Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] klpclst.dat (http://forum.oszone.net/showthread.php?t=225797)

MadHatter 20-01-2012 20:26 1840626
klpclst.dat
 
Помогите избавиться от этого вируса в корневой папке диска! Заранее благодарен.

SolarSpark 20-01-2012 21:10 1840663
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4HxZRYno3FM.exe','');
 QuarantineFile('C:\Users\Artem\Application Data\softarch\ext-archive.exe','');
 QuarantineFile('C:\Users\Artem\AppData\Roaming\softarch\ext-archive.exe','');
 QuarantineFile('C:\Documents and Settings\Artem\Application Data\softarch\ext-archive.exe','');
 QuarantineFile('C:\Documents and Settings\Artem\AppData\Roaming\softarch\ext-archive.exe','');
 DeleteFile('C:\Documents and Settings\Artem\AppData\Roaming\softarch\ext-archive.exe');
 DeleteFile('C:\Documents and Settings\Artem\Application Data\softarch\ext-archive.exe');
 DeleteFile('C:\Users\Artem\AppData\Roaming\softarch\ext-archive.exe');
 DeleteFile('C:\Users\Artem\Application Data\softarch\ext-archive.exe');
 DeleteFile('C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4HxZRYno3FM.exe');
 DeleteFileMask('C:\vztApC3LHVP9UV1','*',true);
 DeleteDirectory('C:\vztApC3LHVP9UV1');
 DeleteFileMask('C:\Users\Artem\AppData\Roaming\MicroST','*',true);
 DeleteDirectory('C:\Users\Artem\AppData\Roaming\MicroST');
DeleteFileMask('C:\tIumgEZnhqthcau','*',true);
DeleteDirectory('C:\tIumgEZnhqthcau');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winxgz');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Код:
O4 - HKCU\..\Run: [winxgz] "C:\Users\Artem\AppData\Roaming\softarch\ext-archive.exe" autostart
O4 - Startup: 4HxZRYno3FM.exe
Пофиксить в HijackThis следующие строчки, если это НЕ ваши настройки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.biz

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

MadHatter 20-01-2012 21:55 1840700
В HijackThis нет таких строк. Вирусы исчезли и с автозапуска, и с корня диска. Это нормально?

thyrex 20-01-2012 22:15 1840714
Выполняйте все остальное

SolarSpark 20-01-2012 22:45 1840741
Цитата:
Цитата MadHatter
Вирусы исчезли и с автозапуска, и с корня диска. Это нормально? »
вернуть?))

в карантине Trojan.SMSSend, естественно, ничего никому не оплачиваем и смски за установку/распаковку ПО не отсылаем.

MadHatter 20-01-2012 23:05 1840762
Цитата:
Цитата SolarSpark
вернуть?)) »
Ну уж нет))
А этот смс-ник уйдёт?

SolarSpark 20-01-2012 23:14 1840772
Цитата:
Цитата MadHatter
А этот смс-ник уйдёт? »
остались проблемы?

логи делаем и отписываемся о самочувствии

MadHatter 21-01-2012 09:26 1840953
Вот лог.

SolarSpark 21-01-2012 09:34 1840958
лог RSIT повторите

Проверьте сами на http://www.virustotal.com файл D:\WINDOWS\system32\ctfmon.exe
ссылку на проверку сюда

в МВАМ удаляем только это
Код:
Обнаруженные ключи в реестре:  1
HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.

Объекты реестра обнаружены:  7
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://www.smaxi.biz) Хорошо: (http://www.google.com/) -> Действие не было предпринято.

Обнаруженные файлы:  13
C:\Users\Artem\AppData\Roaming\softarch\winzipf.exe (Trojan.FakeSMS) -> Действие не было предпринято.
C:\Users\Artem\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

MadHatter 21-01-2012 12:53 1841014
https://www.virustotal.com/file/b5f9...ame=ctfmon.exe

SolarSpark 21-01-2012 14:29 1841074
как самочувствие?

MadHatter 21-01-2012 18:32 1841256
Вирус не появляется. Самочувствие хорошее. Спасибо огромное. А как по логам и результатам? Всё нормально?

SolarSpark 22-01-2012 16:25 1841864
в логах чисто

Выполнитерекомендации после лечения

MadHatter 22-01-2012 18:01 1841952
SolarSpark, спасибо


Время: 18:32.

Время: 18:32.
© OSzone.net 2001-