Перейти к содержанию
Правила раздела

Вирус, работающий через pythonw.exe

ItzAMEGA

От ItzAMEGA
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

ItzAMEGA Новичок

ItzAMEGA

Опубликовано
Опубликовано

Здравствуйте!

 

Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего. Список отчетов прикрепляю. Также пример отчета.

P.s. Если не отключать антивирус, консоль не появляется. Если отключить - появляется, но никакие ссылки не открываются, только консоль.

 

Заранее спасибо.

Screenshot_3.png

отчет.txt

Ссылка на комментарий
Поделиться на другие сайты
ItzAMEGA Новичок

ItzAMEGA

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего.

 

Заранее спасибо.

CollectionLog-2021.03.04-22.34.zip

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

 

1) Удалите остатки Аваст https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

2) 

Python 3.6.8 Core Interpreter (32-bit) [20210130]-->MsiExec.exe /I{6DBCDF5D-DEB5-4CFA-85B8-67D9D58673A1}
Python 3.6.8 Development Libraries (32-bit) [20210130]-->MsiExec.exe /I{5DBA5E56-654C-4608-A6C2-CCD52B01EACC}
Python 3.6.8 Executables (32-bit) [20210130]-->MsiExec.exe /I{B56829C6-1C25-469E-B351-1467C6295566}
Python 3.6.8 pip Bootstrap (32-bit) [20210130]-->MsiExec.exe /I{E5C0286F-B26B-4B97-8968-EB0543060635}
Python 3.6.8 Standard Library (32-bit) [20210130]-->MsiExec.exe /I{42E8F541-E6A9-42D4-9797-E45F709D56E9}
Python 3.6.8 Tcl/Tk Support (32-bit) [20210130]-->MsiExec.exe /I{D5085A39-DD67-400C-952C-9B72602243FF}
Python 3.6.8 Test Suite (32-bit) [20210130]-->MsiExec.exe /I{73407F01-D22B-429D-A7A4-C14966E2CE36}
Python 3.6.8 Utility Scripts (32-bit) [20210130]-->MsiExec.exe /I{C324D8B5-8824-4AA5-A574-2DF4FF4897DC}

Это всё ваше?

 

C:\Users\user\AppData\Local\config - эта папка надеюсь не ваша, скриптом её удаляю.

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\user\AppData\Local\config', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\AppData\Local\mrJWF\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Users\user\AppData\Local\config', '*', true);
 DeleteFileMask('C:\Users\user\AppData\Local\mrJWF\', '*', true);
 DeleteDirectory('C:\Users\user\AppData\Local\config');
 DeleteDirectory('C:\Users\user\AppData\Local\mrJWF\');
 DeleteSchedulerTask('HVFZBQ');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('MJNR');
 DeleteSchedulerTask('System config updates');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com

 

Соберите свежие логи Автологером.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • kudyukovn
      Не работает Defender
      От kudyukovn
      Добрый день. Как то я словил майнер (нашел его касперским), не смог его удалить касперским, сделал переустановку винды через восстановление. После чего у меня перестал работать Защитник Виндовс, иногда просто белый экран, а иногда пишет что страница не доступна. Так же вежливый хелпер Sandor помогал решить это проблемы и сказал вставить сюда ссылку с той темой - Вирус / Майнер - Страница 3 - Помощь в удалении вирусов - Kaspersky Club | Клуб «Лаборатории Касперского»

      Всех неравнодушных прошу о помощи наладить работу моего пк. Спасибо всем.
    • zerrods134
      Не работает центр обновления виндовс
      От zerrods134
      Не работает центр обновления виндовс,не могу обновить винду
    • Бебра
      Вирусы, некоторые программы перестали работать
      От Бебра
      Недавно некоторые программы перестали работать, Excel, WinRAR и браузеры. Прерываются с тем, что нет файлов в библиотеке DLL или выходит такая ошибка (Это окно не закрывается даже через диспетчер задач)
       
        Антивирус Windows постоянно жалуется на то что он устраняет угрозы, но в журнале ничего не отображается, защитник windows тормозит, так же жаловался на файл C:\Windows\System32\drivers\etc\hosts, ссылки с антивирусами не работают. Я запускал  Kaspersky Virus Removal Tool; и dr. web начал лечение файлов. 


      Также, когда компьютер постоянно шумит без какой либо нагрузки. Но стоит мне начать двигать мышкой или использовать клавиатуру, нагрузка на процессор снижается, и шум исчезает.
      CollectionLog-2024.08.12-12.33.zip
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • seregalazerniy
      Выбивает пользователей, которые работают в 1С через RDP
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
×
×
  • Создать...