klpclst.dat и другие звери
 

Нужна помощь.
MS Security обнаружил траяна типа carberp и действительно появился файл klpclst.dat.
MS Security его "убивает", но до лишь перезагрузки.
Полное сканирование CureIt от drWeb (и MS Security после удаления carberp) траянов и вирусов не обнаруживает.

Вскоре после этого перестал загружаться Хром от имени юзера, т.е. загружается только под администратором; изменилось и поведение Яндекс-почты.
В диспетчере задач появился подозрительный процесс igfxtray.exe.

Все логи, которые посылаю, (кроме последнего со скриптом №2) выполнены при "убитом" carberp и остановленном igfxtray.exe.

После перезагрузки, выполненной после скрипта №3, MS Security не загрузился автоматически, что неприятно отдельно

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Посылаю лог

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Спасибо!
Брандмауер и антивирь снова отключить?

Да, желательно, чтобы не было зависаний

Посылаю, но архиватор вдруг отказывает в доступе к этому файлу, так посылаю не архивированным, простите.

Как самочувствие системы?

В целом пока не тестировал подробно... Проверяю

Хром стал запускаться (!), яндекс почта перестала дурить, MS секюрити сообщений монитора о наличии вируса не вывешивет.
Похоже, что проблема решена.
Спасибище! :))

Влас391, Выполните рекомендации после лечения

+

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

вместо деинсталляции идет запуск ComboFix с окончательной записью, что деинсталляция не выполнена (?)
Возможно следует предварительно отключить бранмауер и MS секьюрити?

Вот это выполните

Да, спасибо.
ComboFix и сам OTCleanIt после перезагрузки исчезли.
Спасибище!

При проверке диска С обнаруживаются папки с подозрительными именами:
32788R22FWJFW
gtfirstboot
lT5tG6gd6zj5jG6
все пустые (если смотреть обычным образом) с датой создания сегодня
Проверка этих папок MS Security заканчивается успешно.
Удалить их?

И еще: диспетчер показывает подозрительные процессы:

hkcmd.exe user 508 КБ hkcmd Module
igfxpers.exe user 304 КБ persistence Module
igfxsrvc.exe user 888 КБ igfxsrvc Module
igfxtray.exe user 280 КБ igfxTray Module

Особенно тревожит последний - инфу о том, что он часть трояна я уже встречал

выполните лог RSIT
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Лог RSIT посылаю.
В "ARO 2012" никаких пунктов для обновления базы не вижу, как и пунктов "Perform Full Scan", и т.п.
похоже, что мы говорим о разных продуктах

папки C:\lT5tG6gd6zj5jG6 и C:\32788R22FWJFW удалите ручками
выполните полное сканирование МВАМ и ничего не удаляя, прикрепите сюда лог сканирования

Полное сканирование с помощью "ARO 2012" выполнил, но лог сканирования в виде файла получить не могу - не вижу нужных опций. :((
(упомянутые две папки удалил)

Мы об одном и том же говорим?
Посылаю скрин-шот того, что я скачал по присланной ссылке

вы это где это там нашли?) с зеркала тоже скачать не можете?
пробуйте отсюда http://multi-up.com/640775 скачать

скачал ЭТО прямо с вашей ссылки, ОНО установилось, запустилось и поставило меня в тупик ))))
Сейчас скачаю с зеркала

Вот коротенький логфайл от Mbam

Никто из четырех "виновников" в логе не может давать странных процессов, о которых я писал, ИМХО.
Последний файл - следы (???) траяна, который я сам удалял на другом компе года три назад и который переехал на D вместе с наследством
Все, кроме первого (ACD...) могу удалить ничем не рискуя или просто деинсталлировать с концами.

беспокоющие вас файлы находятся в директории C:\Windows\System32 и являются легитимными

D:\БорьбаСВирусом\008537D9.exe (Trojan.Agent) -это удалите, остальное на ваше усмотрение

И что делать???
Подозрительные процессы меня беспокоят, особенно igfxtray.exe ...

еще раз повторяю-это не зловреды-это правильные процессы и принадлежит программе Intel(R) Common User Interface
вам больше не о чем беспокоиться

вот если бы они находились в другой директории, тогда это бы были зловреды, и мы бы с вами их удалили. Понятно?

Да, спасибо за разъяснения, за помощь и просто
СПАСИБО :))

блин, теперь мозилла-9 долго грузится и зависает так, что вырубить его можно только диспетчером.
Перезагрузка не помогает. ((
Хром работает нормально, остальное пока не знаю...

Виновата не мозилла, просто система стала дольше ((( грузиться...