Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] klpclst.dat, wndsksi.inf и igfxtray.dat (http://forum.oszone.net/showthread.php?t=221582)

Al Cos 27-11-2011 15:38 1804256
klpclst.dat, wndsksi.inf и igfxtray.dat
 
Вложений: 2
  • info.txt (9.90 KB, скачиваний: 18)
  • log.txt (17.80 KB, скачиваний: 20)
Добрый день!
Как видно из тем форума в последнее время этот старый (не) добрый троян зарекомендовал себя, так что ничем новым и интересным порадовать Вас не могу :)

Описание проблемы: собственно никаких криминальных изменений в работе системы не увидел (все программы запускаются, сайты открываются), просто вчера, зайдя на диск С, был неприятно удивлен новыми папками с "прекрасными" названиями. В одной из них были klpclst.dat и wndsksi.inf. Потом поискав информацию в интернете также обнаружил igfxtray.dat* и avdrn.dat * и еще папку MicroST.
Avast! Free Antivirus проявил либеральность ко всем этим файлам, не заподозрив их ни в чем противозаконном, и даже отказался перемещать их в карантин, не объясняя причин. Пришлось в ручную собрать их всех и заархивировать, чтоб знать врага в лицо.

Выполнил все согласно инструкциям - логи прилагаются.
Только при попытке запуска HiJackThis вылетело предупреждение "Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден. Повторная установка приложения может исправить эту проблему". Тоже самое вылетело при работе RSIT, но логи он создал.
AVZ4 после скрипта №3 в результатах написал, что нашел троян - название не запомнил. Потом я в логе что-то не нашел про это, может не там искал.

Надеюсь на Вашу помощь. И еще, по возможности, хотелось бы знать насколько широко этот "конь" развернул свою грязную деятельность, все ли пароли успел подсмотреть? а то я пользуюсь интернет банком, хотя и с картой переменных кодов.

S.R 27-11-2011 16:18 1804278
Сейчас гляну логи

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Gnv\Application Data\Dxsesh.exe','');
 DeleteFile('C:\Documents and Settings\Gnv\Application Data\Dxsesh.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Dxsesh');
 DeleteFileMask('C:\Log09PAHZPCvb6N','*.*',true);
 DeleteDirectory('C:\Log09PAHZPCvb6N');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Сделайте новые логи AVZ&RSIT

  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
  • После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению


Вы заархивировали файлы? Отправьте их через веб-форму

Al Cos 27-11-2011 18:08 1804369
Вложений: 2
  • info.txt (9.90 KB, скачиваний: 15)
  • log.txt (18.10 KB, скачиваний: 16)
Скрипты выполнил. Архив quarantine.zip из папки с AVZ отправил. Свой архив с этими файлами пока отправить не смог, там через 20 минут только можно, отправлю позже.

Новые логи AVZ4 и RSIT прилагаю.

А вот с Malwarebytes' Anti-Malware не получилось: скачалось и установилось нормально, но не запустилось - вышла та же ошибка "Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден. Повторная установка приложения может исправить эту проблему". Видимо что-то в системе слетело. Вы не знаете как это можно исправить или это уже в другой раздел форума?

А еще на диске С по-прежнему появляется папка с названием Log09PAHZPCvb6N.

Al Cos 27-11-2011 19:44 1804437
Только сейчас обратил внимание: на диске С одновременно с созданием одной из этих папок со звучными названиями появился еще файл ntldl. Не помню точно, вроде он там и раньше был, но видимо был заменен на зараженный.

Попробовал его отправить в архив, вышло сообщение, что используется другим приложением. Тогда скачал Unlocker, разблокировал его и удалил, кинув копию в архив. Перезагрузил компьютер, файл ntldl и папка Log09PAHZPCvb6N вновь созданы и рвуться в бой, жаль поле битвы мой комп :) Наверное, остатки трояна, удаленного AVZ4. Еще и с ними как-то надо бороться :(

iskander-k 27-11-2011 20:22 1804477
•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Al Cos 28-11-2011 20:54 1805187
Вложений: 1
Вот лог от ComboFix

icotonev 28-11-2011 22:38 1805274
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

Folder::
C:\Log09PAHZPCvb6N
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Al Cos 29-11-2011 21:24 1805947
Вложений: 1
Новый лог ComboFix готов, только вот папка эта снова на своем, не побоюсь этого слова, "законном" месте :)

Люди добрые, давайте вместе ее отправим на тот свет, только на этот раз безвозвратно, хватит ей уже изображать из себя птицу феникс!

S.R 29-11-2011 23:02 1806014
Скачайте Avenger, разархивируйте и запустите с правами администратора. Скопируйте и вставьте текст ниже в окно выполнения скрипта:
Код:
Folders to delete:
C:\Log09PAHZPCvb6N
Нажмите Execute и подтвердите, нажав Yes

Компьютер перезагрузится
прим. Компьютер может перезагрузиться несколько раз

Архив C:\avenger\backup.zip отправьте через веб-форму
Файл c:\avenger.txt прикрепите к сообщению

Al Cos 30-11-2011 20:39 1806777
Вложений: 1
Лог от Avenger готов, только вот папка снова на своем месте. А может уже забить на нее? Написал же AVZ4 в первом логе: "C:\WINDOWS\Temp\~TM6D.tmp >>>>> Trojan-Dropper.Win32.Vidro.dil успешно удален", а больше никто ничего не находил, просто уже как то несерьезно столько внимания уделять пустой папке :dont-know

S.R 30-11-2011 20:57 1806788
Цитата:
Цитата Al Cos
А вот с Malwarebytes' Anti-Malware не получилось: скачалось и установилось нормально, но не запустилось - вышла та же ошибка "Приложению не удалось запуститься, поскольку MSVBVM60.DLL не был найден »
http://forum.oszone.net/thread-176149.html попробуйте.

Папку C:\Qoobox\Quarantine заархивируйте с паролем "virus" (без кавычек) и отправьте через веб-форму.

Нажмите Пуск => Выполнить. В окне наберите команду:
Код:
Combofix /Uninstall
Нажмите кнопку ОК


Скачайте OTCleanIt, запустите, нажмите Clean up


Выполните для предотвращения повторных заражений:
  1. Очистите и создайте новую контрольную точку восстановления
  2. Установите Service Pack 3 (если не установлен) + все последующие обновления
  3. Установите Internet Explorer 8
  4. Обновите Adobe Flash Player
  5. Обновите Java SE
  6. Отключите автозапуск со всех устройств, кроме CD/DVD. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
    Код:
    REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Al Cos 01-12-2011 20:24 1807482
Ну что, можно открывать шампанское :4u:

Счет 1 : 0 в пользу людей :dwarf: против этой небогоугодной заразы :vampire:

Всем, кто принял участие в изгнании нечистой с моего компьютера выражаю благодарность :bow:


Время: 18:23.

Время: 18:23.
© OSzone.net 2001-