Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] klpclst.dat (http://forum.oszone.net/showthread.php?t=223877)

OWEN101 27-12-2011 10:03 1823164
klpclst.dat
 
Hi! Помогите пожалста! на диске С, так же как и других из этой темы, в непонятной папке появилось это - klpclst.dat
Так же в автозагрузке появился процесс с именем из набора букв, ни то ни другое не удаляется, (klpclst.dat если удалить появляется снова),
Собственно не открывается вконтакте теперь, остальное не проверял, почта вроде цела пока.
Подцепил когда искал ключи для нод32.
Какие логи или что еще нужно делать и вам отсылать ??

SolarSpark 27-12-2011 10:20 1823177
Выполните рекомендации полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме.

OWEN101 27-12-2011 12:54 1823311
Вложений: 1
****
...не пойму, инфо.тхт никак не прикрепляется( ..написано его размер превышает допустимый форумный

Drongo 27-12-2011 13:12 1823324
OWEN101, Приветы.

Отключите:
Антивирус/Файерволл.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\587.tmp','');
 QuarantineFile('C:\WINDOWS\system32\ixhufll.dll','');
 QuarantineFile('C:\System Volume Information\_restore{72D2D334-DC9D-450E-B45A-7ECEB3FE1944}\RP344\A0083172.dll','');
 QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\wyiWXTQEIbA.exe','');
 DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\wyiWXTQEIbA.exe');
 DeleteFile('C:\System Volume Information\_restore{72D2D334-DC9D-450E-B45A-7ECEB3FE1944}\RP344\A0083172.dll');
 DeleteFile('C:\WINDOWS\system32\587.tmp');
 DeleteFile('C:\WINDOWS\system32\ixhufll.dll');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{5C255C8A-E604-49b4-9D64-90988571CECB}');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteRepair(13);
RebootWindows(true);
end.
После перезагрузки откроется папка AVZ в которой будет файл quarantine.zip. Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Нужно Пофиксить в эти строки в HiJackThis. Возможно некоторых строчек не будет, ничего страшного.
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 31.214.145.172 odnoklassniki.ru
O1 - Hosts: 31.214.145.172 www.facebook.com
O1 - Hosts: 31.214.145.172 www.vk.com
O1 - Hosts: 31.214.145.172 www.vkontakte.ru
O1 - Hosts: 31.214.145.172 vk.com
O1 - Hosts: 31.214.145.172 facebook.com
O1 - Hosts: 31.214.145.172 www.odnoklassniki.ru
O1 - Hosts: 31.214.145.172 ru-ru.facebook.com
O1 - Hosts: 31.214.145.172 vkontakte.ru
O1 - Hosts: 31.214.145.172 vkontakte.ru
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - S-1-5-18 Startup: wyiWXTQEIbA.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: wyiWXTQEIbA.exe (User 'Default user')
O4 - Startup: wyiWXTQEIbA.exe
Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

OWEN101 27-12-2011 18:24 1823534
извините , что так долго\
отправил пока что карантин.зип,
правда при том скрипте комп сам не перезагрузился, затормозил на половине,
еще было не подключится к инету после перезагр, подключился ток после восстановления и затем ток отправил, srr теперь буду у компа после 9 сделаю остальное)

OWEN101 27-12-2011 22:17 1823707
Вложений: 2
****

thyrex 27-12-2011 22:25 1823720
Папку C:\uC4oIZX09PRke6B удалите вручную

Больше необычного не видно

OWEN101 27-12-2011 23:48 1823772
Вложений: 1
вот ток отсканировала malwarebytes, прикрепляю,
еще не закрыл ее - нужно ли удалять то , что она нашла ??

OWEN101 27-12-2011 23:58 1823786
папку с дискаС удалил, хз появится ли еще, в мсконфиг в автозагр файл wyiWXTQEIbA.exe по -прежнему висит, правда теперь снята галочка,
его как -то можно удалить оттуда??
и теперь этот фаил не находится через поиск файлов, а раньше был в C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка и не удалялся вручную,
Вконтакте запустился! смс теперь не просит,

thyrex 28-12-2011 00:59 1823810
Код:
c:\documents and settings\User\application data\Sun\Java\deployment\cache\6.0\0\280fd200-3c99ce99 (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\User\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.
Удалить в обязательном порядке

OWEN101 28-12-2011 03:02 1823854
Большое Спасибо !!)) в целом все норм работает, эта хрень из названия темы больше не появлялась на С,
только это wyiWXTQEIbA.exe продолжает висеть в автозагрузке со снятой галочкой, но в папках не найти его мне\ - что -то можете сказать по этой дряни ? )
и еще позвольте вопрос: стоит ли лучше в магазине купить нод32 или разницы с использованием "халявных вещей" не почувствую ?

SolarSpark 28-12-2011 08:39 1823939
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelAutorunByFileName('wyiWXTQEIbA.exe');
RegKeyDel('HKLM','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^wyiWXTQEIbA.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

OWEN101 31-12-2011 13:03 1826076
После выполнения скрипта эта извините ***** удалилась из стартап !))
Еще раз Огромное Спасибо !)) Красавцы !)) С наступающим НовымГодом!))

проблема - решена!


Время: 17:32.

Время: 17:32.
© OSzone.net 2001-