Добры

Добрый день. Прошу помощи в лечении от вируса file:C:\lTfyTmneTr8OUAG\klpclst.dat
MSE его не лечит.

Приветствую.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\iVAN\AppData\Local\Temp\9eN01fCt.sys','');
QuarantineFile('Q:\autorun.inf','');
QuarantineFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ELYDzeMiWcI.exe','');
QuarantineFile('C:\Windows\System32\Drivers\amzvil13.SYS','');
DeleteFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ELYDzeMiWcI.exe');
DeleteFile('C:\Users\iVAN\AppData\Local\Temp\9eN01fCt.sys');
DeleteFile('Q:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/)

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

Сканирование утилитой МВАМ показала:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных: v2012.02.27.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
iVAN :: IVAN-THINK [администратор]

27.02.2012 21:11:32
mbam-log-2012-02-27 (21-11-32).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 180072
Времени прошло: 5 минут , 2 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 2
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Помещено в карантин и успешно удалено.
HKCR\bonus.eProtocol (Trojan.WebMoner) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 3
C:\Users\iVAN\Desktop\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Users\iVAN\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Помещено в карантин и успешно удалено.

(конец)

Обновите АВЗ и повторите логи АВЗ и RSIT/

Этот вирус вновь появился и дал о себе знать в MSE, несмотря на то, что в интернете за последние сутки я был только на этом форуме.
Как было указано: обновил АВЗ и выполнил скрипты в АВЗ и запустил RSIT. во вложении новые логи. Прошу помощи!

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk','');
QuarantineFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk','');
QuarantineFile('C:\Program Files\Microsoft Security Client\Backup\en-us\epploc_x86.msi','');
QuarantineFile('C:\Program Files\Microsoft Security Client\Backup\ru-ru\epploc_x86.msi','');
QuarantineFile('C:\Windows\Installer\2125e2.msi','');
QuarantineFile('C:\plg.txt','');
DeleteFile('C:\plg.txt');
DeleteFileMask('C:\lTfyTmneTr8OUAG', '*.*', true);
DeleteFileMask('C:\Users\iVAN\AppData\Roaming\lTfyTmneTr8OUAG', '*.*', true);
DeleteDirectory('C:\lTfyTmneTr8OUAG');
DeleteDirectory('C:\Users\iVAN\AppData\Roaming\lTfyTmneTr8OUAG');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/)


• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных: v2012.02.27.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
iVAN :: IVAN-THINK [администратор]

28.02.2012 0:47:29
mbam-log-2012-02-28 (00-47-29).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 180019
Времени прошло: 4 минут , 47 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 1
C:\Users\iVAN\Desktop\Patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.

(конец)

Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:tdsskiller.exe -silent -qmbr -qboot Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь. Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщениюПо умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Добрый день.
Выслал по почте архив.
Произвел проверку TDSSKiller'ом.
Лог во вложении.

Что с проблемой ?

Спасибо большое.
Проблемы теперь не наблюдаются.

Смените пароли.
И постарайтесь по мере возможности выполнить рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)