Решена Тормозит ноутбук

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Шевченко Иван, 10 сен 2011.

Статус темы:
Закрыта.
  1. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    Глючит и тормозит ноутбук. какие то не понятные процессы на ноутбуке.
     

    Вложения:

    • log.txt
      Размер файла:
      24,7 КБ
      Просмотров:
      5
    • info.txt
      Размер файла:
      14,8 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      23,1 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      24,9 КБ
      Просмотров:
      3
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Вечером смогу поглядеть, если не ответят - ждите
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\docume~1\veronika\locals~1\temp\x30811.exe');
     TerminateProcessByName('c:\documents and settings\veronika\application data\fgnsnx.exe');
     QuarantineFile('C:\Program Files\Common Files\System\taskmger.exe','');
     QuarantineFile('c:\docume~1\veronika\locals~1\temp\x30811.exe','');
     QuarantineFile('c:\documents and settings\veronika\application data\fgnsnx.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\1A.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\13.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\11.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\14.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\2D.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\12.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\10.tmp','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\F.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\E.tmp','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\C.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\B.tmp','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\9.tmp','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\8.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\6.tmp','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\5.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\D.tmp','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\A.exe','');
     DeleteFile('c:\docume~1\veronika\locals~1\temp\x30811.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\Fgnsnx.exe');
     DeleteFile('C:\Program Files\Common Files\System\taskmger.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\1A.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\13.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\11.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\14.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\2D.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\12.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\10.tmp');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\F.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\E.tmp');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\C.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\B.tmp');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\9.tmp');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\8.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\6.tmp');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\5.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\D.tmp');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\A.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fgnsnx');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update');
     RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Program Files\Common Files\System\taskmger.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи AVZ и RSIT

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  4. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    выслал логи

    Добавлено через 1 минуту 18 секунд
    еще на флешке вирус прыгает, наверно с этого ноута. ехе фаил, название не помню точное F**** (*- цифры какие то) и создает папки ярлыком, реальные папки в невидимые кидает.
     
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Сделайте повторные логи с подключенной флешкой

    Добавлено через 48 минут 15 секунд
    К тому же, судя по карантину Вы по-видимому не выполняли предложенный скрипт, а занимались самолечением.
     
  6. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    занимался само лечением)

    флешку уже отформатировал, пустая.
     
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Просто у Вас было достаточно популярное заражение трояном для пополнения Bitcoin:

    http://safezone.cc/forum/showthread.php?t=14725
    http://safezone.cc/forum/showthread.php?t=15090
    http://safezone.cc/forum/showthread.php?t=15241

    а данные трояны достаточно активно усовершенствуются, вот недавний инцедент:

    http://safezone.cc/forum/showthread.php?t=15397

    я бы Вам рекомендовал, пролечиться полностью. Тем более лечение на форуме подразумевает рассылку семплов вендорам, что ускоряет добавление новых версий вредоносного ПО в антивирусные базы.
     
  8. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    вечером сделаю логи через Malwarebytes' Anti-Malware, еще что то надо?
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Повторные логи АВЗ и РСИТ
     
  10. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    сделал
     

    Вложения:

  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Вечером погляжу

    Добавлено через 7 часов 59 минут 39 секунд
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\documents and settings\veronika\application data\fgnsnx.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\4.tmp','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\5.exe','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\7.tmp','');
     QuarantineFile('C:\Documents and Settings\Veronika\Application Data\A.exe','');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\Fgnsnx.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\4.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\7.tmp');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\5.exe');
     DeleteFile('C:\Documents and Settings\Veronika\Application Data\A.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Повторите логи AVZ и RSIT

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  12. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    выслал карантин
     
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Повторный лог RSIT сделайте, и MBAM

    c:\documents and settings\veronika\application data\fgnsnx.exe - Trojan.Winlock.2876
     
    Последнее редактирование: 14 сен 2011
  14. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    его вручную удалить? или это какой вирус был?

    Добавлено через 50 секунд
    вечером повторю логи
     
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Мы его уже удалили скриптом
     
  16. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    вот логи
     

    Вложения:

  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Повторите сканирование MBAM и удалите:

    Код (Text):

    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
    Зараженные файлы:
    c:\documents and settings\Veronika\application data\5.tmp (Trojan.EnoV.Gen) -> No action taken.
    c:\documents and settings\Veronika\application data\7.exe (Trojan.BCMiner) -> No action taken.
    c:\documents and settings\Veronika\application data\A.tmp (Trojan.EnoV.Gen) -> No action taken.
    c:\documents and settings\Veronika\start menu\Programs\Startup\stepx2.exe (Trojan.BCMiner) -> No action taken.
    Остальное на ваше усмотрение.

    Что с проблемами?
     
  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Установите SP3 (может потребоваться повторная активация) + все критические обновления Windows
    Установите IE8 и все обновления для него.
     
  19. Шевченко Иван
    Оффлайн

    Шевченко Иван Активный пользователь

    Сообщения:
    116
    Симпатии:
    0
    по рекомендуйте ссылку на сп3. можно в личку
     
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
Статус темы:
Закрыта.

Поделиться этой страницей