[РЕШЕНО] Не известный вредный резидент (6 января 2021, Новосибирск)

[SQ]

Сообщите, что с проблемой?

[ArtyomYurakov]

После выполнения самого первого скрипта Резидент себя не проявляет явно, папки и файлы вида JKLXM.py больше не появляются.

Внутри АppData\local осталась только одна папка JTIVH и файл VWWFT.py (806кб) в ней, с датой 11.01.2021 7:05.

Изменено 13 января, 2021 пользователем ArtyomYurakov

[SQ]

12 часов назад, ArtyomYurakov сказал:

 

Внутри АppData\local осталась только одна папка JTIVH и файл VWWFT.py (806кб) в ней, с датой 11.01.2021 7:05.

Если они вам незнакомы, то можете удалить.

 

Завершающие шаги:
1.

    Пожалуйста, запустите adwcleaner.exe
    В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

2.

     Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[ArtyomYurakov]

1 minute ago, SQ said:

Если они вам незнакомы, то можете удалить.

Удалил. Перехожу к завершающим шагам. 

А сгенерированный после выполнения скрипта файл С:\Windows\SysWOW64\drivers\vdm5njc1.sys  - это какой-то блокировщик процесса? Его можно удалить?

[SQ]

14 minutes ago, ArtyomYurakov said:

А сгенерированный после выполнения скрипта файл С:\Windows\SysWOW64\drivers\vdm5njc1.sys  - это какой-то блокировщик процесса? Его можно удалить?

Это драйвер от AVZ.
 

Для исправления выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ. 

[ArtyomYurakov]

Ещё внутри AppData есть папка config которая содержит файл python.zip Создано 06.01.2021 , опять же в 4:05 (значит процесс создания связан с работой Резидента). Там же папка python изменённая 11.01.2021 9:38, но абсолютно все файлы внутри неё (python.exe, python36.dll, python3.dll, python36.zip, sqlite3.dll и т.п.) созданы 06.01.2021 в 4:05.

Изменено 13 января, 2021 пользователем ArtyomYurakov

[SQ]

5 minutes ago, ArtyomYurakov said:

Ещё внутри AppData есть папка config которая содержит файл python.zip Создано 06.01.2021 , опять же в 4:05. Там же папка python изменённая 11.01.2021 9:38, но абсолютно все файлы внутри неё (python.exe, python36.dll, python3.dll, python36.zip, sqlite3.dll и т.п.) созданы 06.01.2021 в 4:05.

Если она вам неизвестна то удалите ее и сообщите, если  проблема ее как-то проявляется?

[ArtyomYurakov]

1. Выполнил завершающие шаги 1, 2 включая удаление драйверов и ключей AVZ.

2. Просмотрел папку AppData, нашёл файл \Roaming\config\main_data.bin  6.01.2021 4:05. 179 байт. Отправил в корзину.

3. Смотрю осталась ли проблема.

 

SecurityCheck.txt

Изменено 13 января, 2021 пользователем ArtyomYurakov

[SQ]

 Просмотрите список рекомендации:

 

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17031 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB4578013 Внимание! Скачать обновления
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и устарел)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и устарел)
--------------------------- [ OtherUtilities ] ----------------------------
GPL Ghostscript v.9.52 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Python 3.6.8 (32-bit) v.3.6.8150.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.6.1 Внимание! Скачать обновления
Microsoft .NET Framework 1.1 v.1.1.4322 Данная программа больше не поддерживается разработчиком.
GPL Ghostscript Lite v.9.14.17.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-bit) v.5.90.0 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Zoom v.5.0 Внимание! Скачать обновления
Telegram Desktop version 2.4.3 v.2.4.3 Внимание! Скачать обновления
Skype, версия 8.58 v.8.58 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45842 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
iTunes v.12.10.10.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Codec Pack 15.4.4 Standard v.15.4.4 Внимание! Скачать обновления
 

[regist]

Python 3.6.8 - в итоге удалось удалить?

[ArtyomYurakov]

1 hour ago, regist said:

Python 3.6.8 - в итоге удалось удалить?

Вероятно только частично. Из Local вручную удалил папки Package Cache и pip, которые встречаются в логе деинсталлятора. После этого Windows согласился удалить Питон из списка установленных программ.

[regist]

1 час назад, ArtyomYurakov сказал:

Из Local вручную удалил папки Package Cache и pip, которые встречаются в логе деинсталлятора.

Напрасно, программы не стоит так удалять ибо потом остаются хвосты в реестре, которые могут приводить к сбоям в работе системы. Те папки с рандомным в названием в реестре (судя по логам) прописаны не были, поэтому их можно было просто удалить. А тут лучше было воспользоваться сторонней утилитой для принудительной деинсталяции.

1 час назад, ArtyomYurakov сказал:

После этого Windows согласился удалить Питон из списка установленных программ.

Как писал выше у вас не только Питон был, но и полный набор компонентов к нему, просто остальные были скрыты (не отображались вам). На всякий случай перепроверьте список установленных через менеджер деинсталяци Хиджак. Руководство по нему можете почитать здесь.

Через него можно увидеть и список установленных и удалить лишнеее из списка (ибо раз вы папки удалили остаётся только хоть частично в реестре мусор подчистить).

[ArtyomYurakov]

5 hours ago, regist said:

...А тут лучше было воспользоваться сторонней утилитой для принудительной деинсталяции.

А если восстановить те файлы из корзины, можно будет перезапустить удаление?

 

P.S. Сделал по другому: 

1. Восстановил из корзины удалённый ранее кэш. 

2. Переустановил ту же версию Питона поверх оставшихся его огрызков. 

3. Запустил деинсталляцию Питона через интерфейс Windows.

Изменено 13 января, 2021 пользователем ArtyomYurakov

[SQ]

В итоге проблема была решена?

[ArtyomYurakov]

6 hours ago, SQ said:

В итоге проблема была решена?

Да, проблему можно считать решённой. Спасибо!