Перейти к содержанию
Правила раздела

Вирус, работающий через pythonw.exe

ItzAMEGA

Автор ItzAMEGA
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ItzAMEGA Новичок

ItzAMEGA

Опубликовано
Опубликовано

Здравствуйте!

 

Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего. Список отчетов прикрепляю. Также пример отчета.

P.s. Если не отключать антивирус, консоль не появляется. Если отключить - появляется, но никакие ссылки не открываются, только консоль.

 

Заранее спасибо.

Screenshot_3.png

отчет.txt

Ссылка на комментарий
Поделиться на другие сайты
ItzAMEGA Новичок

ItzAMEGA

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего.

 

Заранее спасибо.

CollectionLog-2021.03.04-22.34.zip

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

 

1) Удалите остатки Аваст https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

2) 

Python 3.6.8 Core Interpreter (32-bit) [20210130]-->MsiExec.exe /I{6DBCDF5D-DEB5-4CFA-85B8-67D9D58673A1}
Python 3.6.8 Development Libraries (32-bit) [20210130]-->MsiExec.exe /I{5DBA5E56-654C-4608-A6C2-CCD52B01EACC}
Python 3.6.8 Executables (32-bit) [20210130]-->MsiExec.exe /I{B56829C6-1C25-469E-B351-1467C6295566}
Python 3.6.8 pip Bootstrap (32-bit) [20210130]-->MsiExec.exe /I{E5C0286F-B26B-4B97-8968-EB0543060635}
Python 3.6.8 Standard Library (32-bit) [20210130]-->MsiExec.exe /I{42E8F541-E6A9-42D4-9797-E45F709D56E9}
Python 3.6.8 Tcl/Tk Support (32-bit) [20210130]-->MsiExec.exe /I{D5085A39-DD67-400C-952C-9B72602243FF}
Python 3.6.8 Test Suite (32-bit) [20210130]-->MsiExec.exe /I{73407F01-D22B-429D-A7A4-C14966E2CE36}
Python 3.6.8 Utility Scripts (32-bit) [20210130]-->MsiExec.exe /I{C324D8B5-8824-4AA5-A574-2DF4FF4897DC}

Это всё ваше?

 

C:\Users\user\AppData\Local\config - эта папка надеюсь не ваша, скриптом её удаляю.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\user\AppData\Local\config', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Local\mrJWF\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\user\AppData\Local\config', '*', true);
 DeleteFileMask('C:\Users\user\AppData\Local\mrJWF\', '*', true);
 DeleteDirectory('C:\Users\user\AppData\Local\config');
 DeleteDirectory('C:\Users\user\AppData\Local\mrJWF\');
 DeleteSchedulerTask('HVFZBQ');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('MJNR');
 DeleteSchedulerTask('System config updates');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Соберите свежие логи Автологером.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Нина_Азарова
      Не работает интернет (WiFi и кабель). Касперский не видит вируса(
      Автор Нина_Азарова
      Здравствуйте дорогие хакеры!
       Помогите, пожалуйста, разобраться. Что делать?
       
      Сегодня с утра после включения компьютера перестал работать интернет (на телефоне и айпаде всё работает). 
      сделали сброс настроек интернета, ничего не изменилось. 
      далее сделали такую команду через командную строку:
      netsh winsock reset netsh int ip reset all netsh winhttp reset proxy ipconfig /flushdns
      однако так же ничего не изменилось(
      Помогите, пожалуйста!
       

    • m1pod
      Не работает поиск и пуск не могу решить.
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • dimon66rus
      Зашифровали файлы, ключ купили, не работает.
      Автор dimon66rus
      Ключ и пример файлов прилагаю, пожалуйста помогите.
      Файлы+ключ.zip
    • alexeywave
      Видеокарта работает на 70%
      Автор alexeywave
      Нагрузка на видеокарту в диспетчере ~60-70%, запущен только браузер, и несколько программ.

    • alexeywave
      Видеокарта работает на 70%
      Автор alexeywave
      Нагрузка на видеокарту в диспетчере ~60-70%, запущен только браузер, и несколько программ.
       
      CollectionLog-2025.03.15-14.39.zip
×
×
  • Создать...