[РЕШЕНО] Не известный вредный резидент (6 января 2021, Новосибирск)

13 января, 2021

Сообщите, что с проблемой?

13 января, 2021

После выполнения самого первого скрипта Резидент себя не проявляет явно, папки и файлы вида JKLXM.py больше не появляются.

Внутри АppData\local осталась только одна папка JTIVH и файл VWWFT.py (806кб) в ней, с датой 11.01.2021 7:05.

Изменено 13 января, 2021 пользователем ArtyomYurakov

13 января, 2021

12 часов назад, ArtyomYurakov сказал:

Внутри АppData\local осталась только одна папка JTIVH и файл VWWFT.py (806кб) в ней, с датой 11.01.2021 7:05.

Если они вам незнакомы, то можете удалить.

Завершающие шаги:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

13 января, 2021

1 minute ago, SQ said:

Если они вам незнакомы, то можете удалить.

Удалил. Перехожу к завершающим шагам.

А сгенерированный после выполнения скрипта файл С:\Windows\SysWOW64\drivers\vdm5njc1.sys - это какой-то блокировщик процесса? Его можно удалить?

13 января, 2021

14 minutes ago, ArtyomYurakov said:

А сгенерированный после выполнения скрипта файл С:\Windows\SysWOW64\drivers\vdm5njc1.sys - это какой-то блокировщик процесса? Его можно удалить?

Это драйвер от AVZ.

Для исправления выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

13 января, 2021

Ещё внутри AppData есть папка config которая содержит файл python.zip Создано 06.01.2021 , опять же в 4:05 (значит процесс создания связан с работой Резидента). Там же папка python изменённая 11.01.2021 9:38, но абсолютно все файлы внутри неё (python.exe, python36.dll, python3.dll, python36.zip, sqlite3.dll и т.п.) созданы 06.01.2021 в 4:05.

Изменено 13 января, 2021 пользователем ArtyomYurakov

13 января, 2021

5 minutes ago, ArtyomYurakov said:

Ещё внутри AppData есть папка config которая содержит файл python.zip Создано 06.01.2021 , опять же в 4:05. Там же папка python изменённая 11.01.2021 9:38, но абсолютно все файлы внутри неё (python.exe, python36.dll, python3.dll, python36.zip, sqlite3.dll и т.п.) созданы 06.01.2021 в 4:05.

Если она вам неизвестна то удалите ее и сообщите, если проблема ее как-то проявляется?

13 января, 2021

1. Выполнил завершающие шаги 1, 2 включая удаление драйверов и ключей AVZ.

2. Просмотрел папку AppData, нашёл файл \Roaming\config\main_data.bin 6.01.2021 4:05. 179 байт. Отправил в корзину.

3. Смотрю осталась ли проблема.

SecurityCheck.txt

Изменено 13 января, 2021 пользователем ArtyomYurakov

13 января, 2021

Просмотрите список рекомендации:

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17031 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB4578013 Внимание! Скачать обновления
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и устарел)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и устарел)
--------------------------- [ OtherUtilities ] ----------------------------
GPL Ghostscript v.9.52 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Python 3.6.8 (32-bit) v.3.6.8150.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.6.1 Внимание! Скачать обновления
Microsoft .NET Framework 1.1 v.1.1.4322 Данная программа больше не поддерживается разработчиком.
GPL Ghostscript Lite v.9.14.17.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-bit) v.5.90.0 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Zoom v.5.0 Внимание! Скачать обновления
Telegram Desktop version 2.4.3 v.2.4.3 Внимание! Скачать обновления
Skype, версия 8.58 v.8.58 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45842 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
iTunes v.12.10.10.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Codec Pack 15.4.4 Standard v.15.4.4 Внимание! Скачать обновления

13 января, 2021

Python 3.6.8 - в итоге удалось удалить?

13 января, 2021

1 hour ago, regist said:

Python 3.6.8 - в итоге удалось удалить?

Вероятно только частично. Из Local вручную удалил папки Package Cache и pip, которые встречаются в логе деинсталлятора. После этого Windows согласился удалить Питон из списка установленных программ.

13 января, 2021

1 час назад, ArtyomYurakov сказал:

Из Local вручную удалил папки Package Cache и pip, которые встречаются в логе деинсталлятора.

Напрасно, программы не стоит так удалять ибо потом остаются хвосты в реестре, которые могут приводить к сбоям в работе системы. Те папки с рандомным в названием в реестре (судя по логам) прописаны не были, поэтому их можно было просто удалить. А тут лучше было воспользоваться сторонней утилитой для принудительной деинсталяции.

1 час назад, ArtyomYurakov сказал:

После этого Windows согласился удалить Питон из списка установленных программ.

Как писал выше у вас не только Питон был, но и полный набор компонентов к нему, просто остальные были скрыты (не отображались вам). На всякий случай перепроверьте список установленных через менеджер деинсталяци Хиджак. Руководство по нему можете почитать здесь.

Через него можно увидеть и список установленных и удалить лишнеее из списка (ибо раз вы папки удалили остаётся только хоть частично в реестре мусор подчистить).

13 января, 2021

5 hours ago, regist said:

...А тут лучше было воспользоваться сторонней утилитой для принудительной деинсталяции.

А если восстановить те файлы из корзины, можно будет перезапустить удаление?

P.S. Сделал по другому:

1. Восстановил из корзины удалённый ранее кэш.

2. Переустановил ту же версию Питона поверх оставшихся его огрызков.

3. Запустил деинсталляцию Питона через интерфейс Windows.

Изменено 13 января, 2021 пользователем ArtyomYurakov

13 января, 2021

В итоге проблема была решена?

14 января, 2021

6 hours ago, SQ said:

В итоге проблема была решена?

Да, проблему можно считать решённой. Спасибо!

[РЕШЕНО] Не известный вредный резидент (6 января 2021, Новосибирск)

Рекомендуемые сообщения

SQ

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

SQ

Sandor

SQ

ArtyomYurakov

SQ

ArtyomYurakov

SQ

ArtyomYurakov

SQ

ArtyomYurakov

SQ

regist

ArtyomYurakov

regist

ArtyomYurakov

SQ

ArtyomYurakov

Похожий контент

SQ

Sandor

SQ

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum