Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Снова klpclst.dat, +0fk4xdx9b.exe, + нод не может включить firewall. (http://forum.oszone.net/showthread.php?t=228562)

Madwize 22-02-2012 22:34 1864747
Снова klpclst.dat, +0fk4xdx9b.exe, + нод не может включить firewall.
 
Вложений: 2
Здравствуйте! У меня такая же проблема, как у многих тут уже была, но мне показалось, что у каждого случай индивидуальный, и есть смысл создать новую тему, потому что мало ли у меня что по-другому будет.
Проблем несколько:
1. в корне C: создаются папки с названием в виде латинской абракадабры, в них файл klpclst.dat
2. каждый раз при включении компьютера НОД выдает такое предупреждение:

" 22.02.2012 22:13:23 Защита в режиме реального времени файл C:\Users\Сергеич))\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0fk4xdx9b.exe Win32/TrojanDownloader.Carberp.AI троянская программа очищен удалением - изолирован PK\Сергеич)) Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. "

3. пару дней назад, опять же, НОД насторожил меня следующим:

"21.02.2012 16:49:43 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » svchost.exe(4884) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна PK\Сергеич)) "

"19.02.2012 21:38:57 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1884) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна PK\Сергеич)) "

4. Всё тот же НОД (пятая версия) жалуется на то, что у него прошла ошибка инициализации персонального файерволла, и молит переустановить его. Я этим занимался несколько раз, но всё безрезультатно. В настройках же написано, что защита доступа в интернет отключена, и её не включить, т.к. файерволл не может запуститься.

Несколько раз проверял различными антивирусами компьютер, находил много чего, всё что мог - удалял. Большинство находилось в папках AppData, Roaming, Temp, которые я почти подчистую снёс (а зря :D).
Сейчас беспокоят папки в корне С:, и странный процесс, появляющийся каждый раз в автозапуске (0fk4xdx9b.exe)

Еще не понимаю, как это всё добро вообще пробралось ко мне, т.к. у меня всё наглухо заперто, я даже через домашнюю группу не могу с другого компьютера подключиться, и НОД до недавнего времени мне ни о чем не говорил. Ну да ладно.

+++ да-да, совсем забыл!!! Хром не работает, точно так же как у других ребят! просто пустое окно, и кружочек загрузки!

S.R 22-02-2012 22:51 1864753
Добрый вечер,
сейчас посмотрю логи.

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Сергеич))\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0fk4xdx9b.exe','');
 DeleteFile('C:\Users\Сергеич))\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0fk4xdx9b.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.
ПК перезагрузится. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
  • Скачайте ComboFix по одной из этих ссылок. Сохраните программу на рабочий стол.
  • Важно! На время работы программы отключите всё защитное программное обеспечение.
  • Дважды щёлкните по значку, чтобы запустить программу. Убедитесь, что все остальные программы закрыты.
  • Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной зависания программы.
  • Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.

прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe

Madwize 22-02-2012 23:28 1864768
Вложений: 4
Отправил карантин.
Прикрепляю лог КобмоФикса.
Добавил логи АВЗ. Там еще и диск Д проверился =\
+ rsit

S.R 23-02-2012 02:08 1864827
По логам пока не видно ничего плохого.
Ждём лог MBAM.

Madwize 23-02-2012 15:06 1865156
Вложений: 1
Точно не уверен, но полагаю это он?

S.R 23-02-2012 15:46 1865186
Цитата:
Цитата Madwize
Точно не уверен, но полагаю это он? »
Да, лог чист.

Код:
uStart Page = hxxp://www.vtcdirect.ru/773/welcome_homepage/index.php?id=HH
Это сами прописывали?


Выполните скрипт в AVZ:
Код:
begin
ExecuteRepair(14);
RebootWindows(true);
end.
ПК перезагрузится.


Проблемы ещё есть?


Время: 06:17.

Время: 06:17.
© OSzone.net 2001-