[решено] klpclst.dat и другие звери

alex_sev · Конфигурация компьютера

+

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Влас391 · Отправлено: **17:30, 01-02-2012** | #12

вместо деинсталляции идет запуск ComboFix с окончательной записью, что деинсталляция не выполнена (?)
Возможно следует предварительно отключить бранмауер и MS секьюрити?

alex_sev · Конфигурация компьютера

Цитата alex_sev:

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up »

Вот это выполните

Влас391 · Отправлено: **17:45, 01-02-2012** | #14

Да, спасибо.
ComboFix и сам OTCleanIt после перезагрузки исчезли.
Спасибище!

Влас391 · Отправлено: **18:08, 01-02-2012** | #15

При проверке диска С обнаруживаются папки с подозрительными именами:
32788R22FWJFW
gtfirstboot
lT5tG6gd6zj5jG6
все пустые (если смотреть обычным образом) с датой создания сегодня
Проверка этих папок MS Security заканчивается успешно.
Удалить их?

Влас391 · Отправлено: **18:32, 01-02-2012** | #16

И еще: диспетчер показывает подозрительные процессы:

hkcmd.exe user 508 КБ hkcmd Module
igfxpers.exe user 304 КБ persistence Module
igfxsrvc.exe user 888 КБ igfxsrvc Module
igfxtray.exe user 280 КБ igfxTray Module

Особенно тревожит последний - инфу о том, что он часть трояна я уже встречал

SolarSpark · Отправлено: **18:37, 01-02-2012** | #17

выполните лог RSIT
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Влас391 · Отправлено: **19:08, 01-02-2012** | #18

Лог RSIT посылаю.
В "ARO 2012" никаких пунктов для обновления базы не вижу, как и пунктов "Perform Full Scan", и т.п.
похоже, что мы говорим о разных продуктах

SolarSpark · Отправлено: **19:19, 01-02-2012** | #19

папки C:\lT5tG6gd6zj5jG6 и C:\32788R22FWJFW удалите ручками
выполните полное сканирование МВАМ и ничего не удаляя, прикрепите сюда лог сканирования

Влас391 · Отправлено: **19:28, 01-02-2012** | #20

Полное сканирование с помощью "ARO 2012" выполнил, но лог сканирования в виде файла получить не могу - не вижу нужных опций.

(
(упомянутые две папки удалил)