Решена Неизвестные процессы на ноутбуке

Статус
В этой теме нельзя размещать новые ответы.

Шевченко Иван

Постоянный участник
Сообщения
116
Реакции
0
Глючит и тормозит ноутбук. какие то не понятные процессы на ноутбуке.
 

Вложения

  • log.txt
    24.7 KB · Просмотры: 5
  • info.txt
    14.8 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    23.1 KB · Просмотры: 0
  • virusinfo_syscure.zip
    24.9 KB · Просмотры: 3
Вечером смогу поглядеть, если не ответят - ждите
 
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\docume~1\veronika\locals~1\temp\x30811.exe');
 TerminateProcessByName('c:\documents and settings\veronika\application data\fgnsnx.exe');
 QuarantineFile('C:\Program Files\Common Files\System\taskmger.exe','');
 QuarantineFile('c:\docume~1\veronika\locals~1\temp\x30811.exe','');
 QuarantineFile('c:\documents and settings\veronika\application data\fgnsnx.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\1A.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\13.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\11.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\14.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\2D.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\12.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\10.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\F.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\E.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\C.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\B.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\9.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\8.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\6.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\5.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\D.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\A.exe','');
 DeleteFile('c:\docume~1\veronika\locals~1\temp\x30811.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\Fgnsnx.exe');
 DeleteFile('C:\Program Files\Common Files\System\taskmger.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\1A.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\13.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\11.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\14.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\2D.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\12.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\10.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\F.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\E.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\C.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\B.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\9.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\8.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\6.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\5.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\D.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\A.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fgnsnx');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update');
 RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Program Files\Common Files\System\taskmger.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 
выслал логи

Добавлено через 1 минуту 18 секунд
еще на флешке вирус прыгает, наверно с этого ноута. ехе фаил, название не помню точное F**** (*- цифры какие то) и создает папки ярлыком, реальные папки в невидимые кидает.
 
Сделайте повторные логи с подключенной флешкой

Добавлено через 48 минут 15 секунд
К тому же, судя по карантину Вы по-видимому не выполняли предложенный скрипт, а занимались самолечением.
 
Просто у Вас было достаточно популярное заражение трояном для пополнения Bitcoin:

https://safezone.cc/forum/showthread.php?t=14725
https://safezone.cc/forum/showthread.php?t=15090
https://safezone.cc/forum/showthread.php?t=15241

а данные трояны достаточно активно усовершенствуются, вот недавний инцедент:

https://safezone.cc/forum/showthread.php?t=15397

я бы Вам рекомендовал, пролечиться полностью. Тем более лечение на форуме подразумевает рассылку семплов вендорам, что ускоряет добавление новых версий вредоносного ПО в антивирусные базы.
 
Повторные логи АВЗ и РСИТ
 
сделал
 

Вложения

  • virusinfo_syscheck.zip
    20.9 KB · Просмотры: 0
  • virusinfo_syscure.zip
    21.7 KB · Просмотры: 1
  • log.txt
    32 KB · Просмотры: 1
Вечером погляжу

Добавлено через 7 часов 59 минут 39 секунд
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\veronika\application data\fgnsnx.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\4.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\5.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\7.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\A.exe','');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\Fgnsnx.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\4.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\7.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\5.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\A.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 
Повторный лог RSIT сделайте, и MBAM

c:\documents and settings\veronika\application data\fgnsnx.exe - Trojan.Winlock.2876
 
Последнее редактирование:
вот логи
 

Вложения

  • log.txt
    33.9 KB · Просмотры: 1
  • mbam-log-2011-09-18 (12-28-29).txt
    3.4 KB · Просмотры: 3
Повторите сканирование MBAM и удалите:

Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
Зараженные файлы:
c:\documents and settings\Veronika\application data\5.tmp (Trojan.EnoV.Gen) -> No action taken.
c:\documents and settings\Veronika\application data\7.exe (Trojan.BCMiner) -> No action taken.
c:\documents and settings\Veronika\application data\A.tmp (Trojan.EnoV.Gen) -> No action taken.
c:\documents and settings\Veronika\start menu\Programs\Startup\stepx2.exe (Trojan.BCMiner) -> No action taken.

Остальное на ваше усмотрение.

Что с проблемами?
 
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Установите SP3 (может потребоваться повторная активация) + все критические обновления Windows
Установите IE8 и все обновления для него.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу