Перейти к содержанию

Вирус, работающий через pythonw.exe


Рекомендуемые сообщения

Здравствуйте!

 

Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего. Список отчетов прикрепляю. Также пример отчета.

P.s. Если не отключать антивирус, консоль не появляется. Если отключить - появляется, но никакие ссылки не открываются, только консоль.

 

Заранее спасибо.

Screenshot_3.png

отчет.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего.

 

Заранее спасибо.

CollectionLog-2021.03.04-22.34.zip

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

1) Удалите остатки Аваст https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

2)

Python 3.6.8 Core Interpreter (32-bit) [20210130]-->MsiExec.exe /I{6DBCDF5D-DEB5-4CFA-85B8-67D9D58673A1}
Python 3.6.8 Development Libraries (32-bit) [20210130]-->MsiExec.exe /I{5DBA5E56-654C-4608-A6C2-CCD52B01EACC}
Python 3.6.8 Executables (32-bit) [20210130]-->MsiExec.exe /I{B56829C6-1C25-469E-B351-1467C6295566}
Python 3.6.8 pip Bootstrap (32-bit) [20210130]-->MsiExec.exe /I{E5C0286F-B26B-4B97-8968-EB0543060635}
Python 3.6.8 Standard Library (32-bit) [20210130]-->MsiExec.exe /I{42E8F541-E6A9-42D4-9797-E45F709D56E9}
Python 3.6.8 Tcl/Tk Support (32-bit) [20210130]-->MsiExec.exe /I{D5085A39-DD67-400C-952C-9B72602243FF}
Python 3.6.8 Test Suite (32-bit) [20210130]-->MsiExec.exe /I{73407F01-D22B-429D-A7A4-C14966E2CE36}
Python 3.6.8 Utility Scripts (32-bit) [20210130]-->MsiExec.exe /I{C324D8B5-8824-4AA5-A574-2DF4FF4897DC}

Это всё ваше?

 

C:\Users\user\AppData\Local\config - эта папка надеюсь не ваша, скриптом её удаляю.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\user\AppData\Local\config', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Local\mrJWF\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\user\AppData\Local\config', '*', true);
 DeleteFileMask('C:\Users\user\AppData\Local\mrJWF\', '*', true);
 DeleteDirectory('C:\Users\user\AppData\Local\config');
 DeleteDirectory('C:\Users\user\AppData\Local\mrJWF\');
 DeleteSchedulerTask('HVFZBQ');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('MJNR');
 DeleteSchedulerTask('System config updates');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Соберите свежие логи Автологером.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alexeywave
      Автор alexeywave
      Нагрузка на видеокарту в диспетчере ~60-70%, запущен только браузер, и несколько программ.

    • alexeywave
      Автор alexeywave
      Нагрузка на видеокарту в диспетчере ~60-70%, запущен только браузер, и несколько программ.
       
      CollectionLog-2025.03.15-14.39.zip
    • alyx
      Автор alyx
      Здравcтвуйте, появилаcь проблема c Центром обновления Windows. На cколько давно я не знаю, оcобо не обращал внимания. При проверке обновлений начинаетcя беcконечная загрузка (1). Думаю это cвязанно c тем, что cлужба для обновления переименована (2). Читал информацию о иcправлении проблемы и cледовал по вcем пунктам для иcправления. Ничего не помогло.


    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • Dava
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
×
×
  • Создать...