Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Снова klpclst.dat (http://forum.oszone.net/showthread.php?t=223875)

Akbars 27-12-2011 08:46 1823137
Снова klpclst.dat
 
Вложений: 2
Здравствуйте,нужна помощь=)
Всё стандартно: появляются папки с дикими названиями в которых лежит klpclst.dat + иногда появляется процесс svchost который грузит процессор на 99%.

Techno88 27-12-2011 09:27 1823151
Здравствуйте!!!

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('newdriver', 4);
 StopService('newdriver');
 QuarantineFile('D:\WINDOWS\system32\ckldrv.sys','');
 QuarantineFile('D:\WINDOWS\dfvbn.sys','');
 QuarantineFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\hqAPkD14ejM.exe','');
 QuarantineFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\JEJaWOLrTTY.exe','');
 QuarantineFile('D:\Documents and Settings\Админ\Local Settings\Temp\yyhjznjh.r1q\kph.sys','');
 QuarantineFile('D:\Program Files\Ticno\Multibar\SearchService.exe','');
 DeleteFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\JEJaWOLrTTY.exe');
 DeleteFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\hqAPkD14ejM.exe');
 DeleteFile('D:\WINDOWS\dfvbn.sys');
 DeleteService('newdriver');
 DeleteFileMask('D:\GOEDvM115vayK9N','*',true);
 DeleteFileMask('D:\74SHnKpTmAE7Vw5','*',true);
 DeleteDirectory('D:\GOEDvM115vayK9N');
 DeleteDirectory('D:\74SHnKpTmAE7Vw5');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('newdriver');
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(11);
RebootWindows(true);
end.
Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

- Пофиксите
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
- Повторите логи АВЗ и РСИТ.

- Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того, что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Akbars 27-12-2011 14:33 1823386
Вложений: 3
Всё сделал, но у меня когда окрываю локальный диск на котором лежит виндоус, ничего не отображается=)

Techno88 27-12-2011 15:18 1823420
Удалите в MBAM всё, кроме:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

d:\WINDOWS.0\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
e:\татьяна\acad2008mechanical_ru\autocad-2008-keygen.exe (RiskWare.Tool.CK) -> No action taken.
Логи АВЗ и РСИТ старые приложили. Нужно сделать новые!

Akbars 27-12-2011 19:46 1823594
Вложений: 2
Те были сделаны до MBAM вот ещё новые)
Что делать если файлы на диске с виндоус перестали отображаться?через диспетчер задач всё открывается

thyrex 27-12-2011 20:25 1823619
Вообще по новым логам совсем непохоже, что Вы выполняли скрипт из сообщения №2. Приступайте

+ Хотелось бы увидеть новый лог МВАМ

Akbars 28-12-2011 15:02 1824156
Вложений: 1
Вот ещё логи.

Akbars 28-12-2011 15:06 1824160
и вот)так не можете подсказать, что делать? файлы перестали быть видимыми с жёсткого диска, через диспетчер всё нормально.

Techno88 28-12-2011 16:11 1824205
- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('newdriver', 4);
 StopService('newdriver');
  QuarantineFile('\??\D:\WINDOWS\dfvbn.sys','');
 QuarantineFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\hqAPkD14ejM.exe','');
 QuarantineFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\JEJaWOLrTTY.exe','');
 QuarantineFile('D:\WINDOWS\system32\ckldrv.sys','');
 QuarantineFile('D:\WINDOWS\dfvbn.sys','');
 QuarantineFile('d:\system volume information\_restore{3ffd8f7c-e940-4814-a995-aa924586019b}\RP185\A0507116.exe','');
 QuarantineFile('d:\WINDOWS\system32\ieunitdrf.inf','');
 DeleteFile('d:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFile('d:\system volume information\_restore{3ffd8f7c-e940-4814-a995-aa924586019b}\RP185\A0507116.exe');
 DeleteFile('D:\WINDOWS\dfvbn.sys');
 DeleteFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\JEJaWOLrTTY.exe');
 DeleteFile('D:\Documents and Settings\Админ\Главное меню\Программы\Автозагрузка\hqAPkD14ejM.exe');
 DeleteFile('\??\D:\WINDOWS\dfvbn.sys');
 DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('newdriver');
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

Запустите MBAM -> Перейдите на вкладку "Карантин" -> выберите объект d:\WINDOWS.0\system32\ctfmon.exe -> нажмите кнопку "Восстановить"

- Повторите логи АВЗ и РСИТ.

Akbars 29-12-2011 17:25 1825010
Вложений: 3
Вот,спасибо, файлы на жёстком диске уже стали отображаться=)

thyrex 29-12-2011 20:10 1825116
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Akbars 29-12-2011 23:51 1825282
Вложений: 1
сделал

thyrex 30-12-2011 10:59 1825461
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::

File::
D:\GOEDvM115vayK9N
d:\documents and settings\Админ\Главное меню\Программы\Автозагрузка\JEJaWOLrTTY.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Akbars 30-12-2011 15:33 1825636
Вложений: 1
сделал но по ходу папка осталась(

iskander-k 30-12-2011 18:53 1825731
Попробуйте удалить вручную.

thyrex 30-12-2011 19:45 1825752
Извините, моя неточность :)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::

File::

Driver::

Folder::
D:\GOEDvM115vayK9N

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Akbars 30-12-2011 22:07 1825852
Вложений: 1
Вот,вроде удалилось=)

SolarSpark 30-12-2011 22:52 1825879
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

проблема исчерпала себя?

Akbars 01-01-2012 23:30 1826673
Да,спасибо!)


Время: 21:13.

Время: 21:13.
© OSzone.net 2001-