Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] klpclst.dat атакует (http://forum.oszone.net/showthread.php?t=227406)

Андрей 87 09-02-2012 12:45 1854735
klpclst.dat атакует
 
Вложений: 2
  • log.txt (24.60 KB, скачиваний: 21)
  • info.txt (30.80 KB, скачиваний: 12)
Здравствуйте! На днях заметил на диске С папку с именем из набора цифр и латинских букв (например 7a6vHav3hoMzgRQ), внутри файл klpclst.dat. После удаления папка появляется вновь, но уже с другим именем. Заметил, что она появляется при запуске некоторых программ (Total-а и Opera). Иногда в total-е исчезает содержание диска С, но после удаления этой папки через "Мой компьютер" всё появляется обратно. CureIt нашёл несколько инфицированных файлов и удалил, но это не помогло: папка с klpclst.dat появляется вновь. После появления данной папки стали зависать некоторые приложения (не отвечают): total при копировании, kmplayer, блокнот, в среднем комп стал хуже "соображать". Переустановил бы систему, тем более что она без последних обновлений и захламлена, но боюсь, что вирус остался на дисках D и E и может снова захватить переустановленную систему, поэтому решил обратиться к Вам за помощью. Очень на Вас рассчитываю!

S.R 09-02-2012 13:10 1854750
Сейчас посмотрю логи.

S.R 09-02-2012 13:30 1854770
Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\MicroST', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\BNkzjIFsaeZiofM', '*.*', true, '', 0, 0);
 DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\MicroST', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\BNkzjIFsaeZiofM', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\MicroST');
 DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\BNkzjIFsaeZiofM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
 ExecuteRepair(6);
 ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

  • Скачайте ComboFix по одной из этих ссылок. Сохраните программу на рабочий стол.
  • Важно! На время работы программы отключите всё защитное программное обеспечение.
  • Дважды щёлкните по значку, чтобы запустить программу. Убедитесь, что все остальные программы закрыты.
  • Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной зависания программы.
  • Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.

прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe

Андрей 87 09-02-2012 14:41 1854815
Вложений: 6
  • 1.jpg (149.30 KB, скачиваний: 16)
  • 2.jpg (133.70 KB, скачиваний: 16)
  • 3.jpg (43.80 KB, скачиваний: 14)
  • 4.jpg (130.40 KB, скачиваний: 15)
  • 5.jpg (56.00 KB, скачиваний: 16)
  • ComboFix.txt (8.50 KB, скачиваний: 17)
Огромное Спасибо за помощь!
Выполнил скрипты в AVZ, отослал архив quarantine.zip

А вот с ComboFix возникли некоторые проблемы. На втором шаге (stage 2) вылетело окно (1.jpg) информирующее, что в системе отсутствует Microsoft Windows recovery console и, что эта консоль нужна и ComboFix загрузит её был бы интернет, я нажал "Ок". Но интернет я не смог подключить: выходило окно "ошибка подключения", вышло новое окно (2.jpg) о неудаче загрузки требуемых файлов, нажал "Ок" и сразу ещё одно окно (3.jpg) "Ошибка приложения", нажал "Ок". Потом всё пошло дальше в самом конце после выполнения 50 шагов ещё вылезло 2 окна (4.jpg) и (5.jpg). Работу ComboFix завершил нормально без обрыва.

И, что радует злосчастная папка с klpclst.dat перестала появляться при запуске total-а!!!

Андрей 87 09-02-2012 15:22 1854848
Проблема не исчезла! После перезагрузки папка с klpclst.dat появилась вновь, но стала скрытной т.е. её видно только если в total-e зайти в папку "мой компьютер" и из неё на диск С, через некоторое время она снова скрывается. Ещё исчезла языковая панель... :search:

alex_sev 09-02-2012 15:30 1854855
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\PYHLownUthE.exe

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Андрей 87 09-02-2012 16:12 1854889
Вложений: 1
Всё сделал, на этот раз не стал отключать интернет и Microsoft Windows recovery console успешно установилась. На 2-ом шаге снова вылезло окно (3.jpg в сообщении #4). В конце компьютер перезагрузился и после ComboFix создал отчёт.

Благодарю Вас, что уделяете мне своё время!

alex_sev 09-02-2012 16:51 1854912
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\PYHLownUthE.exe

Folder::
C:\7a6vHav3hoMzgRQ
c:\documents and settings\Администратор\Application Data\7a6vHav3hoMzgRQ

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Андрей 87 09-02-2012 17:15 1854922
Вложений: 1
Всё сделал, окно "Ошибка приложения" так же вылезло на 2-ом шаге, остальное всё нормально.

alex_sev 09-02-2012 17:27 1854934
Уже лучше, теперь по порядку:

Первое: Файл c:\windows\system32\srsvc.dll проверьте на Virustotal результат сообщите

Второе: Скопируйте текст ниже в блокнот и сохраните, как файл, с названием CFScript.txt на рабочий стол:
Код:
DeQuarantine::
C:\Qoobox\Quarantine\C\windows\system32\msconfig.exe.vir
C:\Qoobox\Quarantine\C\windows\system32\odbcad32.exe.vir

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe"
Quit::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe:


Когда ComboFix завершит работу, то создаст в корне системного диска лог DeQuarantine.txt, содержимое которого необходимо скопировать в свое сообщение.

Третье: Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Четвертое: подготовьте новые логи AVZ и RSIT по правилам.

Андрей 87 09-02-2012 18:54 1854995
Вложений: 3
  • mbamLog.txt (9.90 KB, скачиваний: 11)
  • log.txt (24.70 KB, скачиваний: 8)
  • info.txt (23.40 KB, скачиваний: 7)
Файла c:\windows\system32\srsvc.dll нет, может c:\WINDOWS\system32\srvsvc.dll ? Результат проверки srvsvc.dll:
Цитата:
SHA256: 42051b85fe33cfcfef98a8326c1029196625ff4500472f0f4b02437f81f2eca5
File name: srvsvc.dll
Detection ratio: 0 / 43
Analysis date: 2012-02-09 13:44:51 UTC ( 1 минута ago )
Содержимое DeQuarantine.txt:
Цитата:
C:\Qoobox\Quarantine\C\windows\system32\msconfig.exe.vir -> C:\windows\system32\msconfig.exe ( 196608 bytes )
C:\Qoobox\Quarantine\C\windows\system32\odbcad32.exe.vir -> C:\windows\system32\odbcad32.exe ( 45056 bytes )

S.R 09-02-2012 19:08 1855008
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол
Код:
SRPeek::
c:\windows\system32\srsvc.dll
c:\windows\system32\proquota.exe

Quit::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

Андрей 87 09-02-2012 19:33 1855021
Вложений: 1
Сделал, в этот раз на 5 шаге вылезло окно: "Исключение unknown software exception (0x40000015) в приложении по адресу 0x0048d1c0." Потом всё нормально завершилось.

S.R 09-02-2012 19:55 1855037
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол
Код:
DeQuarantine::
C:\Qoobox\Quarantine\C\windows\system32\msconfig.exe.vir
C:\Qoobox\Quarantine\C\windows\system32\odbcad32.exe.vir

Ignore::
C:\windows\system32\msconfig.exe
C\windows\system32\odbcad32.exe

SRPeek::
c:\windows\system32\srsvc.dll
c:\windows\system32\proquota.exe

MIA::
c:\windows\system32\srsvc.dll
c:\windows\system32\proquota.exe

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

Андрей 87 09-02-2012 20:23 1855050
Вложений: 1
Сейчас на 2-ом шаге: "исключение неизвестное программное исключение (0x0000417) в приложении по адресу 0x00481dc9." Благодарю за помощь!

alex_sev 09-02-2012 22:31 1855122
Как самочувствие системы?

Андрей 87 09-02-2012 23:24 1855162
Думаю, что всё хорошо, после такого лечения =) Новых папок с этой бякой не видно! Ну а на самом деле только Вы можете сказать, вот и жду окончательный диагноз =)

alex_sev 10-02-2012 09:16 1855382
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Ознакомьтесь с этими рекомендациями:

http://forum.oszone.net/post-1838507-9.html

И смените все пароли

Андрей 87 10-02-2012 19:55 1855796
Всё замечательно, премного благодарен! Здорово, что есть такой форум и такие люди =)


Время: 18:35.

Время: 18:35.
© OSzone.net 2001-