Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Тоже klpclst.dat (http://forum.oszone.net/showthread.php?t=231420)

ivanzxcv 27-03-2012 20:56 1888021
Тоже klpclst.dat
 
Здравствуйте, такая проблема здесь уже обсуждалась, но универсального решения не нашел или не понял, может. Короче прошу помочь.
На диске С в директории из разных символов после каждой перегрузки компьютера появляется файл klpclst.dat. Его успешно отлавливает и бросает в карантин комода. Сканирование компьютера комодой или доктором вебом результата не дает. Файл каждый раз появляется снова. Из побочных эффектов вируса – не работают все интернет обозреватели.
Логи прилагаю.
В дополнение к стандартным логам, прикладываю лог Malwarebytes Anti-Malware (что-то он нашел и удалил но проблему не решил). Видел, что запрашивали его у человека с аналогичной проблемой.
Нужно ли менять все пароли, с учетом того, что сам файл блокировался комодой?
Заранее спасибо за помощь!

ivanzxcv 27-03-2012 21:02 1888027
Вложений: 3
Файлы

Warrior Kratos 27-03-2012 21:18 1888036
Здравствуйте! Сейчас посмотрю логи.

Warrior Kratos 27-03-2012 22:01 1888068
1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe','');
 QuarantineFile('C:\WINDOWS\system32\88644A\330D91.EXE','');
 QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\330D91.lnk','');
 QuarantineFileF('C:\WINDOWS\system32\88644A', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\WINDOWS\system32\E5E969', '*.*', false, '', 0, 0);
 DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\330D91.lnk');   
 DeleteFile('C:\WINDOWS\system32\88644A\330D91.EXE');
 DeleteFile('C:\plg.txt');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe');
 if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');
 DeleteFileMask('C:\WINDOWS\system32\88644A', '*.*', true);
 DeleteFileMask('C:\WINDOWS\system32\E5E969', '*.*', true);
 DeleteDirectory('C:\WINDOWS\system32\88644A');
 DeleteDirectory('C:\WINDOWS\system32\E5E969');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы.

2. Запустите Hijackthis/ В логе сканирования отметьте следующие строки:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) -  - (no file)
O4 - S-1-5-18 Startup: 330D91.lnk = C:\WINDOWS\system32\88644A\330D91.EXE (User 'SYSTEM')
O4 - S-1-5-18 Startup: Hqnn4sWivTM.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: 330D91.lnk = C:\WINDOWS\system32\88644A\330D91.EXE (User 'Default user')
O4 - .DEFAULT Startup: Hqnn4sWivTM.exe (User 'Default user')
O4 - Startup: 330D91.lnk = C:\WINDOWS\system32\88644A\330D91.EXE
O4 - Startup: Hqnn4sWivTM.exe
O9 - Extra button: (no name) - DctMapping - (no file)
Если прокси не используете, то пофиксите:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
3.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 или с зеркала и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

4.
Код:
C:\TDSSKiller.2.7.22.0_25.03.2012_23.18.39_log.txt
Запускали TDSS? Будьте добры отчёт приложите.

Смените все пароли!!!
Сделайте повторные логи AVZ и RSIT.

ivanzxcv 28-03-2012 23:25 1888889
Вложений: 5
Добрый вечер.
Старался следовать рекомендациям. Первый скрипт в AVZ до перезагрузки не дошел – высылаю лог.
Перегружал сам – директории C:\WINDOWS\system32\88644A и C:\WINDOWS\system32\E5E969 удалил вручную. Они были пустые.
Hijackthis запускал, указанные Вами строки отметил и удалил.
Лог SecurityCheck, TDSSKiller, и новые логии AVZ и RSIT высылаю. Карантин тоже….
Спасибо.

Warrior Kratos 29-03-2012 09:41 1889054
Цитата:
Цитата ivanzxcv
Первый скрипт в AVZ до перезагрузки не дошел »
хм, странно.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe','');
 QuarantineFileF('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp', '*.*', false, '', 0, 0);
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Hqnn4sWivTM.exe');
 DeleteFile('C:\plg.txt');
 DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы.

Цитата:
Java(TM) 6 Update 29
Java version out of date!
Adobe Reader 9 Adobe Reader out of date!
- Обновите Java до актуальной версии
- Обновите Adobe Reader до актуальной версии


Если Центр обеспечения безопасности не выключали, выполните следующее:
ПКМ на значке Мой компьютер - Управление - Службы и приложения- Службы - Центр обеспечения безопасности - ПКМ - Свойства - Тип запуска поставить Авто и запустить.

ivanzxcv 29-03-2012 19:29 1889519
Огромное Вам спасибо!!
Вируса больше нет.

Warrior Kratos 29-03-2012 19:36 1889524
ivanzxcv, было бы славно, если бы вы ещё повторные логи приложили. :)
Цитата:
Цитата Warrior Kratos
- Обновите Java до актуальной версии
- Обновите Adobe Reader до актуальной версии
Если Центр обеспечения безопасности не выключали, выполните следующее:
ПКМ на значке Мой компьютер - Управление - Службы и приложения- Службы - Центр обеспечения безопасности - ПКМ - Свойства - Тип запуска поставить Авто и запустить. »
Это не забудьте сделать!!!

SolarSpark 29-03-2012 22:59 1889651
Цитата:
Цитата Warrior Kratos
было бы славно, если бы вы ещё повторные логи приложили. »
да! Это важно

ivanzxcv 30-03-2012 23:16 1890418
Вложений: 2
Надо, так надо :)

Warrior Kratos 31-03-2012 09:02 1890529
ivanzxcv, вы уязвимости точно все закрыли? К вам ещё один карберп пролез..

1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe','');
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\pS7iGKeM2wTmeXA', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\pS7iGKeM2wTmeXA', '*.*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp', '*.*', false, '', 0, 0);
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe');
 DeleteFileMask('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\pS7iGKeM2wTmeXA', '*.*', true);
 DeleteFileMask('C:\pS7iGKeM2wTmeXA', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\pS7iGKeM2wTmeXA');
 DeleteDirectory('C:\pS7iGKeM2wTmeXA');
 DeleteDirectory('C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Admin\Local Settings\Temp\~nsu.tmp\Au_.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы.

Смените все пароли!!!
Сделайте повторные логи AVZ и RSIT.

iskander-k 31-03-2012 14:12 1890683
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

ivanzxcv 02-04-2012 00:26 1891622
Вложений: 3
Странно, вроде все выполнил как рекомендовали.....
Ничего вредоносного пока не вижу.
Высылаю логи.

Warrior Kratos 02-04-2012 14:34 1891908
Вот теперь чисто :)
- Cкачайте и установите все последние обновления для безопасности Windows
- Рекомендации после лечения
- желательно отключить автозапуск на этих устройствах,
Код:
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
т.к. это повышает уязвимость вашей системы. Можете исправить с помощью AVZ - меню "Файл\Мастер поиска и устранения проблем"

ivanzxcv 03-04-2012 20:07 1892813
Все сделал.
Еще раз большое спасибо!!!
Если бы не вы - пришлось бы переустанавливать все.


Время: 01:46.

Время: 01:46.
© OSzone.net 2001-