Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Борьба с klpclst.dat (http://forum.oszone.net/showthread.php?t=228834)

B.Brother 26-02-2012 17:34 1867060
Борьба с klpclst.dat
 
Добры

B.Brother 26-02-2012 17:41 1867063
Добрый день. Прошу помощи в лечении от вируса file:C:\lTfyTmneTr8OUAG\klpclst.dat
MSE его не лечит.

iskander-k 26-02-2012 20:40 1867186
Приветствую.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\iVAN\AppData\Local\Temp\9eN01fCt.sys','');
 QuarantineFile('Q:\autorun.inf','');
QuarantineFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ELYDzeMiWcI.exe','');
 QuarantineFile('C:\Windows\System32\Drivers\amzvil13.SYS','');
 DeleteFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ELYDzeMiWcI.exe');
 DeleteFile('C:\Users\iVAN\AppData\Local\Temp\9eN01fCt.sys');
 DeleteFile('Q:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

B.Brother 27-02-2012 21:19 1867885
Сканирование утилитой МВАМ показала:
Код:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.02.27.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
iVAN :: IVAN-THINK [администратор]

27.02.2012 21:11:32
mbam-log-2012-02-27 (21-11-32).txt

Тип сканирования:  Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  180072
Времени прошло:  5 минут , 2 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  2
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Помещено в карантин и успешно удалено.
HKCR\bonus.eProtocol (Trojan.WebMoner) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено)

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  3
C:\Users\iVAN\Desktop\Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Users\iVAN\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Помещено в карантин и успешно удалено.

(конец)

iskander-k 27-02-2012 21:53 1867918
Обновите АВЗ и повторите логи АВЗ и RSIT/

B.Brother 27-02-2012 23:09 1867976
Этот вирус вновь появился и дал о себе знать в MSE, несмотря на то, что в интернете за последние сутки я был только на этом форуме.
Как было указано: обновил АВЗ и выполнил скрипты в АВЗ и запустил RSIT. во вложении новые логи. Прошу помощи!

iskander-k 27-02-2012 23:40 1867996
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk','');
 QuarantineFile('C:\Users\iVAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk','');
 QuarantineFile('C:\Program Files\Microsoft Security Client\Backup\en-us\epploc_x86.msi','');
 QuarantineFile('C:\Program Files\Microsoft Security Client\Backup\ru-ru\epploc_x86.msi','');
 QuarantineFile('C:\Windows\Installer\2125e2.msi','');
QuarantineFile('C:\plg.txt','');
  DeleteFile('C:\plg.txt');
 DeleteFileMask('C:\lTfyTmneTr8OUAG', '*.*', true);
 DeleteFileMask('C:\Users\iVAN\AppData\Roaming\lTfyTmneTr8OUAG', '*.*', true);
 DeleteDirectory('C:\lTfyTmneTr8OUAG');
 DeleteDirectory('C:\Users\iVAN\AppData\Roaming\lTfyTmneTr8OUAG');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

B.Brother 28-02-2012 00:53 1868041
Malwarebytes Anti-Malware
Код:
1.60.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.02.27.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7601.17514
iVAN :: IVAN-THINK [администратор]

28.02.2012 0:47:29
mbam-log-2012-02-28 (00-47-29).txt

Тип сканирования:  Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  180019
Времени прошло:  4 минут , 47 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено)

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  1
C:\Users\iVAN\Desktop\Patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.

(конец)

iskander-k 29-02-2012 00:03 1868841
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

B.Brother 03-03-2012 18:58 1871649
Добрый день.
Выслал по почте архив.
Произвел проверку TDSSKiller'ом.
Лог во вложении.

iskander-k 03-03-2012 19:36 1871664
Что с проблемой ?

B.Brother 06-03-2012 20:38 1873809
Спасибо большое.
Проблемы теперь не наблюдаются.

iskander-k 06-03-2012 20:55 1873821
Смените пароли.
И постарайтесь по мере возможности выполнить рекомендации после лечения


Время: 00:26.

Время: 00:26.
© OSzone.net 2001-