установила лицензионную версию Тотал секьюрити Касперского. После этого начались проблемы при переходе по любой ссылке из писем, закладок. Переход блокируется. Появляется надпись каждый раз " заблокирован переход по вредоносной ссылке (программа Pbot )". Ссылка может открыться через 3-4 перезагрузки браузера, а может и не открыться совсем. Проверяла  в нескольких браузерах (хром, яндекс, эксплоер).   Результаты сканирования прилагаю.

CollectionLog-2016.12.18-14.38.zip

Изменено пользователем tjubu1965
mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\Тьюби\AppData\Roaming\PBot\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
 DeleteFile('C:\Users\Тьюби\AppData\Roaming\SafeWeb\python\pythonw.exe','32');
 DeleteFile('C:\Users\Тьюби\AppData\Roaming\SafeWeb\ml.py','32');
 DeleteFile('C:\Windows\system32\Tasks\SafeWeb','32');
 DeleteFile('C:\Users\Тьюби\AppData\Roaming\SafeWeb\updater.py','32');
 DeleteFile('C:\Windows\system32\Tasks\SafeWeb2','32');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O4 - User Startup: PBot.lnk    ->    C:\Users\Тьюби\AppData\Roaming\PBot\python\pythonw.exe
O4 - User Startup: SafeWeb.lnk    ->    C:\Users\Тьюби\AppData\Roaming\SafeWeb\python\pythonw.exe
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
tjubu1965

tjubu1965

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо за ответ. Все  сделала. Не совсем поняла, что делать с программой HiJackThis. Строк, которые Вы указали, не нашла в файле.    Жду, что делать дальше. Можно ли закрыть окно  программы adw cleaner?

AdwCleanerS0.txt

Изменено пользователем tjubu1965
mike 1

mike 1

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <======= ATTENTION
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Тьюби\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-12-06]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Тьюби\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-12-06]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Тьюби\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-06]
CHR Extension: (ProProfs Knowledgebase) - C:\Users\Тьюби\AppData\Local\Google\Chrome\User Data\Default\Extensions\gpjoanalgdngaknlhkelfcplamaendfk [2016-06-25]
CHR Extension: (Fast search) - C:\Users\Тьюби\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
CHR Extension: (Fast search) - C:\Users\Тьюби\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
OPR Extension: (No Name) - C:\Users\Тьюби\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
Task: {848D6472-9D50-42FE-9A29-7883CBA59D88} - \PBot -> No File <==== ATTENTION
Task: {94352771-329C-405E-AC0A-6C858A29533A} - \SafeWeb -> No File <==== ATTENTION
Task: {B3CE30F4-3621-4B69-94DB-1B8EB12F8FF9} - \PBot2 -> No File <==== ATTENTION
Task: {C2FD682C-0B9D-4EC1-804B-89BB07A7148D} - \SafeWeb2 -> No File <==== ATTENTION
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
tjubu1965

tjubu1965

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо,  больше не перенаправляет. Ни на хроме, ни на эксплоере. Только  в закладках эксплоера в разделе "часто посещаемые" после всех чисток осталась одна активная закладка на ютуб. Я ее закрыла просто. Михаил, нужно ли удалять программы, которыми сегодня пользовалась для проверки и файлы, которые созданы?

Изменено пользователем tjubu1965
mike 1

mike 1

Опубликовано
Опубликовано
  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме
tjubu1965

tjubu1965

Опубликовано
  • Автор
Опубликовано (изменено)

Почему то отправилось с опозданием и повтором. Повторы удалила.  Извините, спасибо за помощь.

Изменено пользователем tjubu1965

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • imperiose
      Нет доступа к сети у пользователей при работе сетевого экрана
      Автор imperiose
      Добрый день. В политике на KSC настроены правила на сетевом экране, самым последним размещается блокировка трафика, выше есть правила на доступ вх/исх трафик и в локальных адресах прописаны пулы адресов локальных сегментов.
      При включении пк, клиент не успевает получить адрес по dhcp, т.к сетевой экран блокирует все подключения.
      Подскажите, как избежать этого или какое правило нужно прописывать, что бы не блокировался весь трафик внутри сети еще до момента получения ip.

    • Klin08101977
      Блокировка интернета
      Автор Klin08101977
      Антивирус КАСПЕРСКОГО после обновления 18.09.2024 заблокировал весь доступ в Интернет
      Вход в интернет ТОЛЬКО после отключения Касперского
    • Алексей 1978
      Не блокируется приложение через политику - контроль приложений
      Автор Алексей 1978
      Здравствуйте.
       
      Стоит задача блокировки всех приложений, предоставляющих возможность управления извне через интернет, в частности, программа Anydesk. 
      Столкнулся с проблемой невозможности заблокировать запуск скачанного exe средствами контроля приложений в политике через Endpoint Security на предприятии.
       
      По инструкции - создаю категорию программ, или вручную, или из "Исполняемые файлы", критерий по сертификату, по имени файла, по описанию программы, перепробовал любые варианты. В политике - добавляю категорию, режим - список запрещённых, запретить всем пользователям. Жму применить и проверяю результат применения политики. Программа запускается. Принтскрин с настройками прилагаю.
       
      Я пробовал и другие exe, не Anydesk. То есть, механизм не работает в принципе. Раньше  всё-таки это работало несколько лет, с какого-то момента - блокировка снялась и программы стали запускаться. Проблема и на старых компьютерах и на свеженастроенных.  Может это как-то на типе лицензии завязано, подскажите, что можно сделать.
       
      Конфигурация: сервер KSC 14.1 (стоял 11 - специально обновил до 14.1) Клиент - Windows 11 23H2 (на Windows 7 тоже пропускает запуск), KES 12.4.0.467, агент администрирования KES 14.2.0.26967 

    • Komissar78rus
      Safe Kids при блокировке смартфона не даёт возможности звонить
      Автор Komissar78rus
      Здравствуйте!
       
      Подскажите в чём проблема? Не могу разобраться.
      При включении блокировки (по времени или вручную, не важно) смартфона Realme на Android у ребёнка перестают работать любые приложения, даже те, которые поставил в исключения. В результате ребёнок не может даже позвонить.
      Что делаю не так? Какие нужны дополнительные данные или скриншоты чтобы помочь решить этот вопрос?
       
      Заранее благодарю.
      С уважением, Дмитрий.
    • MotherBoard
      Не могу зайти на сайт
      Автор MotherBoard
      Добрый. Прошу проверить мой компьютер. В субботу или воскресенье отключилось электричество. Но когда  свет снова дали, я обратила внимание, что я как сотрудник  компании без ВПН на сайт попасть не могу.
      Итог: Без ВПН пашет все, кроме рабочего сайта.
      На ВПН лягает все, но рабочий сайт работает.
      Пинг и Трасерт  давала команды, они без ВПН тоже показали, что  ответа нет, спрос в одну сторону, как об стенку горох.
      Чистила КЭШ ДНС, в настройках подключения ставила ДНС от яндекса и гугла. В Роутере уже перезагрузила, ввела вместо автоматического ДНС  поставила сервера гугла.
      Я конечно сомневаюсь, чтобы был какой то вирус, что блочит сервизорию, но может  все таки хоть тут ответ какой найдется.
      CollectionLog-2023.05.31-12.23.zip
×
×
  • Создать...