Доброе время суток.
Прошу вашей помощи по удалеию паразита... klpclst.dat Фыйлы прикрепляю. Зараннее спасибо.

Здравствуйте. Сейчас посмотрю логи.

virusinfo_cure.zip - это карантин его удалите, вместо него надо было прикрепить virusinfo_syscheck.zip

Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". (http://safezone.cc/forum/showthread.php?t=10)


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\system32\a25c70\t8b16670.exe');
TerminateProcessByName('c:\windows.0\system32\regctrls.exe');
TerminateProcessByName('c:\windows.0\system32\15a536\16473d.exe');
QuarantineFile('C:\WINDOWS.0\system32\A25C70\krnln.fnr','');
QuarantineFile('C:\WINDOWS.0\system32\A25C70\eAPI.fne','');
QuarantineFile('C:\WINDOWS.0\system32\A25C70\dp1.fne','');
QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\spec.fne','');
QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\shell.fne','');
QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\krnln.fnr','');
QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\internet.fne','');
QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\HtmlView.fne','');
QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\eAPI.fne','');
QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\dp1.fne','');
QuarantineFile('c:\windows.0\system32\a25c70\t8b16670.exe','');
QuarantineFile('c:\windows.0\system32\regctrls.exe','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\vdu1ody1.sys','');
QuarantineFile('c:\windows.0\system32\15a536\16473d.exe','');
QuarantineFileF('c:\windows.0\system32\a25c7','*', true,'',0 ,0);
QuarantineFileF('c:\windows.0\system32\15a536','*', true,'',0 ,0);
QuarantineFileF('C:\WINDOWS.0\system32\E9DF16','*', true,'',0 ,0);
QuarantineFileF('C:\WINDOWS.0\system32\133F12','*', true,'',0 ,0);
QuarantineFileF('C:\WINDOWS.0\system32\A25C70','*', true,'',0 ,0);
QuarantineFileF('C:\jZ0OitXIQRgZ2OQ','*', true,'',0 ,0);
QuarantineFileF('C:\jZ0OitXIQRiBYoU','*', true,'',0 ,0);
QuarantineFileF('','*', true,'',0 ,0);
DeleteFile('c:\windows.0\system32\a25c70\t8b16670.exe');
DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\dp1.fne');
DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\eAPI.fne');
DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\HtmlView.fne');
DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\internet.fne');
DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\krnln.fnr');
DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\shell.fne');
DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\spec.fne');
DeleteFile('C:\WINDOWS.0\system32\A25C70\dp1.fne');
DeleteFile('C:\WINDOWS.0\system32\A25C70\eAPI.fne');
DeleteFile('C:\WINDOWS.0\system32\A25C70\krnln.fnr');
DeleteFile('C:\Documents and Settings\Admin-Nik\Главное меню\Программы\Автозагрузка\16473D.lnk');
DeleteFile('C:\WINDOWS.0\system32\15A536\16473D.EXE');
DeleteFile('C:\WINDOWS.0\system32\regctrls.exe');
DeleteFile('C:\plg.txt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','16473D');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('c:\windows.0\system32\a25c7', '*', true);
DeleteFileMask('c:\windows.0\system32\15a536', '*', true);
DeleteFileMask('C:\jZ0OitXIQRgZ2OQ', '*', true);
DeleteFileMask('C:\jZ0OitXIQRiBYoU', '*', true);
DeleteDirectory('c:\windows.0\system32\a25c7',' ');
DeleteDirectory('c:\windows.0\system32\15a536',' ');
DeleteDirectory('C:\jZ0OitXIQRgZ2OQ',' ');
DeleteDirectory('C:\jZ0OitXIQRiBYoU',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:tdsskiller.exe -silent -qmbr -qboot Запустите файл fix.bat; Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine; Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь. Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщениюПо умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt


смените все пароли, по окончанию лечения не забудьте сменить их ещё раз.

Добрый день! Всё сделал как вы мне описали, только не совсем понял как отправить файл отчета прикрепляю к этому сообщению.
Скажите на этом всё лечение ПК закончилось?

Прикрепляю файл.

Добрый день! Всё сделал как вы мне описали, только не совсем понял как отправить файл отчета прикрепляю к этому сообщению. »
Если вы о карантине АВЗ то отправляете по указанной форме перейдя по ссылке на слове ""форме"" в сообщении после скрипта .

Если вы говорите о логах TDSSKiller - то его вы не прикрепили.


Выполните еще лог

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

Скажите на этом всё лечение ПК закончилось? »
нет лечение пока не окончено, логи надо прикреплять также как и в первом сообщение. Расширенный режим - Прикрепить файл.

Просканировал прогой Malwarebytes Anti-Malware и высылаю отчет

Просканировал прогой Malwarebytes Anti-Malware и высылаю отчет »
то что вы выложили это лог TDSSKiller-a.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.»
где ? :angry:

Немного запутался с названиями, прикрепляю ешо один лог.

ща посмотрю я их делал...

KochkinNV, логи желательно приклеплять так как они есть, не копирую в ворд. единственное, что если файл слишком большой чтоб его прикрепить то архивируйте его в архив.

Что то я запутался в этих пересылках...

Вот кажись эти ....

regist, Понятно, насчет архивирования

KochkinNV, востановите удалённые в MBAM (http://safezone.cc/forum/showpost.php?p=93190&postcount=1) следующие файлы:

C:\Program Files\7-Zip\GUI_7zS.exe (Trojan.KillAV) -> Помещено в карантин и успешно удалено.
C:\Program Files\Macromedia\Rus.exe (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.
C:\WINDOWS\notepad.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> Помещено в карантин и успешно удалено.
C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Помещено в карантин и успешно удалено.



Если пользуетесь программой Multi Password Recovery то также востановите
Обнаруженные ключи в реестре: 1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре: 1
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Помещено в карантин и успешно удалено.

Обнаруженные файлы: 23
S:\Portable soft 1.2.4.5\Utilities\Gathering, generation of passwords\MultiPasswordRecoveryPortable\MPRPortable.exe (PUP.PasswordView) -> Действие не было предпринято.
S:\Portable soft 1.2.4.5\Utilities\Gathering, generation of passwords\MultiPasswordRecoveryPortable\Spoon\Sandbox\Multi Password Recovery\1.2.8.0\MODIFIED\@PROGRAMFILESX86@\Multi Password Recovery\MPR.exe (PUP.PasswordView) -> Действие не было предпринято.

S:\soft\MultiPasswordRecoveryPortable\MPRPortable.exe (PUP.PasswordView) -> Действие не было предпринято.
S:\soft\MultiPasswordRecoveryPortable\Spoon\Sandbox\Multi Password Recovery\1.2.8.0\MODIFIED\@PROGRAMFILESX86@\Multi Password Recovery\MPR.exe (PUP.PasswordView) -> Действие не было предпринято.


Файлы

C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\ctfmon.exe

проверьте на https://www.virustotal.com/ ссылку на результат проверки напишите в своём сообщение.

Логи RSIT старые прикрепили, сделайте новые и прикрепите.

что с проблемой ?

--------------------

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc/).

regist, Просканировал вот сылки на результат...

сылка 1 (https://www.virustotal.com/file/b5f983915d95f302377ed966fa8793d114d02a137a05be86b1c5331c319e8db7/analysis/)
сылка2 (https://www.virustotal.com/file/60a69a6e4c592d340f1544605f4e787c29762911222fd62bf81f319553290bb6/analysis/)

Логи RSIT старые прикрепили, сделайте новые и прикрепите.
что с проблемой ? »

KochkinNV, я жду свежих логов RSIT чтобы зачистить хвосты от вируса.

+ + Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »

Добрый день. ПК работает отлично. Логи на RSIT прикреплю к следующиму сообщению. Я думаю что тему можно закрыть.

Вроде выслал всё что просили... базу AVZ обнавил

KochkinNV, это немного не тот лог, который просил.

1. Запустите RSIT, выберите проверку файлов за последние три месяца и нажмите Продолжить (подробнее (http://safezone.cc/forum/showthread.php?t=389)) После чего программа автоматически скачает утилиту HijackThis из сети интернет и создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска.