|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] klpclst.dat, wndsksi.inf и igfxtray.dat |
|
||||
|
|
[решено] klpclst.dat, wndsksi.inf и igfxtray.dat
|
|
Новый участник Сообщения: 19 |
Добрый день!
Как видно из тем форума в последнее время этот старый (не) добрый троян зарекомендовал себя, так что ничем новым и интересным порадовать Вас не могу  Описание проблемы: собственно никаких криминальных изменений в работе системы не увидел (все программы запускаются, сайты открываются), просто вчера, зайдя на диск С, был неприятно удивлен новыми папками с "прекрасными" названиями. В одной из них были klpclst.dat и wndsksi.inf. Потом поискав информацию в интернете также обнаружил igfxtray.dat* и avdrn.dat * и еще папку MicroST. Avast! Free Antivirus проявил либеральность ко всем этим файлам, не заподозрив их ни в чем противозаконном, и даже отказался перемещать их в карантин, не объясняя причин. Пришлось в ручную собрать их всех и заархивировать, чтоб знать врага в лицо. Выполнил все согласно инструкциям - логи прилагаются. Только при попытке запуска HiJackThis вылетело предупреждение "Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден. Повторная установка приложения может исправить эту проблему". Тоже самое вылетело при работе RSIT, но логи он создал. AVZ4 после скрипта №3 в результатах написал, что нашел троян - название не запомнил. Потом я в логе что-то не нашел про это, может не там искал. Надеюсь на Вашу помощь. И еще, по возможности, хотелось бы знать насколько широко этот "конь" развернул свою грязную деятельность, все ли пароли успел подсмотреть? а то я пользуюсь интернет банком, хотя и с картой переменных кодов. |
|
|
Отправлено: 15:38, 27-11-2011 |
|
Старожил Сообщения: 469
|
Сейчас гляну логи
Отключите: Антивирус/Файерволл AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" Код:
 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Gnv\Application Data\Dxsesh.exe','');
DeleteFile('C:\Documents and Settings\Gnv\Application Data\Dxsesh.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dxsesh');
DeleteFileMask('C:\Log09PAHZPCvb6N','*.*',true);
DeleteDirectory('C:\Log09PAHZPCvb6N');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится. Выполните скрипт в AVZ: Код:
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Сделайте новые логи AVZ&RSIT
Вы заархивировали файлы? Отправьте их через веб-форму |
|
Отправлено: 16:18, 27-11-2011 | #2 |
|
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Скрипты выполнил. Архив quarantine.zip из папки с AVZ отправил. Свой архив с этими файлами пока отправить не смог, там через 20 минут только можно, отправлю позже.
Новые логи AVZ4 и RSIT прилагаю. А вот с Malwarebytes' Anti-Malware не получилось: скачалось и установилось нормально, но не запустилось - вышла та же ошибка "Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден. Повторная установка приложения может исправить эту проблему". Видимо что-то в системе слетело. Вы не знаете как это можно исправить или это уже в другой раздел форума? А еще на диске С по-прежнему появляется папка с названием Log09PAHZPCvb6N. |
|
Отправлено: 18:08, 27-11-2011 | #3 |
|
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Только сейчас обратил внимание: на диске С одновременно с созданием одной из этих папок со звучными названиями появился еще файл ntldl. Не помню точно, вроде он там и раньше был, но видимо был заменен на зараженный.
Попробовал его отправить в архив, вышло сообщение, что используется другим приложением. Тогда скачал Unlocker, разблокировал его и удалил, кинув копию в архив. Перезагрузил компьютер, файл ntldl и папка Log09PAHZPCvb6N вновь созданы и рвуться в бой, жаль поле битвы мой комп Наверное, остатки трояна, удаленного AVZ4. Еще и с ними как-то надо бороться  |
|
Отправлено: 19:44, 27-11-2011 | #4 |
скептик-оптимист
Сообщения: 5714
|
Профиль | Отправить PM | Цитировать •Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe. |
|
|
------- Отправлено: 20:22, 27-11-2011 | #5 |
|
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Вот лог от ComboFix
|
|
Отправлено: 20:54, 28-11-2011 | #6 |
Старожил Сообщения: 288
|
Профиль | Отправить PM | Цитировать Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll:: Folder:: C:\Log09PAHZPCvb6N  Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. |
|
Отправлено: 22:38, 28-11-2011 | #7 |
|
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Новый лог ComboFix готов, только вот папка эта снова на своем, не побоюсь этого слова, "законном" месте
Люди добрые, давайте вместе ее отправим на тот свет, только на этот раз безвозвратно, хватит ей уже изображать из себя птицу феникс! |
|
Отправлено: 21:24, 29-11-2011 | #8 |
|
Старожил Сообщения: 469
|
Скачайте Avenger, разархивируйте и запустите с правами администратора. Скопируйте и вставьте текст ниже в окно выполнения скрипта:
Код:
Folders to delete: C:\Log09PAHZPCvb6N Компьютер перезагрузится прим. Компьютер может перезагрузиться несколько раз Архив C:\avenger\backup.zip отправьте через веб-форму Файл c:\avenger.txt прикрепите к сообщению |
|
Отправлено: 23:02, 29-11-2011 | #9 |
|
Новый участник Сообщения: 19
|
Профиль | Отправить PM | Цитировать Лог от Avenger готов, только вот папка снова на своем месте. А может уже забить на нее? Написал же AVZ4 в первом логе: "C:\WINDOWS\Temp\~TM6D.tmp >>>>> Trojan-Dropper.Win32.Vidro.dil успешно удален", а больше никто ничего не находил, просто уже как то несерьезно столько внимания уделять пустой папке
 |
|
Отправлено: 20:39, 30-11-2011 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Проблема с klpclst.dat и wndsksi.inf | cTpaHHuk | Лечение систем от вредоносных программ | 2 | 25-11-2011 01:14 | |
| [решено] klpclst.dat был и пропал | kanni | Лечение систем от вредоносных программ | 5 | 23-11-2011 01:39 | |
| видимо klpclst.dat что за зверь ? | 1am3r | Лечение систем от вредоносных программ | 2 | 22-11-2011 19:53 | |
| [решено] Всё тотже klpclst.dat | rost-sk | Лечение систем от вредоносных программ | 7 | 30-10-2011 15:48 | |
| klpclst.dat | korolplanet | Лечение систем от вредоносных программ | 4 | 29-10-2011 17:03 | |
|
|
Время: 13:29. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
