Решена Неизвестные процессы на ноутбуке

[Шевченко Иван]

Глючит и тормозит ноутбук. какие то не понятные процессы на ноутбуке.

 

[Severnyj]

Вечером смогу поглядеть, если не ответят - ждите

 

[Severnyj]

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\docume~1\veronika\locals~1\temp\x30811.exe');
 TerminateProcessByName('c:\documents and settings\veronika\application data\fgnsnx.exe');
 QuarantineFile('C:\Program Files\Common Files\System\taskmger.exe','');
 QuarantineFile('c:\docume~1\veronika\locals~1\temp\x30811.exe','');
 QuarantineFile('c:\documents and settings\veronika\application data\fgnsnx.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\1A.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\13.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\11.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\14.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\2D.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\12.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\10.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\F.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\E.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\C.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\B.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\9.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\8.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\6.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\5.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\D.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\A.exe','');
 DeleteFile('c:\docume~1\veronika\locals~1\temp\x30811.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\Fgnsnx.exe');
 DeleteFile('C:\Program Files\Common Files\System\taskmger.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\1A.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\13.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\11.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\14.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\2D.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\12.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\10.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\F.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\E.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\C.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\B.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\9.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\8.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\6.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\5.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\D.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\A.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fgnsnx');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update');
 RegKeyParamDel('HKLM', 'system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list', 'C:\Program Files\Common Files\System\taskmger.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

[Шевченко Иван]

выслал логи

Добавлено через 1 минуту 18 секунд
еще на флешке вирус прыгает, наверно с этого ноута. ехе фаил, название не помню точное F**** (*- цифры какие то) и создает папки ярлыком, реальные папки в невидимые кидает.

 

[Severnyj]

Сделайте повторные логи с подключенной флешкой

Добавлено через 48 минут 15 секунд
К тому же, судя по карантину Вы по-видимому не выполняли предложенный скрипт, а занимались самолечением.

 

[Шевченко Иван]

занимался само лечением)

флешку уже отформатировал, пустая.

 

[Severnyj]

Просто у Вас было достаточно популярное заражение трояном для пополнения Bitcoin:

https://safezone.cc/forum/showthread.php?t=14725
https://safezone.cc/forum/showthread.php?t=15090
https://safezone.cc/forum/showthread.php?t=15241

а данные трояны достаточно активно усовершенствуются, вот недавний инцедент:

https://safezone.cc/forum/showthread.php?t=15397

я бы Вам рекомендовал, пролечиться полностью. Тем более лечение на форуме подразумевает рассылку семплов вендорам, что ускоряет добавление новых версий вредоносного ПО в антивирусные базы.

 

[Шевченко Иван]

вечером сделаю логи через Malwarebytes' Anti-Malware, еще что то надо?

 

[Severnyj]

Повторные логи АВЗ и РСИТ

 

[Шевченко Иван]

сделал

 

[Severnyj]

Вечером погляжу

Добавлено через 7 часов 59 минут 39 секунд
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\veronika\application data\fgnsnx.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\4.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\5.exe','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\7.tmp','');
 QuarantineFile('C:\Documents and Settings\Veronika\Application Data\A.exe','');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\Fgnsnx.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\4.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\7.tmp');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\5.exe');
 DeleteFile('C:\Documents and Settings\Veronika\Application Data\A.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

[Шевченко Иван]

выслал карантин

 

[Severnyj]

Повторный лог RSIT сделайте, и MBAM

c:\documents and settings\veronika\application data\fgnsnx.exe - Trojan.Winlock.2876

 

[Шевченко Иван]

c:\documents and settings\veronika\application data\fgnsnx.exe - Trojan.Winlock.2876

его вручную удалить? или это какой вирус был?

Добавлено через 50 секунд
вечером повторю логи

 

[Severnyj]

его вручную удалить? или это какой вирус был?

Мы его уже удалили скриптом

 

[Шевченко Иван]

вот логи

 

[akok]

Повторите сканирование MBAM и удалите:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
Зараженные файлы:
c:\documents and settings\Veronika\application data\5.tmp (Trojan.EnoV.Gen) -> No action taken.
c:\documents and settings\Veronika\application data\7.exe (Trojan.BCMiner) -> No action taken.
c:\documents and settings\Veronika\application data\A.tmp (Trojan.EnoV.Gen) -> No action taken.
c:\documents and settings\Veronika\start menu\Programs\Startup\stepx2.exe (Trojan.BCMiner) -> No action taken.

Остальное на ваше усмотрение.

Что с проблемами?

 

[Severnyj]

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Установите SP3 (может потребоваться повторная активация) + все критические обновления Windows
Установите IE8 и все обновления для него.

 

[Шевченко Иван]

по рекомендуйте ссылку на сп3. можно в личку

 

[Severnyj]

Держите: http://www.microsoft.com/downloads/...A8-5E76-401F-BE08-1E1555D4F3D4&displaylang=ru