Удаление вируса pythonw.exe

[ingener523]

Здравствуйте! Помогите удалить вирус pythonw.exe.

CollectionLog-2017.04.10-10.46.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\sasha\AppData\Roaming\Vofer2\IQmanager\app.py','');
 QuarantineFile('C:\Users\sasha\AppData\Roaming\bestsalesprofit\ml.py','');
 QuarantineFile('C:\Users\sasha\AppData\Roaming\Vofer2\ml.py','');
 QuarantineFile('C:\Users\sasha\AppData\Roaming\TeleWIKI\ml.py','');
 QuarantineFile('C:\Users\sasha\AppData\Roaming\Vofer2\IQmanager\ml.py','');
 QuarantineFile('C:\Users\sasha\AppData\Roaming\Vofer2\python\pythonw.exe','');
 QuarantineFile('C:\Windows\system32\eed_ec.dll','');
 TerminateProcessByName('c:\windows\microsoftu\csrss.exe');
 QuarantineFile('c:\windows\microsoftu\csrss.exe','');
 DeleteFile('c:\windows\microsoftu\csrss.exe','32');
 DeleteFile('C:\Users\sasha\AppData\Roaming\Vofer2\python\pythonw.exe','32');
 DeleteFile('C:\Users\sasha\AppData\Roaming\Vofer2\IQmanager\ml.py','32');
 DeleteFile('C:\Users\sasha\AppData\Roaming\Vofer2\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vofer2');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TeleWIKI');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQmanager');
 DeleteFile('C:\Windows\system32\Tasks\IQmanager','64');
 DeleteFile('C:\Users\sasha\AppData\Roaming\bestsalesprofit\ml.py','32');
 DeleteFile('C:\Windows\system32\Tasks\bestsalesprofit','64');
 DeleteFile('C:\Windows\system32\Tasks\IQmanager2','64');
 DeleteFile('C:\Users\sasha\AppData\Roaming\Vofer2\IQmanager\app.py','32');
 DeleteFile('C:\Windows\system32\Tasks\TeleWIKI','64');
 DeleteFile('C:\Users\sasha\AppData\Roaming\TeleWIKI\ml.py','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[ingener523]

[KLAN-6082391849]

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
eed_ec.dll

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

CollectionLog-2017.04.10-12.15.zip

Изменено 10 апреля, 2017 пользователем ingener523

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[ingener523]

Скан.

FRST_Addition.rar

[thyrex]

bestsalesprofit

TeleWIKI 0.0.1

удалите через Установку программ

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR Extension: (BestSalesProfit) - C:\Users\sasha\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\nfifbepiadlffiooandnambiojdgccdo [2017-03-23]
Task: {136DB05E-5700-45E2-BE0E-A083BA8450EC} - \Vofer2 -> No File <==== ATTENTION
Task: {16B8C277-5566-493D-B192-AFEEB68BA73A} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {22052269-C1EF-4D94-B743-4A3517A04AB9} - \bestsalesprofit2 -> No File <==== ATTENTION
Task: {305539E3-7361-4B21-9BB2-B3C138A3375E} - \IQmanager2 -> No File <==== ATTENTION
Task: {342112B4-2788-49C8-88BE-88F7E2FD9DAA} - \Vofer22 -> No File <==== ATTENTION
Task: {36ED68ED-D0F8-4DDA-B819-124DCC744094} - \klcp_update -> No File <==== ATTENTION
Task: {6A581E19-D476-4D49-BC09-481B7415EA3D} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {7508D814-1D43-4F7B-A09D-A0C151B4BFCE} - \TeleWIKI2 -> No File <==== ATTENTION
Task: {A94FF3A5-0613-4BEF-8176-BB61712DD509} - \TeleWIKI -> No File <==== ATTENTION
Task: {B5499CF7-70E6-47BE-A952-89BA99FDC8AB} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {C5F4DB5D-4676-4BC8-BEAE-F43F47BA12C6} - \bestsalesprofit -> No File <==== ATTENTION
Task: {CCB6505F-5B39-4AF4-B276-1E4CCB533155} - \IQmanager -> No File <==== ATTENTION
Task: {CD47C10A-564E-4888-B17F-5BC62A17E029} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {E95835F7-447A-460B-98E1-214B90AC69A7} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
Task: {FADD2F9D-4114-45EA-AE92-39EEEE74868C} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> No File <==== ATTENTION
CHR HKU\S-1-5-21-4014326693-1457939873-3547794708-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2017-04-10 08:27 - 2017-04-10 11:02 - 00000000 ____D C:\Users\sasha\AppData\Roaming\TeleWIKI
2017-04-10 08:26 - 2017-04-10 08:26 - 04585222 _____ C:\Users\sasha\AppData\Roaming\TeleWIKI.exe
2017-04-10 08:26 - 2017-04-10 08:26 - 00000040 _____ C:\Users\sasha\AppData\Roaming\WinJar.exe.sha1
2017-04-10 08:26 - 2017-04-10 08:26 - 00000040 _____ C:\Users\sasha\AppData\Roaming\TeleWIKI.exe.sha1
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[ingener523]

Проблема решена. Спасибо большое!

Fixlog.txt

Изменено 11 апреля, 2017 пользователем ingener523

[thyrex]

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

[ingener523]

SecurityCheck by glax24 & Severnyj v.1.4.0.47 [25.03.17]
WebSite: www.safezone.cc
DateLog: 12.04.2017 08:57:45
Path starting: C:\Users\sasha\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: sasha
VersionXML: 4.08is-11.04.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 01.07.2016 06:56:05
Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Opera x64\Opera.exe
Системный диск: C: ФС: [NTFS] Емкость: [113 Гб] Занято: [94.1 Гб] Свободно: [18.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18349 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.6029.1000
Microsoft Office 2010 x64 v.14.0.7015.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
360 Total Security (включен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и устарел)
360 Total Security (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
360 Total Security v.9.0.0.1138
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
FileZilla Client 3.19.0 v.3.19.0 Внимание! Скачать обновления
Foxit Reader v.7.0.8.1216 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
OpenOffice 4.1.2 v.4.12.9782 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Viber v.6.3.0.1532
Skype™ 7.34 v.7.34.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.0.0.10 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Служба Bonjour (Bonjour Service) - Служба работает
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 24 NPAPI v.24.0.0.194 Внимание! Скачать обновления
Adobe Flash Player 9 ActiveX v.9.0.16.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera 12.18 v.12.18.1873 [+]
Mozilla Firefox 52.0.2 (x86 ru) v.52.0.2
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.52.0.2.6291
------------------ [ AntivirusFirewallProcessServices ] -------------------
Защитник Windows (WinDefend) - Служба работает
360 Total Security (QHActiveDefense) - Служба работает
C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe v.9.0.0.1002
C:\Program Files (x86)\360\Total Security\safemon\QHWatchdog.exe v.8.2.0.1000
C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe v.9.0.0.1010
----------------------------- [ End of Log ] ------------------------------
 

[Sandor]

Исправьте и обновите указанное.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО