Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] klpclst.dat (http://forum.oszone.net/showthread.php?t=226303)

SASHAfromRUSSIA 26-01-2012 17:13 1844997
klpclst.dat
 
Здравствуйте! Помогите, пожалуйста, избавиться от вируса klpclst.dat.
P.S. Если можно, то поподробнее (с инструкциями), а то я в компьютерах 0. Заранее благодарен!

SolarSpark 26-01-2012 17:35 1845012
не долечились?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\temp\4F7.tmp','');
 QuarantineFile('C:\WINDOWS\AppPatch\ydqrhc.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\temp\4F7.tmp');
DeleteFile('C:\WINDOWS\AppPatch\ydqrhc.exe');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
_________________________________________________________

SASHAfromRUSSIA 26-01-2012 17:41 1845020
Цитата:
Цитата SolarSpark
недолечились? »
Да, скорее всего, новый где-то подцепил. :( Вчера только появился.

SolarSpark 26-01-2012 18:08 1845042
да нет, все те же на манеже

SASHAfromRUSSIA 26-01-2012 18:49 1845078
Всё сделал. Вот новые логи:

SolarSpark 26-01-2012 18:56 1845084
вы сначала выполнили лог RSIT а потом скрипт в AVZ
надо было наоборот

сделайте новый лог RSIT и прикрепите к следующему сообщению

SASHAfromRUSSIA 26-01-2012 19:09 1845094
Извините, не знал. :dont-know

SolarSpark 26-01-2012 19:13 1845097
не справляется AVZ
применим артиллерию посильнее)

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

SASHAfromRUSSIA 26-01-2012 19:44 1845116
Сделал. :) Вот результат:

thyrex 26-01-2012 19:53 1845123
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::

File::
c:\documents and settings\Admin\Главное меню\Программы\Автозагрузка\HoAfzb78P40.exe

Driver::

Folder::
C:\8vcDA2rSijY2aRa

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

SASHAfromRUSSIA 26-01-2012 20:17 1845135
Новый отчёт:

SASHAfromRUSSIA 26-01-2012 20:41 1845142
Папка с klpclst.dat исчезла. Можно ли считать, что лечение завершено? Если да, то большое вам спасибо за помощь. :)

iskander-k 26-01-2012 20:58 1845150
• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"



Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.

Что с проблемой ?

SASHAfromRUSSIA 26-01-2012 21:03 1845156
klpclst.dat - исчез. :)

SASHAfromRUSSIA 26-01-2012 21:49 1845181
Огромное спасибо за помощь!

SolarSpark 26-01-2012 23:44 1845242
Выполните рекомендации после лечения


Время: 18:33.

Время: 18:33.
© OSzone.net 2001-