0 / 0 / 0
Регистрация: 04.03.2021
Сообщений: 6
|
|
1 | |
Поймал вирус, который включает прокси05.03.2021, 14:44. Показов 4751. Ответов 11
Метки нет (Все метки)
Добрый день! Поймал недавно на свой ноутбук вирус, который включил прокси на 127.0.0.1:8080. Думал, что получится своими силами побороть его, но к сожалению нет( Вот что я успел сделать:
1) Посмотрел процессы, которые прослушивают порт 8080, увидел, что это какой-то скрипт на питоне. Питона если что у меня не было установлено. Родитель у этого процессора был svchost.exe вроде как. Переместил папку со скриптами на рабочий стол. Вот как запускался скрипт: "C:\Users\akiton\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\akiton\AppData\Local\mrJWF\cNJ.py eb26802f05338b891aac1142d451869e" Папку со скриптом приложу. Кстати, при остановке задачи питона, сразу запускалась новая. 2) В "Свойствах браузера" убрал галочку с использования прокси, вроде после этого заработал edge, до этого работал только Internet Explorer. Но, к сожалению, chrome так и не работает. 3) В HiJackThis пофиксил строку R1 ***** proxy 127.0.0.1:8080. Строку не смогу предоставить, только вот так. 4) В regedit в Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows очистил значение строки AppInit_DLLs. Вот значение, которое там было: C:\WINDOWS\system32\DriverStore\FileRepository\nvpmi.inf_amd64_14da220f3c8d2e26\ nvinitx.dll Вроде бы это что от NVIDIA, но я на всякий случай переместил файл на рабочий стол. 5) Попробовал воспользоваться Malwarebytes и Dr.Web CureIt, но результата никакого не было. Действия выполнял не в том, порядке, в котором написал. К сожалению, не помню в каком порядке всё делал.
0
|
05.03.2021, 14:44 | |
Ответы с готовыми решениями:
11
Поймал вирус, который сам устанавливает утилиты Поймал вирус, который автоматически устанавливает программы Вирус который делает рекламу в браузере и включает какие-то процессы Поймал вирус который что то меняет в ярлыках браузера |
21563 / 15513 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
05.03.2021, 15:02 | 2 |
Здравствуйте!
Внимание! Рекомендации написаны специально для пользователя akiton718. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Пофиксите в HijackThis следующие строчки: Код
O2-32 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file) O22 - Task: PMYQKI - C:\Users\akiton\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\akiton\AppData\Local\mrJWF\cNJ.py eb26802f05338b891aac1142d451869e (file missing) O22 - Task: System config updates - C:\Users\akiton\AppData\Local\config\python\pythonw.exe C:\Users\akiton\AppData\Local\config\updater.py O22 - Task: YEPL - C:\Users\akiton\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\akiton\AppData\Local\mrJWF\cNJ.py tHTUVMs (file missing) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве.
1
|
0 / 0 / 0
Регистрация: 04.03.2021
Сообщений: 6
|
|
05.03.2021, 15:33 [ТС] | 3 |
Всё сделал, вот логи:
0
|
21563 / 15513 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
05.03.2021, 15:39 | 4 |
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
В перечне установленных программ появятся 8 штук со словом Python в начале строки. Удалите все.
0
|
0 / 0 / 0
Регистрация: 04.03.2021
Сообщений: 6
|
|
05.03.2021, 15:48 [ТС] | 5 |
Подскажите, пожалуйста. Я сижe в безопасном режиме, работает ли в нем антивирус? У меня только Windows Defender.
0
|
21563 / 15513 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
05.03.2021, 16:09 | 6 |
Нет, но скрипт можете выполнить из нормального режима (можно и из безопасного).
0
|
0 / 0 / 0
Регистрация: 04.03.2021
Сообщений: 6
|
|
05.03.2021, 16:17 [ТС] | 7 |
Всё сделал, лог прикрепляю. Удалил 6 из 8 питонов, но pip Bootstrap и Tcl/Tk support не могут удалиться: No installation was found. Мой косяк, я вроде удалил папку python где-то в AppData. Chrome заработал, но в него откуда то установились расширения поиск Яндекса, домашняя страница от mail.ru и визуальные закладки. Chrome до этого был абсолютно чистым, я его переустановил после того, как словил вирус.
0
|
21563 / 15513 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
05.03.2021, 16:22 | 8 |
0
|
0 / 0 / 0
Регистрация: 04.03.2021
Сообщений: 6
|
|
05.03.2021, 16:25 [ТС] | 9 |
Всё работает, спасибо большое!
0
|
21563 / 15513 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
05.03.2021, 16:26 | 10 |
Удалите исключение Защитника (и лучше установите антивирус, можно бесплатный).
В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.
1
|
0 / 0 / 0
Регистрация: 04.03.2021
Сообщений: 6
|
|
05.03.2021, 16:41 [ТС] | 11 |
воть
0
|
21563 / 15513 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
05.03.2021, 16:44 | 12 |
Сообщение было отмечено akiton718 как решение
Решение
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (32-bit x86) v.7.6.6 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- uTorrent Web v.1.1.4 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Java ] --------------------------------- Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^ Читайте Рекомендации после удаления вредоносного ПО
1
|
05.03.2021, 16:44 | |
05.03.2021, 16:44 | |
Помогаю со студенческими работами здесь
12
поймал вирус, который грузит процесс svchost.exe на 100% Поймал вирус, который постоянно перенаправляет на go.mail и реклама казино выпадает Поймал вирус Поймал вирус Поймал вирус Поймал вирус Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |