Перейти к содержанию

ArtyomYurakov

Участники
  • Публикаций

    32
  • Зарегистрирован

  • Посещение

  • Победитель дней

    1

ArtyomYurakov стал победителем дня 15 апреля 2020

ArtyomYurakov имел наиболее популярный контент!

Репутация

1

Информация о ArtyomYurakov

  • Статус
    Постоялец

Информация

  • Пол
    Мужчина
  1. А если восстановить те файлы из корзины, можно будет перезапустить удаление? P.S. Сделал по другому: 1. Восстановил из корзины удалённый ранее кэш. 2. Переустановил ту же версию Питона поверх оставшихся его огрызков. 3. Запустил деинсталляцию Питона через интерфейс Windows.
  2. Вероятно только частично. Из Local вручную удалил папки Package Cache и pip, которые встречаются в логе деинсталлятора. После этого Windows согласился удалить Питон из списка установленных программ.
  3. 1. Выполнил завершающие шаги 1, 2 включая удаление драйверов и ключей AVZ. 2. Просмотрел папку AppData, нашёл файл \Roaming\config\main_data.bin 6.01.2021 4:05. 179 байт. Отправил в корзину. 3. Смотрю осталась ли проблема. SecurityCheck.txt
  4. Ещё внутри AppData есть папка config которая содержит файл python.zip Создано 06.01.2021 , опять же в 4:05 (значит процесс создания связан с работой Резидента). Там же папка python изменённая 11.01.2021 9:38, но абсолютно все файлы внутри неё (python.exe, python36.dll, python3.dll, python36.zip, sqlite3.dll и т.п.) созданы 06.01.2021 в 4:05.
  5. Удалил. Перехожу к завершающим шагам. А сгенерированный после выполнения скрипта файл С:\Windows\SysWOW64\drivers\vdm5njc1.sys - это какой-то блокировщик процесса? Его можно удалить?
  6. После выполнения самого первого скрипта Резидент себя не проявляет явно, папки и файлы вида JKLXM.py больше не появляются. Внутри АppData\local осталась только одна папка JTIVH и файл VWWFT.py (806кб) в ней, с датой 11.01.2021 7:05.
  7. 1.Выполнил FRST64.exe c указанным кодом. 2. Был создан архив 13.01.2021_07.47.31.zip. размером 22 байта. Его отправка через форму завершилась с сообщением: "Ошибка загрузки. Данный файл уже был загружен". Fixlog.txt
  8. 1.Выполнил FRST64.exe c указанными параметрами. 2. Python 3.6.8 (32-bit) я не устанавливал. В списке программ он есть, дата установки обозначена сегодняшняя 12.01.2021. Деинсталлировать его не получается - установщик выдаёт сообщение "No Python 3.6 installation was detected". Удалить Python из списка программ тоже не предлагается. На всякий случай прикрепляю отчёт деинсталлятора тоже. Fixlog.txt Python 3.6.8 (32-bit)_20210112191739.log.txt
  9. Запущено сканирование AutorunsVTChecker, выполнено сканирование uVS и FRST64.exe. AutorunsVTChecker всё проверил. STUDIOZERO_2021-01-12_14-33-52_v4.11.3.7z FRST.txt Addition.txt
  10. Да. Python - это язык программирования, популярный при создании open source проектов. Практически сразу после появления проблемы (6 января) я закрыл подозрительные процессы через Диспетчер задач и выполнил через Windows поиск новых файлов. Была найдена свежая папка похожая на AppData\Local\Programs\Python\Python36-32\ которую я удалил, не долго думая. Потом через AutoRuns выяснилось, что Питон прописался и в автозагрузку. Удалил ссылку. На папки вида AppData\Local\TKKIV тогда особого внимания не обратил, их было одна - две. Сейчас их стало намного больше и у каждой время создания Х часов 05 ми
  11. Здравствуйте! Все инструкции выполнены. Примечание: после перезагрузки KAV обнаружил файл С:\Windows\SysWOW64\drivers\vdm5njc1.sys Класс: Riskware AdwCleaner[S00].txt
  12. Поведение: Ежечасно, в одну и ту же минуту запускает командную строку Windows. В открывающемся на мгновение окне иногда удаётся прочитать вызов файла: wbem.exe. Сделанные ранее вызовы запоминает, то есть не запускается дважды для одного и того же времени по системным часам. Прочая информация: Угнездился на двух компьютерах через копирование файлов (которые в последствии были заподозрены пользователем как вирусоносные и удалены). Заражённые компьютеры между собой по сети не связаны. Уже почти неделю на обоих системах стоит пробная версия Kaspersky Internet Security и вирусов не види
×
×
  • Создать...