[решено] Нужна ваша помощь по удалению klpclst.dat

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Нужна ваша помощь по удалению klpclst.dat

Доброе время суток.
Прошу вашей помощи по удалеию паразита... klpclst.dat Фыйлы прикрепляю. Зараннее спасибо.

Здравствуйте. Сейчас посмотрю логи.

virusinfo_cure.zip - это карантин его удалите, вместо него надо было прикрепить virusinfo_syscheck.zip

Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 TerminateProcessByName('c:\windows.0\system32\a25c70\t8b16670.exe');

 TerminateProcessByName('c:\windows.0\system32\regctrls.exe');

 TerminateProcessByName('c:\windows.0\system32\15a536\16473d.exe');

 QuarantineFile('C:\WINDOWS.0\system32\A25C70\krnln.fnr','');

 QuarantineFile('C:\WINDOWS.0\system32\A25C70\eAPI.fne','');

 QuarantineFile('C:\WINDOWS.0\system32\A25C70\dp1.fne','');

 QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\spec.fne','');

 QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\shell.fne','');

 QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\krnln.fnr','');

 QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\internet.fne','');

 QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\HtmlView.fne','');

 QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\eAPI.fne','');

 QuarantineFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\dp1.fne','');

 QuarantineFile('c:\windows.0\system32\a25c70\t8b16670.exe','');

 QuarantineFile('c:\windows.0\system32\regctrls.exe','');

 QuarantineFile('C:\WINDOWS.0\system32\drivers\vdu1ody1.sys','');

 QuarantineFile('c:\windows.0\system32\15a536\16473d.exe','');

 QuarantineFileF('c:\windows.0\system32\a25c7','*', true,'',0 ,0);

 QuarantineFileF('c:\windows.0\system32\15a536','*', true,'',0 ,0);

 QuarantineFileF('C:\WINDOWS.0\system32\E9DF16','*', true,'',0 ,0);

 QuarantineFileF('C:\WINDOWS.0\system32\133F12','*', true,'',0 ,0);

 QuarantineFileF('C:\WINDOWS.0\system32\A25C70','*', true,'',0 ,0);

 QuarantineFileF('C:\jZ0OitXIQRgZ2OQ','*', true,'',0 ,0);

 QuarantineFileF('C:\jZ0OitXIQRiBYoU','*', true,'',0 ,0);

 QuarantineFileF('','*', true,'',0 ,0);

 DeleteFile('c:\windows.0\system32\a25c70\t8b16670.exe');

 DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\dp1.fne');

 DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\eAPI.fne');

 DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\HtmlView.fne');

 DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\internet.fne');

 DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\krnln.fnr');

 DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\shell.fne');

 DeleteFile('C:\DOCUME~1\ADMIN-~1\LOCALS~1\Temp\E_N4\spec.fne');

 DeleteFile('C:\WINDOWS.0\system32\A25C70\dp1.fne');

 DeleteFile('C:\WINDOWS.0\system32\A25C70\eAPI.fne');

 DeleteFile('C:\WINDOWS.0\system32\A25C70\krnln.fnr');

 DeleteFile('C:\Documents and Settings\Admin-Nik\Главное меню\Программы\Автозагрузка\16473D.lnk');

 DeleteFile('C:\WINDOWS.0\system32\15A536\16473D.EXE');

 DeleteFile('C:\WINDOWS.0\system32\regctrls.exe');

 DeleteFile('C:\plg.txt');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','16473D');

 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 DeleteFileMask('c:\windows.0\system32\a25c7', '*', true);

 DeleteFileMask('c:\windows.0\system32\15a536', '*', true);

 DeleteFileMask('C:\jZ0OitXIQRgZ2OQ', '*', true);

 DeleteFileMask('C:\jZ0OitXIQRiBYoU', '*', true);

 DeleteDirectory('c:\windows.0\system32\a25c7',' ');

 DeleteDirectory('c:\windows.0\system32\15a536',' ');

 DeleteDirectory('C:\jZ0OitXIQRgZ2OQ',' ');

 DeleteDirectory('C:\jZ0OitXIQRiBYoU',' ');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

Код:

tdsskiller.exe -silent -qmbr -qboot
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

смените все пароли, по окончанию лечения не забудьте сменить их ещё раз.

Добрый день! Всё сделал как вы мне описали, только не совсем понял как отправить файл отчета прикрепляю к этому сообщению.
Скажите на этом всё лечение ПК закончилось?

Прикрепляю файл.

Цитата:

Цитата KochkinNV

Добрый день! Всё сделал как вы мне описали, только не совсем понял как отправить файл отчета прикрепляю к этому сообщению. »

Если вы о карантине АВЗ то отправляете по указанной форме перейдя по ссылке на слове ""форме"" в сообщении после скрипта .

Если вы говорите о логах TDSSKiller - то его вы не прикрепили.

Выполните еще лог

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Цитата:

Цитата KochkinNV

Скажите на этом всё лечение ПК закончилось? »

нет лечение пока не окончено, логи надо прикреплять также как и в первом сообщение. Расширенный режим - Прикрепить файл.

Просканировал прогой Malwarebytes Anti-Malware и высылаю отчет

Цитата:

Цитата KochkinNV

Просканировал прогой Malwarebytes Anti-Malware и высылаю отчет »

то что вы выложили это лог TDSSKiller-a.

Цитата:

Цитата regist

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.»

где ? :angry:

Немного запутался с названиями, прикрепляю ешо один лог.

ща посмотрю я их делал...

KochkinNV, логи желательно приклеплять так как они есть, не копирую в ворд. единственное, что если файл слишком большой чтоб его прикрепить то архивируйте его в архив.

Что то я запутался в этих пересылках...

Вот кажись эти ....

regist, Понятно, насчет архивирования

KochkinNV, востановите удалённые в MBAM следующие файлы:

Код:

C:\Program Files\7-Zip\GUI_7zS.exe (Trojan.KillAV) -> Помещено в карантин и успешно удалено.

C:\Program Files\Macromedia\Rus.exe (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.

C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.

C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Помещено в карантин и успешно удалено.

C:\WINDOWS\notepad.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.

C:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> Помещено в карантин и успешно удалено.

C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Помещено в карантин и успешно удалено.

Если пользуетесь программой Multi Password Recovery то также востановите

Код:

Обнаруженные ключи в реестре:  1

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Помещено в карантин и успешно удалено.



Обнаруженные параметры в реестре:  1

HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Помещено в карантин и успешно удалено.



Обнаруженные файлы:  23

S:\Portable soft 1.2.4.5\Utilities\Gathering, generation of passwords\MultiPasswordRecoveryPortable\MPRPortable.exe (PUP.PasswordView) -> Действие не было предпринято.

S:\Portable soft 1.2.4.5\Utilities\Gathering, generation of passwords\MultiPasswordRecoveryPortable\Spoon\Sandbox\Multi Password Recovery\1.2.8.0\MODIFIED\@PROGRAMFILESX86@\Multi Password Recovery\MPR.exe (PUP.PasswordView) -> Действие не было предпринято.



S:\soft\MultiPasswordRecoveryPortable\MPRPortable.exe (PUP.PasswordView) -> Действие не было предпринято.

S:\soft\MultiPasswordRecoveryPortable\Spoon\Sandbox\Multi Password Recovery\1.2.8.0\MODIFIED\@PROGRAMFILESX86@\Multi Password Recovery\MPR.exe (PUP.PasswordView) -> Действие не было предпринято.

Файлы

C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\ctfmon.exe

проверьте на https://www.virustotal.com/ ссылку на результат проверки напишите в своём сообщение.

Логи RSIT старые прикрепили, сделайте новые и прикрепите.

что с проблемой ?

--------------------

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.

regist, Просканировал вот сылки на результат...

сылка 1
сылка2

Цитата:

Цитата regist

Логи RSIT старые прикрепили, сделайте новые и прикрепите.
что с проблемой ? »

KochkinNV, я жду свежих логов RSIT чтобы зачистить хвосты от вируса.

+

Цитата:

Цитата regist

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: »

Добрый день. ПК работает отлично. Логи на RSIT прикреплю к следующиму сообщению. Я думаю что тему можно закрыть.

Вроде выслал всё что просили... базу AVZ обнавил

KochkinNV, это немного не тот лог, который просил.

Цитата:

1. Запустите RSIT, выберите проверку файлов за последние три месяца и нажмите Продолжить (подробнее) После чего программа автоматически скачает утилиту HijackThis из сети интернет и создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска.

Понял сейчас сделаю. Спасибо за помощь.

Вот вроде эти логи...

Код:

begin

 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFileF('C:\WINDOWS.0\system32\E9DF16','*', true,'',0 ,0);

 DeleteFileMask('C:\WINDOWS.0\system32\E9DF16', '*', true);

 DeleteDirectory('C:\WINDOWS.0\system32\E9DF16',' ');

 QuarantineFileF('C:\WINDOWS.0\system32\A25C70','*', true,'',0 ,0);

 DeleteFileMask('C:\WINDOWS.0\system32\A25C70', '*', true);

 DeleteDirectory('C:\WINDOWS.0\system32\A25C70',' ');

 QuarantineFileF('C:\WINDOWS.0\system32\133F12','*', true,'',0 ,0);

 DeleteFileMask('C:\WINDOWS.0\system32\133F12', '*', true);

 DeleteDirectory('C:\WINDOWS.0\system32\133F12',' ');

 ExecuteRepair(21);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

после выполнения скрипта компьютер перезагрузится.

Sun Java устарела. Деинсталлируйте старую версию и установите новую

Сделайте новые логи log.txt, info.txt.

Прикрепляю логи...

- Смените все пароли !

- деинсталируйте MBAM.

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- Выполните Рекомендации после лечения.

regist, Спасибо за помощь. Врде всё сделал как было уккузано. :)