![]() |
klpclst.dat и другие звери
Вложений: 2
Нужна помощь.
MS Security обнаружил траяна типа carberp и действительно появился файл klpclst.dat. MS Security его "убивает", но до лишь перезагрузки. Полное сканирование CureIt от drWeb (и MS Security после удаления carberp) траянов и вирусов не обнаруживает. Вскоре после этого перестал загружаться Хром от имени юзера, т.е. загружается только под администратором; изменилось и поведение Яндекс-почты. В диспетчере задач появился подозрительный процесс igfxtray.exe. Все логи, которые посылаю, (кроме последнего со скриптом №2) выполнены при "убитом" carberp и остановленном igfxtray.exe. После перезагрузки, выполненной после скрипта №3, MS Security не загрузился автоматически, что неприятно отдельно |
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe |
Вложений: 1
Посылаю лог
|
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll:: ![]() Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. |
Спасибо!
Брандмауер и антивирь снова отключить? |
Да, желательно, чтобы не было зависаний
|
Вложений: 1
Посылаю, но архиватор вдруг отказывает в доступе к этому файлу, так посылаю не архивированным, простите.
|
Как самочувствие системы?
|
В целом пока не тестировал подробно... Проверяю
Хром стал запускаться (!), яндекс почта перестала дурить, MS секюрити сообщений монитора о наличии вируса не вывешивет. Похоже, что проблема решена. Спасибище! :)) |
Влас391, Выполните рекомендации после лечения
|
|
вместо деинсталляции идет запуск ComboFix с окончательной записью, что деинсталляция не выполнена (?)
Возможно следует предварительно отключить бранмауер и MS секьюрити? |
Цитата:
|
Да, спасибо.
ComboFix и сам OTCleanIt после перезагрузки исчезли. Спасибище! |
При проверке диска С обнаруживаются папки с подозрительными именами:
32788R22FWJFW gtfirstboot lT5tG6gd6zj5jG6 все пустые (если смотреть обычным образом) с датой создания сегодня Проверка этих папок MS Security заканчивается успешно. Удалить их? |
И еще: диспетчер показывает подозрительные процессы:
hkcmd.exe user 508 КБ hkcmd Module igfxpers.exe user 304 КБ persistence Module igfxsrvc.exe user 888 КБ igfxsrvc Module igfxtray.exe user 280 КБ igfxTray Module Особенно тревожит последний - инфу о том, что он часть трояна я уже встречал |
выполните лог RSIT
+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM |
Вложений: 1
Лог RSIT посылаю.
В "ARO 2012" никаких пунктов для обновления базы не вижу, как и пунктов "Perform Full Scan", и т.п. похоже, что мы говорим о разных продуктах |
папки C:\lT5tG6gd6zj5jG6 и C:\32788R22FWJFW удалите ручками
выполните полное сканирование МВАМ и ничего не удаляя, прикрепите сюда лог сканирования |
Полное сканирование с помощью "ARO 2012" выполнил, но лог сканирования в виде файла получить не могу - не вижу нужных опций. :((
(упомянутые две папки удалил) |
Вложений: 1
Мы об одном и том же говорим?
Посылаю скрин-шот того, что я скачал по присланной ссылке |
вы это где это там нашли?) с зеркала тоже скачать не можете?
пробуйте отсюда http://multi-up.com/640775 скачать |
скачал ЭТО прямо с вашей ссылки, ОНО установилось, запустилось и поставило меня в тупик ))))
Сейчас скачаю с зеркала |
Вложений: 1
Вот коротенький логфайл от Mbam
|
Никто из четырех "виновников" в логе не может давать странных процессов, о которых я писал, ИМХО.
Последний файл - следы (???) траяна, который я сам удалял на другом компе года три назад и который переехал на D вместе с наследством Все, кроме первого (ACD...) могу удалить ничем не рискуя или просто деинсталлировать с концами. |
беспокоющие вас файлы находятся в директории C:\Windows\System32 и являются легитимными
D:\БорьбаСВирусом\008537D9.exe (Trojan.Agent) -это удалите, остальное на ваше усмотрение |
И что делать???
Подозрительные процессы меня беспокоят, особенно igfxtray.exe ... |
Код:
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe вам больше не о чем беспокоиться вот если бы они находились в другой директории, тогда это бы были зловреды, и мы бы с вами их удалили. Понятно? |
Да, спасибо за разъяснения, за помощь и просто
СПАСИБО :)) блин, теперь мозилла-9 долго грузится и зависает так, что вырубить его можно только диспетчером. Перезагрузка не помогает. (( Хром работает нормально, остальное пока не знаю... |
Виновата не мозилла, просто система стала дольше ((( грузиться...
|
Время: 00:20. |
Время: 00:20.
© OSzone.net 2001-