Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] klpclst.dat и wndsksi.inf (http://forum.oszone.net/showthread.php?t=228727)

OzZu 25-02-2012 11:58 1866164
klpclst.dat и wndsksi.inf
 
Вложений: 2
Здравствуйте!

Недавно столкнулся с этиой гадостью

В корне C:\ в директории с бредовым названием к примеру - lTfyTmneTr9KTvE в ней лежат файлы klpclst.dat и wndsksi.inf

когда удаляю создаеться другая папка с такимже непонятном названием

Других проявлений вируса пока не заметно.

Логи прилагаю.

Заранее спасибо за помощь.

Techno88 25-02-2012 12:33 1866182
Здравствуйте!!! Посмотрю...

- Выполните в АВЗ:
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\mark\AppData\Local\Temp\576F.tmp','');
 QuarantineFile('c:\users\mark\documents\программы\vkbot.exe','');
 DeleteFile('C:\Users\mark\AppData\Local\Temp\576F.tmp');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
 DeleteFileMask('C:\lTfyTmneTr9KTvE','*',true);
 DeleteFileMask('C:\Users\mark\AppData\Roaming\lTfyTmneTr9KTvE','*',true);
 DeleteFileMask('C:\Users\mark\AppData\Roaming\MicroST','*',true);
 DeleteFileMask('C:\systemhost','*',true);
 DeleteDirectory('C:\lTfyTmneTr9KTvE');
 DeleteDirectory('C:\Users\mark\AppData\Roaming\lTfyTmneTr9KTvE');
 DeleteDirectory('C:\Users\mark\AppData\Roaming\MicroST');
 DeleteDirectory('C:\systemhost');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через форму. Укажите ссылку на тему и ник на форуме.

- Повторите логи

OzZu 25-02-2012 16:45 1866331
Вложений: 2
Отправил на почту
Вроде папка удалилась, я так понимаю что вирус был в vkbot'e?

Techno88 25-02-2012 16:53 1866337
Цитата:
Цитата OzZu
я так понимаю что вирус был в vkbot'e? »
Нет, vkbot я не удалял, а всего лишь взял в карантин. Проверьте его на https://www.virustotal.com/ , ссылку на результат покажите.

OzZu 25-02-2012 16:59 1866339
понятно вот
https://www.virustotal.com/file/122b...is/1330174544/
чистый вроде юзаю его уже больше двух лет не каких проблем с ним небыло.

Techno88 25-02-2012 17:04 1866342
В логах порядок.

Выполните рекомендации после лечения

OzZu 25-02-2012 17:17 1866350
Спасибо нашел много полезной информаций для себя.

Techno88 25-02-2012 17:23 1866352
И смените все пароли


Время: 17:17.

Время: 17:17.
© OSzone.net 2001-