День добрый.
При загрузке компьютера dr.web постоянно удаляет klpclst.dat. При новом запуске бяка создается снова, др.веб снова "удаляет" и снова по кругу. Полная проверка им же не помогла. Никак не получается вывести бяку. Помогите, кто чем может. Спасибо.

Здравствуйте, сейчас посмотрю.

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\mat\LOCALS~1\Temp\msdapqm.com','');
QuarantineFile('C:\Users\mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B8VrLF8SHvY.exe','');
QuarantineFile('C:\Users\mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\B8VrLF8SHvY.exe','');
QuarantineFileF('C:\4lwF1y8SvKGqfBC', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\mat\AppData\Roaming\IcJVLcJZyvnq2kk', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\mat\AppData\Roaming\pNARqcg8G7BCjq7', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\mat\AppData\Roaming\kFv3DjpT2zrL84x', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\mat\AppData\Roaming\MicroST', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\mat\AppData\Roaming\E717C955', '*', true, '', 0, 0);
DeleteFile('C:\Users\mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\B8VrLF8SHvY.exe');
DeleteFile('C:\Users\mat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\B8VrLF8SHvY.exe');
DeleteFile('C:\Users\mat\LOCALS~1\Temp\msdapqm.com');
DeleteFileMask('C:\4lwF1y8SvKGqfBC', '*', true);
DeleteFileMask('C:\Users\mat\AppData\Roaming\IcJVLcJZyvnq2kk', '*', true);
DeleteFileMask('C:\Users\mat\AppData\Roaming\pNARqcg8G7BCjq7', '*', true);
DeleteFileMask('C:\Users\mat\AppData\Roaming\kFv3DjpT2zrL84x', '*', true);
DeleteFileMask('C:\Users\mat\AppData\Roaming\MicroST', '*', true);
DeleteFileMask('C:\Users\mat\AppData\Roaming\E717C955', '*', true);
DeleteDirectory('C:\4lwF1y8SvKGqfBC');
DeleteDirectory('C:\Users\mat\AppData\Roaming\IcJVLcJZyvnq2kk');
DeleteDirectory('C:\Users\mat\AppData\Roaming\pNARqcg8G7BCjq7');
DeleteDirectory('C:\Users\mat\AppData\Roaming\kFv3DjpT2zrL84x');
DeleteDirectory('C:\Users\mat\AppData\Roaming\MicroST');
DeleteDirectory('C:\Users\mat\AppData\Roaming\E717C955');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму (http://www.oszone.net/virusnet).

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
Скачайте Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam-download-exe-random.php), установите, обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Сохраните его и прикрепите к сообщению.

Срочно смените все пароли!

Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:tdsskiller.exe -silent -qmbr -qboot Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь. Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщениюПо умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Вроде все выполнил.
TDSSKiller лога не нашел, отсылаю то, что было в программе во вкладке "отчет".
Спасибо.

Кстати, ссылка на TDSSKiller http://support.kaspersky.ru/downloads/utils/tdsskiller.zip не работает, а скачать можно на http://www.kaspersky.ru/support/downloads/utils/tdsskiller.zip. Ну это на всякий случай.

mat1441, у меня работают обе ссылки.

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\mat\LOCALS~1\Temp\msdapqm.com','');
QuarantineFileF('C:\4lwF1y8SvKGqfBC', '*', true, '', 0, 0);
QuarantineFileF('C:\Users\mat\AppData\Roaming\MicroST', '*', true, '', 0, 0);
DeleteFile('C:\Users\mat\LOCALS~1\Temp\msdapqm.com');
DeleteFileMask('C:\4lwF1y8SvKGqfBC', '*', true);
DeleteFileMask('C:\Users\mat\AppData\Roaming\MicroST', '*', true);
DeleteDirectory('C:\4lwF1y8SvKGqfBC');
DeleteDirectory('C:\Users\mat\AppData\Roaming\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму (http://www.oszone.net/virusnet).


Скачайте и запустите HijackThis (http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe).
Нажмите кнопку Do a system scan only.
В открывшемся логе сканирования поставьте галочки напротив указанных строк и нажмите кнопку Fix сhecked.

F3 - REG:win.ini: load=C:\Users\mat\LOCALS~1\Temp\msdapqm.com



Повторите полное сканирование в MBAM и удалите только данные элементы

Обнаруженные ключи в реестре: 9
HKCR\CLSID\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Действие не было предпринято.
HKCR\TypeLib\{1D4DB7D0-6EC9-47a3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Действие не было предпринято.
HKCR\Interface\{1D4DB7D1-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (PUP.MyWebSearch) -> Действие не было предпринято.

Обнаруженные файлы: 15
C:\$Recycle.Bin\S-1-5-21-3537652882-3494529257-3881036174-1000\$RIYC32D.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Users\mat\Documents\avz4\Quarantine\2012-04-13\avz00001.dta (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Users\mat\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.


Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ, RSIT и MBAM

Все выполнил. Спасибо, что помогаете

http://virusinfo.info/showthread.php?t=119221
Где будете продолжать лечение?

Давайте здесь. Там создал тему, но мне показалось, что долго отвечают, и создал тему здесь. А там тоже ответили, и мне показалось невежливым там описываться, что уже помогают здесь.

mat1441, хорошо. В следующий раз лучше выбирать одно место лечения во избежания путаницы.

Скачайте ComboFix по одной из этих ссылок на рабочий стол.
ComboFix.exe (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
ComboFix.exe (http://subs.geekstogo.com/ComboFix.exe)
Важно! На время работы программы отключите всё защитное программное обеспечение.
Дважды кликните по значку, чтобы запустить программу. Убедитесь, что все остальные программы закрыты.
Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной зависания программы.
Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.

прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe

Вот

Что с проблемой ?

Собственно klpclst.dat я не наблюдаю, msdapqm.com из автозагрузки тоже пропало. Т.е. на мой дилетантский взгляд, все хорошо. Спасибо.

Нужно удалить комбофикс

• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"



Или скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), зеркало OTCleanIt (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up.

Удалил

- Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ, выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc).

- Выполните 6 стандартный скрипт в AVZ.
- Удалите антивирусные утилиты, использованные в лечении.

- Выполните (http://safezone.cc/forum/showthread.php?t=16715) рекомендации для профилактики заражения.

Все выполнил. Спасибо огромное