Вирусы vofer, Vof 0.0.1, процесс pythonw

[Элла Суховерхова]

Здравствуйте! Появилась проблема, которую я пытаюсь решить, но никак не получается. Стал плохо работать гугл хром, мозилла. Выдает ошибку "Windows не удается получить доступ к указанному устройству, пути или файлу. Возможно у вас нет нужных разрешений для доступа к этому объекту." В диспетчере появилось много процессов pythonw, которые ссылаются на папки с "программами" vofer и Vof 0.0.1. Антивирусник каждый раз после перезагрузки выдает угрозы, блокирует. При удалении из диспетчера vofer и Vof 0.0.1, процессы pythonw пропадают, но потом появляются После перезагрузки компьютера vofer, Vof 0.0.1 снова появлялись. Нашла похожую тему. 

Выполнила в AVZ восьмой стандартный скрипт (главное окно AVZ - Файл - Стандартные скрипты - 8. VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК - Выполнить отмеченные скрипты).

Загрузила архив virusinfo_auto_{name_PC}.zip из папки AVZ4/LOG через следующую форму, не забыв отметить пункт "Отправить отчет о сканировании на E-mail" и указать реальный адрес своей электронной почты.

Ссылки на результаты проверки онлайн-сервисом VirusDetector и обсуждение результатов проверки из полученного письма с темой "VirusDetector - обработка карантина завершена" после загрузки карантина прикладываю здесь.

 

https://virusinfo.in...1AB68D4E7588F2E

https://virusinfo.in...ad.php?t=210994

 

AdwCleanerS0.txt

[Mark D. Pearlstone]

Вы не прочитали и не выполнили то, на что я вам указал https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Элла Суховерхова]

Вы не прочитали и не выполнили то, на что я вам указал https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Все сделала, прикрепляю файл

CollectionLog-2017.04.08-14.49.zip

[regist]

Здравствуйте!

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('c:\users\элла\appdata\roaming\vofer', '*.exe, *.py, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Users\Элла\AppData\Roaming\vofer\python\pythonw.exe', '');
 QuarantineFile('C:\Users\Элла\AppData\Roaming\vofer\ml.py', '');
 DeleteFile('C:\Users\Элла\AppData\Roaming\vofer\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Элла\AppData\Roaming\vofer\ml.py', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFileMask('c:\users\элла\appdata\roaming\vofer', '*', true);
 DeleteDirectory('c:\users\элла\appdata\roaming\vofer');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vofer');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

3)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4)

McAfee Security Scan Plus [2017/03/31 17:35:37]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"
Служба автоматического обновления программ [2017/01/18 22:03:58]-->C:\Users\Элла\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

Советую деинсталировать.

Unity Web Player [2016/10/01 09:57:01]-->C:\Users\Элла\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser

Если сами не ставили, то тоже.

 

5)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

6) Расширения от Mail.ru Yandex используете ?

 

7)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Элла Суховерхова]

Ознакомиться с подробными результатами анализа можно по следующим ссылкам:

Результаты проверки онлайн-сервисом VirusDetector » 
Обсуждение результатов проверки » 

 

Re: Файл quarantine.zip из папки AVZ [KLAN-6077619657]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
From: 
Sent: 4/8/2017 7:39:00 PM
To: newvirus@kaspersky.com
Subject: Файл quarantine.zip из папки AVZ

 

Расширения от Mail.ru Yandex не использую.

 

Вроде бы все сделала, как Вы написали. Спасибо большое.

AdwCleanerS1.txt

[regist]

Пункт №5 не сделали. Жду.

 

+

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Элла Суховерхова]

5)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 

Я запустила Autologger. Извините...а по каким правилам?

CollectionLog-2017.04.08-21.10.zip

AdwCleanerS3.txt

[regist]

Извините...а по каким правилам?

По правилам раздела - правилам запроса о помощи.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('c:\users\элла\appdata\roaming\forceupdatevof', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\элла\appdata\roaming\istartsurf', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Users\Элла\AppData\Roaming\ForceUpdateVOF\updater.py', '');
 QuarantineFile('C:\Users\Элла\AppData\Roaming\istartsurf\UninstallManager.exe', '');
 DeleteFile('C:\Users\Элла\AppData\Roaming\ForceUpdateVOF\updater.py', '32');
 DeleteFile('C:\Users\Элла\AppData\Roaming\istartsurf\UninstallManager.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "ForceUpdateVOF2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F9FA3C3E-F72B-438E-94F1-0A99387B0197}" /F', 0, 15000, true);
 DeleteFileMask('c:\users\элла\appdata\roaming\forceupdatevof', '*', true);
 DeleteFileMask('c:\users\элла\appdata\roaming\istartsurf', '*', true);
 DeleteDirectory('c:\users\элла\appdata\roaming\forceupdatevof');
 DeleteDirectory('c:\users\элла\appdata\roaming\istartsurf');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

+ перечитайте внимательно написанное в посте №6 и сделайте.

Изменено 8 апреля, 2017 пользователем regist

[Элла Суховерхова]

Re: Файл quarantine.zip из папки AVZ [KLAN-6077869085]

 

 

Входящие

x

 

 

 

newvirus@kaspersky.com

22:02 (19 мин. назад)

 

кому: мне

 

 

 

 

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
localconfig.json
uninstall.exe
python.exe
fetch_macholib.bat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
From:
Sent: 4/8/2017 9:59:00 PM
To: newvirus@kaspersky.com
Subject: Файл quarantine.zip из папки AVZ

ClearLNK-08.04.2017_22-02.log

AdwCleanerC0.txt

[regist]

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

опять забыли.

 

+ Что с проблемой?
 

[Элла Суховерхова]

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

опять забыли.

 

+ Что с проблемой?

 

 

извините, запуталась))) 

браузеры запускаются, в автозагрузке не появляются вирусы

Re: [KLAN-6077988575]

 

 

Входящие

x

 

 

 

newvirus@kaspersky.com

23:02 (10 мин. назад)

 

кому: мне

 

 

 

 

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com"

 

--------------------------------------------------------------------------------

From: Элла Суховерхова <ellasuhoverhova@gmail.com>

Sent: 4/8/2017 11:00:00 PM

To: newvirus@kaspersky.com

Subject:

AdwCleanerC0.txt

CollectionLog-2017.04.08-23.07.zip

ClearLNK-08.04.2017_23-02.log

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

Что с проблемой?
 

[Элла Суховерхова]

 

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

 

Что с проблемой?

 

огромное Вам спасибо, мне кажется, что проблемы нет

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Элла Суховерхова]

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

 

 

Поиск критических уязвимостей

Обновление для системы безопасности Microsoft Office Word 2010

http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=37f75e69-8d92-4c5c-abc2-62374aefe596

 

Обнаружено уязвимостей: 1

скачала " Обновление безопасности для Microsoft Word 2010 (KB3115123) 32-разрядный выпуск"

результат - в системе не найдена ожидаемая версия продукта

скачала " Обновление безопасности для Microsoft Word 2010 (KB3115123) 64-разрядный выпуск"

результат - в системе не установлены продукты, к которым можно было бы применить этот пакет."