Поймал вирус, который включает прокси

@akiton718 · Регистрация: 04.03.2021

Author24 — интернет-сервис помощи студентам

Добрый день! Поймал недавно на свой ноутбук вирус, который включил прокси на 127.0.0.1:8080. Думал, что получится своими силами побороть его, но к сожалению нет( Вот что я успел сделать:

1) Посмотрел процессы, которые прослушивают порт 8080, увидел, что это какой-то скрипт на питоне. Питона если что у меня не было установлено. Родитель у этого процессора был svchost.exe вроде как. Переместил папку со скриптами на рабочий стол.
Вот как запускался скрипт: "C:\Users\akiton\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\akiton\AppData\Local\mrJWF\cNJ.py eb26802f05338b891aac1142d451869e"
Папку со скриптом приложу.
Кстати, при остановке задачи питона, сразу запускалась новая.

2) В "Свойствах браузера" убрал галочку с использования прокси, вроде после этого заработал edge, до этого работал только Internet Explorer. Но, к сожалению, chrome так и не работает.

3) В HiJackThis пофиксил строку R1 ***** proxy 127.0.0.1:8080. Строку не смогу предоставить, только вот так.

4) В regedit в Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows очистил значение строки AppInit_DLLs.
Вот значение, которое там было: C:\WINDOWS\system32\DriverStore\FileRepository\nvpmi.inf_amd64_14da220f3c8d2e26\ nvinitx.dll
Вроде бы это что от NVIDIA, но я на всякий случай переместил файл на рабочий стол.

5) Попробовал воспользоваться Malwarebytes и Dr.Web CureIt, но результата никакого не было.

Действия выполнял не в том, порядке, в котором написал. К сожалению, не помню в каком порядке всё делал.

@Sandor · 05.03.2021, 15:02

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя akiton718. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Пофиксите в HijackThis следующие строчки:

Код

O2-32 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O22 - Task: PMYQKI - C:\Users\akiton\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\akiton\AppData\Local\mrJWF\cNJ.py eb26802f05338b891aac1142d451869e (file missing)
O22 - Task: System config updates - C:\Users\akiton\AppData\Local\config\python\pythonw.exe C:\Users\akiton\AppData\Local\config\updater.py
O22 - Task: YEPL - C:\Users\akiton\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\akiton\AppData\Local\mrJWF\cNJ.py tHTUVMs (file missing)

2. Перезагрузите компьютер. Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@akiton718 · 05.03.2021, 15:33 **[ТС]**

Всё сделал, вот логи:

@Sandor · 05.03.2021, 15:39

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3501361147-3837950331-620681742-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Edge HomePage: Default -> hxxps://mail.ru/cnt/10445?gp=812208
Python 3.6.8 Core Interpreter (32-bit) (HKLM-x32\...\{6DBCDF5D-DEB5-4CFA-85B8-67D9D58673A1}) (Version: 3.6.8150.0 - Python Software Foundation) Hidden
Python 3.6.8 Development Libraries (32-bit) (HKLM-x32\...\{5DBA5E56-654C-4608-A6C2-CCD52B01EACC}) (Version: 3.6.8150.0 - Python Software Foundation) Hidden
Python 3.6.8 Executables (32-bit) (HKLM-x32\...\{B56829C6-1C25-469E-B351-1467C6295566}) (Version: 3.6.8150.0 - Python Software Foundation) Hidden
Python 3.6.8 pip Bootstrap (32-bit) (HKLM-x32\...\{E5C0286F-B26B-4B97-8968-EB0543060635}) (Version: 3.6.8150.0 - Python Software Foundation) Hidden
Python 3.6.8 Standard Library (32-bit) (HKLM-x32\...\{42E8F541-E6A9-42D4-9797-E45F709D56E9}) (Version: 3.6.8150.0 - Python Software Foundation) Hidden
Python 3.6.8 Tcl/Tk Support (32-bit) (HKLM-x32\...\{D5085A39-DD67-400C-952C-9B72602243FF}) (Version: 3.6.8150.0 - Python Software Foundation) Hidden
Python 3.6.8 Test Suite (32-bit) (HKLM-x32\...\{73407F01-D22B-429D-A7A4-C14966E2CE36}) (Version: 3.6.8150.0 - Python Software Foundation) Hidden
Python 3.6.8 Utility Scripts (32-bit) (HKLM-x32\...\{C324D8B5-8824-4AA5-A574-2DF4FF4897DC}) (Version: 3.6.8150.0 - Python Software Foundation) Hidden
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\akiton\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\akiton\AppData\Roaming:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
BHO: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
BHO: Нет имени -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

В перечне установленных программ появятся 8 штук со словом Python в начале строки. Удалите все.

@akiton718 · 05.03.2021, 15:48 **[ТС]**

Подскажите, пожалуйста. Я сижe в безопасном режиме, работает ли в нем антивирус? У меня только Windows Defender.

@Sandor · 05.03.2021, 16:09

Нет, но скрипт можете выполнить из нормального режима (можно и из безопасного).

@akiton718 · 05.03.2021, 16:17 **[ТС]**

Всё сделал, лог прикрепляю. Удалил 6 из 8 питонов, но pip Bootstrap и Tcl/Tk support не могут удалиться: No installation was found. Мой косяк, я вроде удалил папку python где-то в AppData. Chrome заработал, но в него откуда то установились расширения поиск Яндекса, домашняя страница от mail.ru и визуальные закладки. Chrome до этого был абсолютно чистым, я его переустановил после того, как словил вирус.

@Sandor · 05.03.2021, 16:22

Сообщение от akiton718

не могут удалиться

Удалите принудительно через Geek Uninstaller

Сообщение от akiton718

установились расширения

Сделайте Сброс настроек браузера Chrome.

@akiton718 · 05.03.2021, 16:25 **[ТС]**

Всё работает, спасибо большое!

@Sandor · 05.03.2021, 16:26

Удалите исключение Защитника (и лучше установите антивирус, можно бесплатный).

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@akiton718 · 05.03.2021, 16:41 **[ТС]**

воть

@Sandor · 05.03.2021, 16:44

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (32-bit x86) v.7.6.6 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.1.4 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^

Читайте Рекомендации после удаления вредоносного ПО

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	05.03.2021, 15:02	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя akiton718. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Пофиксите в HijackThis следующие строчки: Код O2-32 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file) O22 - Task: PMYQKI - C:\Users\akiton\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\akiton\AppData\Local\mrJWF\cNJ.py eb26802f05338b891aac1142d451869e (file missing) O22 - Task: System config updates - C:\Users\akiton\AppData\Local\config\python\pythonw.exe C:\Users\akiton\AppData\Local\config\updater.py O22 - Task: YEPL - C:\Users\akiton\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\akiton\AppData\Local\mrJWF\cNJ.py tHTUVMs (file missing) 2. Перезагрузите компьютер. Затем: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@akiton718 0 / 0 / 0 Регистрация: 04.03.2021 Сообщений: 6
	05.03.2021, 15:48 [ТС]	5
	Подскажите, пожалуйста. Я сижe в безопасном режиме, работает ли в нем антивирус? У меня только Windows Defender. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	05.03.2021, 16:09	6
	Нет, но скрипт можете выполнить из нормального режима (можно и из безопасного). 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	05.03.2021, 16:22	8
	Сообщение от akiton718 не могут удалиться Удалите принудительно через Geek Uninstaller Сообщение от akiton718 установились расширения Сделайте Сброс настроек браузера Chrome. 0

@akiton718 0 / 0 / 0 Регистрация: 04.03.2021 Сообщений: 6
	05.03.2021, 16:25 [ТС]	9
	Всё работает, спасибо большое! 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	05.03.2021, 16:26	10
	Удалите исключение Защитника (и лучше установите антивирус, можно бесплатный). В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	05.03.2021, 16:44	12
	Сообщение было отмечено akiton718 как решение Решение --------------------------- [ OtherUtilities ] ---------------------------- Notepad++ (32-bit x86) v.7.6.6 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- uTorrent Web v.1.1.4 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Java ] --------------------------------- Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^ Читайте Рекомендации после удаления вредоносного ПО 1

Поймал вирус, который включает прокси

Решение