Здравствуйте, такая проблема здесь уже обсуждалась, но универсального решения не нашел или не понял, может. Короче прошу помочь.
На диске С в директории из разных символов после каждой перегрузки компьютера появляется файл klpclst.dat. Его успешно отлавливает и бросает в карантин комода. Сканирование компьютера комодой или доктором вебом результата не дает. Файл каждый раз появляется снова. Из побочных эффектов вируса – не работают все интернет обозреватели.
Логи прилагаю.
В дополнение к стандартным логам, прикладываю лог Malwarebytes Anti-Malware (что-то он нашел и удалил но проблему не решил). Видел, что запрашивали его у человека с аналогичной проблемой.
Нужно ли менять все пароли, с учетом того, что сам файл блокировался комодой?
Заранее спасибо за помощь!

Файлы

Здравствуйте! Сейчас посмотрю логи.

1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe','');
QuarantineFile('C:\WINDOWS\system32\88644A\330D91.EXE','');
QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\330D91.lnk','');
QuarantineFileF('C:\WINDOWS\system32\88644A', '*.*', false, '', 0, 0);
QuarantineFileF('C:\WINDOWS\system32\E5E969', '*.*', false, '', 0, 0);
DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\330D91.lnk');
DeleteFile('C:\WINDOWS\system32\88644A\330D91.EXE');
DeleteFile('C:\plg.txt');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe');
if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');
DeleteFileMask('C:\WINDOWS\system32\88644A', '*.*', true);
DeleteFileMask('C:\WINDOWS\system32\E5E969', '*.*', true);
DeleteDirectory('C:\WINDOWS\system32\88644A');
DeleteDirectory('C:\WINDOWS\system32\E5E969');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/).

2. Запустите Hijackthis/ В логе сканирования отметьте следующие строки:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)
O4 - S-1-5-18 Startup: 330D91.lnk = C:\WINDOWS\system32\88644A\330D91.EXE (User 'SYSTEM')
O4 - S-1-5-18 Startup: Hqnn4sWivTM.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: 330D91.lnk = C:\WINDOWS\system32\88644A\330D91.EXE (User 'Default user')
O4 - .DEFAULT Startup: Hqnn4sWivTM.exe (User 'Default user')
O4 - Startup: 330D91.lnk = C:\WINDOWS\system32\88644A\330D91.EXE
O4 - Startup: Hqnn4sWivTM.exe
O9 - Extra button: (no name) - DctMapping - (no file)

Если прокси не используете, то пофиксите:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
3.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или с зеркала (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

4.
C:\TDSSKiller.2.7.22.0_25.03.2012_23.18.39_log.txt
Запускали TDSS? Будьте добры отчёт приложите.

Смените все пароли!!!
Сделайте повторные логи AVZ и RSIT.

Добрый вечер.
Старался следовать рекомендациям. Первый скрипт в AVZ до перезагрузки не дошел – высылаю лог.
Перегружал сам – директории C:\WINDOWS\system32\88644A и C:\WINDOWS\system32\E5E969 удалил вручную. Они были пустые.
Hijackthis запускал, указанные Вами строки отметил и удалил.
Лог SecurityCheck, TDSSKiller, и новые логии AVZ и RSIT высылаю. Карантин тоже….
Спасибо.

Первый скрипт в AVZ до перезагрузки не дошел »
хм, странно.
Выполните скрипт в AVZ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe','');
QuarantineFileF('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp', '*.*', false, '', 0, 0);
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe');
DeleteFile('C:\plg.txt');
DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/).

Java(TM) 6 Update 29
Java version out of date!
Adobe Reader 9 Adobe Reader out of date!
- Обновите Java до актуальной версии (http://www.oszone.net/go.php?url=http://java.com/ru/download/windows_manual.jsp?locale=ru&host=java.com)
- Обновите Adobe Reader до актуальной версии (http://www.oszone.net/go.php?url=http://get.adobe.com/reader/)


Если Центр обеспечения безопасности не выключали, выполните следующее:
ПКМ на значке Мой компьютер - Управление - Службы и приложения- Службы - Центр обеспечения безопасности - ПКМ - Свойства - Тип запуска поставить Авто и запустить.

Огромное Вам спасибо!!
Вируса больше нет.

ivanzxcv, было бы славно, если бы вы ещё повторные логи приложили. :)
- Обновите Java до актуальной версии
- Обновите Adobe Reader до актуальной версии
Если Центр обеспечения безопасности не выключали, выполните следующее:
ПКМ на значке Мой компьютер - Управление - Службы и приложения- Службы - Центр обеспечения безопасности - ПКМ - Свойства - Тип запуска поставить Авто и запустить. »
Это не забудьте сделать!!!

было бы славно, если бы вы ещё повторные логи приложили. »
да! Это важно

Надо, так надо :)

ivanzxcv, вы уязвимости точно все закрыли? К вам ещё один карберп пролез..

1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe','');
QuarantineFileF('C:\Documents and Settings\Admin\Application Data\pS7iGKeM2wTmeXA', '*.*', false, '', 0, 0);
QuarantineFileF('C:\pS7iGKeM2wTmeXA', '*.*', false, '', 0, 0);
QuarantineFileF('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp', '*.*', false, '', 0, 0);
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe');
DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\pS7iGKeM2wTmeXA', '*.*', true);
DeleteFileMask('C:\pS7iGKeM2wTmeXA', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\pS7iGKeM2wTmeXA');
DeleteDirectory('C:\pS7iGKeM2wTmeXA');
DeleteDirectory('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/).

Смените все пароли!!!
Сделайте повторные логи AVZ и RSIT.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

Странно, вроде все выполнил как рекомендовали.....
Ничего вредоносного пока не вижу.
Высылаю логи.

Вот теперь чисто :)
- Cкачайте и установите все последние обновления для безопасности Windows (http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5)
- Рекомендации после лечения (http://safezone.cc/forum/showthread.php?t=16715)
- желательно отключить автозапуск на этих устройствах,
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
т.к. это повышает уязвимость вашей системы. Можете исправить с помощью AVZ - меню "Файл\Мастер поиска и устранения проблем"

Все сделал.
Еще раз большое спасибо!!!
Если бы не вы - пришлось бы переустанавливать все.