Войти

Показать полную графическую версию : [решено] klpclst.dat и wndsksi.inf

OzZu
25-02-2012, 11:58
Здравствуйте!

Недавно столкнулся с этиой гадостью

В корне C:\ в директории с бредовым названием к примеру - lTfyTmneTr9KTvE в ней лежат файлы klpclst.dat и wndsksi.inf

когда удаляю создаеться другая папка с такимже непонятном названием

Других проявлений вируса пока не заметно.

Логи прилагаю.

Заранее спасибо за помощь.
Techno88
25-02-2012, 12:33
Здравствуйте!!! Посмотрю...

- Выполните в АВЗ: (http://forum.oszone.net/post-1430637-4.html)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\Users\mark\AppData\Local\Temp\576F.tmp','');
QuarantineFile('c:\users\mark\documents\программы\vkbot.exe','');
DeleteFile('C:\Users\mark\AppData\Local\Temp\576F.tmp');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
DeleteFileMask('C:\lTfyTmneTr9KTvE','*',true);
DeleteFileMask('C:\Users\mark\AppData\Roaming\lTfyTmneTr9KTvE','*',true);
DeleteFileMask('C:\Users\mark\AppData\Roaming\MicroST','*',true);
DeleteFileMask('C:\systemhost','*',true);
DeleteDirectory('C:\lTfyTmneTr9KTvE');
DeleteDirectory('C:\Users\mark\AppData\Roaming\lTfyTmneTr9KTvE');
DeleteDirectory('C:\Users\mark\AppData\Roaming\MicroST');
DeleteDirectory('C:\systemhost');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через форму (http://www.oszone.net/virusnet/). Укажите ссылку на тему и ник на форуме.

- Повторите логи
OzZu
25-02-2012, 16:45
Отправил на почту
Вроде папка удалилась, я так понимаю что вирус был в vkbot'e?
Techno88
25-02-2012, 16:53
я так понимаю что вирус был в vkbot'e? »
Нет, vkbot я не удалял, а всего лишь взял в карантин. Проверьте его на https://www.virustotal.com/ , ссылку на результат покажите.
OzZu
25-02-2012, 16:59
понятно вот
https://www.virustotal.com/file/122bb1f9d74dc6cb3aec9b9d16c28703516d87e4602613bb687ca36421951534/analysis/1330174544/
чистый вроде юзаю его уже больше двух лет не каких проблем с ним небыло.
Techno88
25-02-2012, 17:04
В логах порядок.

Выполните рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)
OzZu
25-02-2012, 17:17
Спасибо нашел много полезной информаций для себя.
Techno88
25-02-2012, 17:23
И смените все пароли



© OSzone.net 2001-2012