Замучил pythonw.exe

[Жуля]

Добрый день. Появилась проблема, которую я уже давно пытаюсь решить, но никак не получается. обнаружилась данная проблема случайно. А именно, увидела подозрительные записи автозагрузке, которые вы сможете увидеть в логах исходя из названия в шапке. Проблема так же выражается в закачке с ненужного софта в виде игр, таких как WarThunder, Орден магов, World of Warships, Panzar Forged, Dragon Knight, Bless, Lineage 2, Travian, World of Tanks, Лига ангелов 2, меил ру игры и автообновление программ. Я бы сейчас зарубилась бы в линейку, но боюсь как бы меня опять не затянуло в эту яму. Проверяла систему  AVZ, CureiT и Kaspersky Free, вирусы находились и удалялись. Пыталась решать проблему по решениям из поиска, но увы результат сгорал уже на следующий день или два.

 

Буквально сегодня у меня стал плохо работать гугл хром. Выбил ошибку "запуск программы невозможен, так как на компьютере отсутствует chrome_elf.dll. Попробуйте переустановить программу." Проверять наличие библиотеки не стала, т.к. не было времени. Да и подозреваю, что проблемы взаимосвязаны и chrome.exe заражен.

 

Собсно, прошу о помощи в лечении моего барана. Заранее благодарю за помощь. Во имя харда, винды и святого модератора, Админ!

CollectionLog-2017.01.18-00.17.zip

Изменено 17 января, 2017 пользователем Жуля

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ (или через Revo) - удалите нежелательное ПО:

VOF 0.0.1

vofer

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Julia\AppData\Roaming\vofer\app.py','');
 QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
 QuarantineFile('C:\Users\Julia\AppData\Roaming\bestsalesprofit\python\pythonw.exe','');
 QuarantineFile('C:\Users\Julia\AppData\Roaming\bestsalesprofit\updater.py','');
 QuarantineFile('C:\Users\Julia\AppData\Roaming\ForceUpdateVOF\ml.py','');
 QuarantineFile('C:\Users\Julia\AppData\Roaming\VOF\ml.py','');
 QuarantineFile('C:\Users\Julia\AppData\Roaming\vofer\ml.py','');
 QuarantineFileF('c:\users\julia\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Julia\AppData\Local\Hostinstaller\1309080511_installcube.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "VCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VOF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "bestsalesprofit2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "vofer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "vofer2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFile('C:\Users\Julia\AppData\Roaming\vofer\ml.py','32');
 DeleteFile('C:\Users\Julia\AppData\Roaming\VOF\ml.py','32');
 DeleteFile('C:\Users\Julia\AppData\Roaming\ForceUpdateVOF\ml.py','32');
 DeleteFile('C:\Users\Julia\AppData\Roaming\bestsalesprofit\updater.py','32');
 DeleteFile('C:\Users\Julia\AppData\Roaming\bestsalesprofit\python\pythonw.exe','32');
 DeleteFile('C:\ProgramData\vCore\VCore.exe','32');
 DeleteFile('C:\Users\Julia\AppData\Roaming\vofer\app.py','32');
 DeleteFile('C:\Users\Julia\AppData\Local\Hostinstaller\1309080511_installcube.exe', '32');
 DeleteFileMask('c:\users\julia\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\julia\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vofer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VOF');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 18 января, 2017 пользователем Sandor

[Жуля]

KLAN-5671612411

в программе адвклинер после проведения сканирования, кнопку очистить я не стала нажимать.

AdwCleanerS0.txt

ClearLNK-18.01.2017_15-12.log

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Жуля]

прикрепила

Addition.txt

AdwCleanerC0.txt

Shortcut.txt

FRST.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-4068043679-1270163502-2818229378-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
FF Extension: (No Name) - C:\Users\Julia\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2016-12-25] [not signed]
FF Extension: (No Name) - C:\Users\Julia\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2016-12-25] [not signed]
FF Extension: (supermegabest) - C:\Users\Julia\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2016-03-23]
FF Extension: (No Name) - C:\Users\Julia\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2016-12-25] [not signed]
FF Extension: (No Name) - C:\Users\Julia\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2016-12-25] [not signed]
OPR Extension: (No Name) - C:\Users\Julia\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-08]
Task: {1640748C-C6BD-4C5B-9A84-97F5DD00610F} - System32\Tasks\ForceUpdateVOF2 => C:\Users\Julia\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe
Task: {B11722F9-277D-48EF-93CF-7688D5D29918} - System32\Tasks\ForceUpdateVOF => C:\Users\Julia\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Жуля]

прикрепила

Fixlog.txt

[Sandor]

Что с проблемой?

[Жуля]

Проблема вроде как исчезла. спасибо Вам большое. С наступившим Вас новым годом и рождеством) И да прибудет с Вами сила.

[Sandor]

Спасибо, взаимно!

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.