Вирус, работающий через pythonw.exe

[ItzAMEGA]

Здравствуйте!

 

Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего. Список отчетов прикрепляю. Также пример отчета.

P.s. Если не отключать антивирус, консоль не появляется. Если отключить - появляется, но никакие ссылки не открываются, только консоль.

 

Заранее спасибо.

отчет.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[ItzAMEGA]

Здравствуйте!

 

Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего.

 

Заранее спасибо.

CollectionLog-2021.03.04-22.34.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[regist]

Здравствуйте!

 

1) Удалите остатки Аваст https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

2)

Python 3.6.8 Core Interpreter (32-bit) [20210130]-->MsiExec.exe /I{6DBCDF5D-DEB5-4CFA-85B8-67D9D58673A1}
Python 3.6.8 Development Libraries (32-bit) [20210130]-->MsiExec.exe /I{5DBA5E56-654C-4608-A6C2-CCD52B01EACC}
Python 3.6.8 Executables (32-bit) [20210130]-->MsiExec.exe /I{B56829C6-1C25-469E-B351-1467C6295566}
Python 3.6.8 pip Bootstrap (32-bit) [20210130]-->MsiExec.exe /I{E5C0286F-B26B-4B97-8968-EB0543060635}
Python 3.6.8 Standard Library (32-bit) [20210130]-->MsiExec.exe /I{42E8F541-E6A9-42D4-9797-E45F709D56E9}
Python 3.6.8 Tcl/Tk Support (32-bit) [20210130]-->MsiExec.exe /I{D5085A39-DD67-400C-952C-9B72602243FF}
Python 3.6.8 Test Suite (32-bit) [20210130]-->MsiExec.exe /I{73407F01-D22B-429D-A7A4-C14966E2CE36}
Python 3.6.8 Utility Scripts (32-bit) [20210130]-->MsiExec.exe /I{C324D8B5-8824-4AA5-A574-2DF4FF4897DC}

Это всё ваше?

 

C:\Users\user\AppData\Local\config - эта папка надеюсь не ваша, скриптом её удаляю.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\user\AppData\Local\config', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Local\mrJWF\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\user\AppData\Local\config', '*', true);
 DeleteFileMask('C:\Users\user\AppData\Local\mrJWF\', '*', true);
 DeleteDirectory('C:\Users\user\AppData\Local\config');
 DeleteDirectory('C:\Users\user\AppData\Local\mrJWF\');
 DeleteSchedulerTask('HVFZBQ');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('MJNR');
 DeleteSchedulerTask('System config updates');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Соберите свежие логи Автологером.