Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] klpclst.dat и другие звери (http://forum.oszone.net/showthread.php?t=226777)

Влас391 01-02-2012 12:28 1849191

klpclst.dat и другие звери
 
Вложений: 2
Нужна помощь.
MS Security обнаружил траяна типа carberp и действительно появился файл klpclst.dat.
MS Security его "убивает", но до лишь перезагрузки.
Полное сканирование CureIt от drWeb (и MS Security после удаления carberp) траянов и вирусов не обнаруживает.

Вскоре после этого перестал загружаться Хром от имени юзера, т.е. загружается только под администратором; изменилось и поведение Яндекс-почты.
В диспетчере задач появился подозрительный процесс igfxtray.exe.

Все логи, которые посылаю, (кроме последнего со скриптом №2) выполнены при "убитом" carberp и остановленном igfxtray.exe.

После перезагрузки, выполненной после скрипта №3, MS Security не загрузился автоматически, что неприятно отдельно

thyrex 01-02-2012 12:31 1849197

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Влас391 01-02-2012 14:02 1849275

Вложений: 1
Посылаю лог

alex_sev 01-02-2012 14:36 1849311

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

KillAll::

File::
c:\users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PWTvzxQBNUM.exe
Driver::

Folder::
C:\lT5tG6gd6zj5jG6
Registry::

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Влас391 01-02-2012 14:45 1849317

Спасибо!
Брандмауер и антивирь снова отключить?

alex_sev 01-02-2012 15:00 1849327

Да, желательно, чтобы не было зависаний

Влас391 01-02-2012 15:40 1849351

Вложений: 1
Посылаю, но архиватор вдруг отказывает в доступе к этому файлу, так посылаю не архивированным, простите.

alex_sev 01-02-2012 15:42 1849353

Как самочувствие системы?

Влас391 01-02-2012 15:44 1849356

В целом пока не тестировал подробно... Проверяю

Хром стал запускаться (!), яндекс почта перестала дурить, MS секюрити сообщений монитора о наличии вируса не вывешивет.
Похоже, что проблема решена.
Спасибище! :))

SolarSpark 01-02-2012 16:30 1849382

Влас391, Выполните рекомендации после лечения

alex_sev 01-02-2012 17:05 1849408

+

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Влас391 01-02-2012 17:30 1849425

вместо деинсталляции идет запуск ComboFix с окончательной записью, что деинсталляция не выполнена (?)
Возможно следует предварительно отключить бранмауер и MS секьюрити?

alex_sev 01-02-2012 17:35 1849429

Цитата:

Цитата alex_sev
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up »

Вот это выполните

Влас391 01-02-2012 17:45 1849437

Да, спасибо.
ComboFix и сам OTCleanIt после перезагрузки исчезли.
Спасибище!

Влас391 01-02-2012 18:08 1849462

При проверке диска С обнаруживаются папки с подозрительными именами:
32788R22FWJFW
gtfirstboot
lT5tG6gd6zj5jG6
все пустые (если смотреть обычным образом) с датой создания сегодня
Проверка этих папок MS Security заканчивается успешно.
Удалить их?

Влас391 01-02-2012 18:32 1849481

И еще: диспетчер показывает подозрительные процессы:

hkcmd.exe user 508 КБ hkcmd Module
igfxpers.exe user 304 КБ persistence Module
igfxsrvc.exe user 888 КБ igfxsrvc Module
igfxtray.exe user 280 КБ igfxTray Module

Особенно тревожит последний - инфу о том, что он часть трояна я уже встречал

SolarSpark 01-02-2012 18:37 1849487

выполните лог RSIT
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Влас391 01-02-2012 19:08 1849511

Вложений: 1
Лог RSIT посылаю.
В "ARO 2012" никаких пунктов для обновления базы не вижу, как и пунктов "Perform Full Scan", и т.п.
похоже, что мы говорим о разных продуктах

SolarSpark 01-02-2012 19:19 1849516

папки C:\lT5tG6gd6zj5jG6 и C:\32788R22FWJFW удалите ручками
выполните полное сканирование МВАМ и ничего не удаляя, прикрепите сюда лог сканирования

Влас391 01-02-2012 19:28 1849520

Полное сканирование с помощью "ARO 2012" выполнил, но лог сканирования в виде файла получить не могу - не вижу нужных опций. :((
(упомянутые две папки удалил)

Влас391 01-02-2012 19:36 1849527

Вложений: 1
Мы об одном и том же говорим?
Посылаю скрин-шот того, что я скачал по присланной ссылке

SolarSpark 01-02-2012 21:15 1849573

вы это где это там нашли?) с зеркала тоже скачать не можете?
пробуйте отсюда http://multi-up.com/640775 скачать

Влас391 01-02-2012 21:29 1849590

скачал ЭТО прямо с вашей ссылки, ОНО установилось, запустилось и поставило меня в тупик ))))
Сейчас скачаю с зеркала

Влас391 01-02-2012 23:15 1849703

Вложений: 1
Вот коротенький логфайл от Mbam

Влас391 01-02-2012 23:36 1849712

Никто из четырех "виновников" в логе не может давать странных процессов, о которых я писал, ИМХО.
Последний файл - следы (???) траяна, который я сам удалял на другом компе года три назад и который переехал на D вместе с наследством
Все, кроме первого (ACD...) могу удалить ничем не рискуя или просто деинсталлировать с концами.

SolarSpark 01-02-2012 23:39 1849716

беспокоющие вас файлы находятся в директории C:\Windows\System32 и являются легитимными

D:\БорьбаСВирусом\008537D9.exe (Trojan.Agent) -это удалите, остальное на ваше усмотрение

Влас391 01-02-2012 23:42 1849718

И что делать???
Подозрительные процессы меня беспокоят, особенно igfxtray.exe ...

SolarSpark 01-02-2012 23:48 1849721

Код:

O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

еще раз повторяю-это не зловреды-это правильные процессы и принадлежит программе Intel(R) Common User Interface
вам больше не о чем беспокоиться

вот если бы они находились в другой директории, тогда это бы были зловреды, и мы бы с вами их удалили. Понятно?

Влас391 01-02-2012 23:50 1849723

Да, спасибо за разъяснения, за помощь и просто
СПАСИБО :))

блин, теперь мозилла-9 долго грузится и зависает так, что вырубить его можно только диспетчером.
Перезагрузка не помогает. ((
Хром работает нормально, остальное пока не знаю...

Влас391 02-02-2012 00:12 1849735

Виновата не мозилла, просто система стала дольше ((( грузиться...


Время: 00:20.

Время: 00:20.
© OSzone.net 2001-