Решена Подозрительные процессы

Статус
В этой теме нельзя размещать новые ответы.

vglp

Новый пользователь
Сообщения
18
Реакции
0
Появились подозрительные процессы типа "5D.tmp".
Компьютер стал работать медленней, тормозит.
Еще одна проблема беспокоит: скачанные видео из инета (обычно высокого качества 720, 1080) при воспроизведении жутко глючат, рассинхрон звука и картинки - с чем это может быть связано?
 

Вложения

  • virusinfo_syscure.zip
    26.5 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    22.3 KB · Просмотры: 2
  • info.txt
    36.9 KB · Просмотры: 3
  • log.txt
    50.6 KB · Просмотры: 6
Приветствую vglp, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\windows\csdrive32.exe');
 TerminateProcessByName('c:\documents and settings\admin\application data\5b.tmp');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1170\ufive17.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mp130982.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mixhdg.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0069\mmails2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0068\mtefq2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0056\mp18982.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0016\mip982.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ltvavl.exe','');
 QuarantineFile('c:\documents and settings\admin\application data\5b.tmp','');
 QuarantineFile('c:\windows\csdrive32.exe','');
 DeleteFile('c:\windows\csdrive32.exe');
 DeleteFile('c:\documents and settings\admin\application data\5b.tmp');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Ltvavl.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0016\mip982.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0056\mp18982.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0068\mtefq2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0069\mmails2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mixhdg.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mp130982.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1170\ufive17.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1170\ufive17.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\mp1lmq2.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0069\mmails2.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mixhdg.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\mp130982.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0056\mp18982.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0016\mip982.exe,explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0068\mtefq2.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\uffive92.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ltvavl');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mp735');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ep185');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','etef5');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','emails5');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mixswd');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','epp1305');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','elmq5');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uzfive172');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','five922');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Установите все новые обновления для Windows

Сделайте новые логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
 
Последнее редактирование:
AVZ выдает ошибку:
"Ошибка в работе антируткита [External exception C000001E], шаг [16]"
 
Исправил скрипт, пробуйте сейчас
 
новые логи
Malwarebytes' Anti-Malware сканирование в процессе..
 

Вложения

  • virusinfo_syscheck.zip
    19.7 KB · Просмотры: 1
  • virusinfo_syscure.zip
    19.8 KB · Просмотры: 1
  • log.txt
    47.3 KB · Просмотры: 2
  • info.txt
    36.5 KB · Просмотры: 0
лог Malwarebytes' Anti-Malware
 

Вложения

  • mbam-log-2012-05-23 (01-19-55).txt
    47.3 KB · Просмотры: 11
SecurityCheck лог
 

Вложения

  • checkup.txt
    796 байт · Просмотры: 6
Удалите в MBAM всё, кроме: (подробнее о работе с MBAM)
Код:
C:\WINDOWS\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
D:\п\IVT.BlueSoleil.v6.4.249.0-EMBRACE\keygen.exe (Trojan.Agent) -> Действие не было предпринято.

Обновите Java version out of date!

Сделайте новый лог MBAM.
 
Последнее редактирование:
новый лог МВАМ
 

Вложения

  • mbam-log-2012-05-23 (12-17-25).txt
    50.7 KB · Просмотры: 4
Что с проблемами?

Повторите логи АВЗ и РСИТ.
 
В карантине было:
5b.tmp - Trojan.Win32.Jorik.Tedroo.arz
csdrive32.exe - Net-Worm.Win32.Kolab.bibl
Ltvavl.exe - Backdoor.Win32.Floder.arw
mixhdg.exe,
ufive17.exe - Net-Worm.Win32.Kolab.bhtw
mp18982.exe - Trojan.Win32.Jorik.Lethic.xd
zaberg.exe - Trojan.Win32.Jorik.Lethic.xj
 
Вроде стало лучше, процессов непонятных не заметил
В папке "C:\Documents and Settings\Admin\Application Data" остались такие файлы как "1CD.tmp"
"536.tmp"
"D.tmp"
это нормально?
 

Вложения

  • virusinfo_syscure.zip
    20.6 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    20.4 KB · Просмотры: 0
  • info.txt
    36.8 KB · Просмотры: 0
  • log.txt
    36.1 KB · Просмотры: 1
В карантине было:
5b.tmp - Trojan.Win32.Jorik.Tedroo.arz
csdrive32.exe - Net-Worm.Win32.Kolab.bibl
Ltvavl.exe - Backdoor.Win32.Floder.arw
mixhdg.exe,
ufive17.exe - Net-Worm.Win32.Kolab.bhtw
mp18982.exe - Trojan.Win32.Jorik.Lethic.xd
zaberg.exe - Trojan.Win32.Jorik.Lethic.xj

что с этим делать?
 
что с этим делать?
Ничего. Это список удаленного вредоносного ПО попавшего в карантин.

Добавлено через 4 минуты 26 секунд
Мусор, сейчас почистим

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFileMask(' C:\Documents and Settings\Admin\Application Data\', '*.tmp', false);
 BC_ImportDeletedList;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Добавлено через 10 минут 0 секунд
Рекомендации после лечения
 
А из-за чего скачанное видео (большего размера и качества) может тормозить? не хватает мощности компьютеру?
 
Какая у вас видеокарта и когда в последний раз обновляли видеокодеки?
 
стоит K-Lite Codec Pack 7.7.0 (full)
видео: SAPPHIRE RADEON X550
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу