|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Снова klpclst.dat |
|
||||
|
|
[решено] Снова klpclst.dat
|
|
Новый участник Сообщения: 10 |
Здравствуйте,нужна помощь
 Всё стандартно: появляются папки с дикими названиями в которых лежит klpclst.dat + иногда появляется процесс svchost который грузит процессор на 99%. |
|
|
Отправлено: 08:46, 27-12-2011 |
Старожил Сообщения: 251
|
Профиль | Отправить PM | Цитировать Здравствуйте!!!
- Отключите антивирус/фаервол и интернет; - Выполните в АВЗ: Код:
 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('newdriver', 4);
StopService('newdriver');
QuarantineFile('D:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('D:\WINDOWS\dfvbn.sys','');
QuarantineFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\hqAPkD14ejM.exe','');
QuarantineFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\JEJaWOLrTTY.exe','');
QuarantineFile('D:\Documents and Settings\Админ\Local Settings\Temp\yyhjznjh.r1q\kph.sys','');
QuarantineFile('D:\Program Files\Ticno\Multibar\SearchService.exe','');
DeleteFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\JEJaWOLrTTY.exe');
DeleteFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\hqAPkD14ejM.exe');
DeleteFile('D:\WINDOWS\dfvbn.sys');
DeleteService('newdriver');
DeleteFileMask('D:\GOEDvM115vayK9N','*',true);
DeleteFileMask('D:\74SHnKpTmAE7Vw5','*',true);
DeleteDirectory('D:\GOEDvM115vayK9N');
DeleteDirectory('D:\74SHnKpTmAE7Vw5');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('newdriver');
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(11);
RebootWindows(true);
end.
После перезагрузки: - Выполните в АВЗ: Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Пофиксите Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk - Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того, что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. |
|
Отправлено: 09:27, 27-12-2011 | #2 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать Всё сделал, но у меня когда окрываю локальный диск на котором лежит виндоус, ничего не отображается
|
|
Отправлено: 14:33, 27-12-2011 | #3 |
|
Старожил Сообщения: 251
|
Профиль | Отправить PM | Цитировать Удалите в MBAM всё, кроме:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. d:\WINDOWS.0\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken. e:\татьяна\acad2008mechanical_ru\autocad-2008-keygen.exe (RiskWare.Tool.CK) -> No action taken. |
|
Отправлено: 15:18, 27-12-2011 | #4 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать Те были сделаны до MBAM вот ещё новые)
Что делать если файлы на диске с виндоус перестали отображаться?через диспетчер задач всё открывается |
|
|
Отправлено: 19:46, 27-12-2011 | #5 |
|
Странствующий хэлпер Сообщения: 2242
|
Профиль | Отправить PM | Цитировать Вообще по новым логам совсем непохоже, что Вы выполняли скрипт из сообщения №2. Приступайте
+ Хотелось бы увидеть новый лог МВАМ |
|
------- Последний раз редактировалось thyrex, 27-12-2011 в 20:45. Отправлено: 20:25, 27-12-2011 | #6 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать Вот ещё логи.
|
|
Отправлено: 15:02, 28-12-2011 | #7 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать и вот)так не можете подсказать, что делать? файлы перестали быть видимыми с жёсткого диска, через диспетчер всё нормально.
|
|
Отправлено: 15:06, 28-12-2011 | #8 |
|
Старожил Сообщения: 251
|
Профиль | Отправить PM | Цитировать - Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('newdriver', 4);
StopService('newdriver');
QuarantineFile('\??\D:\WINDOWS\dfvbn.sys','');
QuarantineFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\hqAPkD14ejM.exe','');
QuarantineFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\JEJaWOLrTTY.exe','');
QuarantineFile('D:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('D:\WINDOWS\dfvbn.sys','');
QuarantineFile('d:\system volume information\_restore{3ffd8f7c-e940-4814-a995-aa924586019b}\RP185\A0507116.exe','');
QuarantineFile('d:\WINDOWS\system32\ieunitdrf.inf','');
DeleteFile('d:\WINDOWS\system32\ieunitdrf.inf');
DeleteFile('d:\system volume information\_restore{3ffd8f7c-e940-4814-a995-aa924586019b}\RP185\A0507116.exe');
DeleteFile('D:\WINDOWS\dfvbn.sys');
DeleteFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\JEJaWOLrTTY.exe');
DeleteFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\hqAPkD14ejM.exe');
DeleteFile('\??\D:\WINDOWS\dfvbn.sys');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('newdriver');
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
После перезагрузки: - Выполните в АВЗ: Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Запустите MBAM -> Перейдите на вкладку "Карантин" -> выберите объект d:\WINDOWS.0\system32\ctfmon.exe -> нажмите кнопку "Восстановить" - Повторите логи АВЗ и РСИТ. |
|
Последний раз редактировалось Drongo, 28-12-2011 в 19:32. Причина: По просьбе thyrex'a Отправлено: 16:11, 28-12-2011 | #9 |
|
Новый участник Сообщения: 10
|
Профиль | Отправить PM | Цитировать Вот,спасибо, файлы на жёстком диске уже стали отображаться
|
|
Отправлено: 17:25, 29-12-2011 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| klpclst.dat | Dezolato | Лечение систем от вредоносных программ | 9 | 10-12-2011 13:13 | |
| [решено] klpclst.dat | letor83 | Лечение систем от вредоносных программ | 5 | 06-12-2011 22:16 | |
| [решено] klpclst.dat | Smolyanchik | Лечение систем от вредоносных программ | 5 | 03-12-2011 13:49 | |
| [решено] klpclst.dat, wndsksi.inf и igfxtray.dat | Al Cos | Лечение систем от вредоносных программ | 11 | 01-12-2011 20:24 | |
| klpclst.dat | korolplanet | Лечение систем от вредоносных программ | 4 | 29-10-2011 17:03 | |
|
|
Время: 12:05. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
