• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрительные процессы

Статус
В этой теме нельзя размещать новые ответы.

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
Появились подозрительные процессы типа "5D.tmp".
Компьютер стал работать медленней, тормозит.
Еще одна проблема беспокоит: скачанные видео из инета (обычно высокого качества 720, 1080) при воспроизведении жутко глючат, рассинхрон звука и картинки - с чем это может быть связано?
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую vglp, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\windows\csdrive32.exe');
 TerminateProcessByName('c:\documents and settings\admin\application data\5b.tmp');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1170\ufive17.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mp130982.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mixhdg.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0069\mmails2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0068\mtefq2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0056\mp18982.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0016\mip982.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ltvavl.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\5b.tmp','');
 QuarantineFile('c:\windows\csdrive32.exe','');
 DeleteFile('c:\windows\csdrive32.exe');
 DeleteFile('c:\documents and settings\admin\application data\5b.tmp');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Ltvavl.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0016\mip982.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0056\mp18982.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0068\mtefq2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0069\mmails2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mixhdg.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mp130982.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1170\ufive17.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1170\ufive17.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0069\mmails2.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mixhdg.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mp130982.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0056\mp18982.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0016\mip982.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0068\mtefq2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ltvavl');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mp735');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ep185');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','etef5');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','emails5');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mixswd');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epp1305');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','elmq5');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uzfive172');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','five922');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Установите все новые обновления для Windows

Сделайте новые логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
 
Последнее редактирование:

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
AVZ выдает ошибку:
"Ошибка в работе антируткита [External exception C000001E], шаг [16]"
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,839
Реакции
2,565
Баллы
593
Исправил скрипт, пробуйте сейчас
 

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
SecurityCheck лог
 

Вложения

Techno

Ассоциация VN
Сообщения
876
Реакции
403
Баллы
453
Удалите в MBAM всё, кроме: (подробнее о работе с MBAM)
Код:
C:\WINDOWS\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
D:\п\IVT.BlueSoleil.v6.4.249.0-EMBRACE\keygen.exe (Trojan.Agent) -> Действие не было предпринято.
Обновите Java version out of date!

Сделайте новый лог MBAM.
 
Последнее редактирование:

Techno

Ассоциация VN
Сообщения
876
Реакции
403
Баллы
453
Что с проблемами?

Повторите логи АВЗ и РСИТ.
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
В карантине было:
5b.tmp - Trojan.Win32.Jorik.Tedroo.arz
csdrive32.exe - Net-Worm.Win32.Kolab.bibl
Ltvavl.exe - Backdoor.Win32.Floder.arw
mixhdg.exe,
ufive17.exe - Net-Worm.Win32.Kolab.bhtw
mp18982.exe - Trojan.Win32.Jorik.Lethic.xd
zaberg.exe - Trojan.Win32.Jorik.Lethic.xj
 

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
Вроде стало лучше, процессов непонятных не заметил
В папке "C:\Documents and Settings\Admin\Application Data" остались такие файлы как "1CD.tmp"
"536.tmp"
"D.tmp"
это нормально?
 

Вложения

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
В карантине было:
5b.tmp - Trojan.Win32.Jorik.Tedroo.arz
csdrive32.exe - Net-Worm.Win32.Kolab.bibl
Ltvavl.exe - Backdoor.Win32.Floder.arw
mixhdg.exe,
ufive17.exe - Net-Worm.Win32.Kolab.bhtw
mp18982.exe - Trojan.Win32.Jorik.Lethic.xd
zaberg.exe - Trojan.Win32.Jorik.Lethic.xj
что с этим делать?
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
что с этим делать?
Ничего. Это список удаленного вредоносного ПО попавшего в карантин.

Добавлено через 4 минуты 26 секунд
Мусор, сейчас почистим

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFileMask(' C:\Documents and Settings\Admin\Application Data\', '*.tmp', false);
 BC_ImportDeletedList;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Добавлено через 10 минут 0 секунд
Рекомендации после лечения
 

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
А из-за чего скачанное видео (большего размера и качества) может тормозить? не хватает мощности компьютеру?
 

akok

Команда форума
Администратор
Сообщения
19,319
Реакции
13,335
Баллы
2,203
Какая у вас видеокарта и когда в последний раз обновляли видеокодеки?
 

vglp

Активный пользователь
Сообщения
18
Реакции
0
Баллы
381
стоит K-Lite Codec Pack 7.7.0 (full)
видео: SAPPHIRE RADEON X550
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу