Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   klpclst.dat (http://forum.oszone.net/showthread.php?t=224003)

AngelTears 28-12-2011 21:25 1824378
klpclst.dat
 
Вложений: 2
Здравствуйте.
Случайно обнаружил в корне системного диска папку с непонятным именем, созданную несколько дней назад. В ней два файла - klpclst.dat и wndsksi.inf
Я решил сначала понять, вирус это или нет. Стал гуглить.
Гугл вывел меня на этот форум, где за последние несколько дней уже минимум 2 темы с таким содержанием. Но я не уверен, что решение во всех случаях одно и то же - поэтому решил создать собственную тему.
Никаких особенностей в работе за последние дни не заметил. То есть пока единственное проявление - сами файлы. В соседней теме прочитал, что у человека ещё есть файл с непонятным именем в автозагрузке. Я посмотрел, он и у меня есть. Но вот сейчас - после проведения всех процедур для собирания логов и перезагрузки - файла уже нет в автозагрузке (смотрю в Start -> All Programs -> Startup).
Прошу помощи с устранением этой бяки и, возможно, её последствий с компа.
Сейчас приклеплю логи.

iskander-k 28-12-2011 23:53 1824466
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('newdriver');
 QuarantineFile('C:\WINDOWS\ggfss.sys','');
 QuarantineFile('\??\C:\WINDOWS\ggfss.sys','');
 DeleteFile('C:\WINDOWS\ggfss.sys');
 DeleteFile('\??\C:\WINDOWS\ggfss.sys');
 DeleteService('newdriver');
 DeleteFileMask('C:\KQSzs1evrvqpFra','*',true);
 DeleteFileMask('C:\Documents and Settings\petr\Application Data\MicroST','*',true);
 DeleteDirectory('C:\KQSzs1evrvqpFra');
 DeleteDirectory('C:\Documents and Settings\petr\Application Data\MicroST');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

AngelTears 29-12-2011 18:26 1825051
Вложений: 1
Не всё сразу прошло гладко, напишу, что делал и почему не сразу гладко.
Выполнил скрипт AVZ. В процессе выполнения windows сбросил меня в синий экран. Конфликтующим драйвером был указан как раз ggfss.sys. Далее я перезагрузился и подумал, что с этой частью всё я сделал. Сделал формирование карантина, отправил по форме.
Сделал всё, что нужно с Malwarebytes. Лог прикрепляю файлом. Там нашли 3 подозрительных файла. Я решил все 3 удалить (или не надо было своевольничать?).
После ряда перезагрузок я обнаружил в корне диска C новую папку с непонятным названием и всё теми же двумя файлами. Решил удалить их.
После ряда перезагрузок новых странных папок не появилось.
Потом я решил посмотреть код скрипта. Понял, что целью было в том числе удаление папки MicroST, обнаружил, что она не тронута. Видимо сброс в синий экран произошёл до полного выполнения скрипта. Выполнил скрипт ещё раз. Теперь этой папки нет.

В общем на данный момент - после многих перезагрузок и некоторого времени в корне диска C нет странной папки; файлов и папок, которые должны были удалиться скриптом, тоже нет.
На этом всё или стоит ещё какие-нибудь действия предпринять для полного успокоения, что всё, что нужно, удалилось?

iskander-k 29-12-2011 19:40 1825101
Всё что сделали правильно.

Обновите базы АВЗ и сделайте новый комплект логов - для проверки.

AngelTears 29-12-2011 21:14 1825162
Вложений: 2
Вот:

thyrex 29-12-2011 21:22 1825171
В логах необычного не увидел

AngelTears 29-12-2011 21:30 1825178
А есть информация по опасности этой штуки?
Например, могли ли мои пароли стать известны кому-либо?

thyrex 29-12-2011 21:44 1825187
Смените, на всякий случай

AngelTears 29-12-2011 21:53 1825196
iskander-k, thyrex
Спасибо большое за оперативную, бескорыстную помощь.
С наступающим вас новым годом!


Время: 02:19.

Время: 02:19.
© OSzone.net 2001-