Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Создается странная папка в диске С: c файлами klpclst.dat ,wndsksi.inf (заявка № 116288)

  1. #1
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25

    Создается странная папка в диске С: c файлами klpclst.dat ,wndsksi.inf

    Создается сама при перезагрузки папка с набором символов C:\kFv3DjpT2zp3AH0
    с двумя файлами klpclst.dat ,wndsksi.inf

    В диспетчере задач есть задача svchost.exe запущенная от пользователя (Константин)
    Если удалить файлы из странной папки и убить процесс svchost.exe от пользователя,то процесс восстанавливается и вместе с ней восстанавливаются файлы
    Кроме этого в автозагрузке появляется какой-то не понятный файл exe (набор букв рандомных.exe)
    Сам появляется и исчезает сам по себе
    Внешне симптомы компьютера глюки и тормоза легкие
    Долго запускается система хотя комп мощный
    Ну наверное все
    Заранее благодарен
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) xedfr, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\systemhost\24FC2AE3169.exe','');
     DeleteFile('C:\systemhost\24FC2AE3169.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0FZEXHXFVZHGV');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,526
    Вес репутации
    2915
    А также

    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25
    Карантина не было папка карантина пустая
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25
    ComboFix
    Не делается лог
    Выскакивает синий экран смерти

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,526
    Вес репутации
    2915
    Тогда такой лог http://virusinfo.info/showthread.php?t=115256 сделайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25

    Логи за 3 месяца

    Логи за 3 месяца
    Вложения Вложения
    • Тип файла: txt log.txt (83.1 Кб, 3 просмотров)
    • Тип файла: txt info.txt (27.6 Кб, 2 просмотров)

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,526
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe','');
      DeleteFile('C:\Documents and Settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe');
      BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25
    Смог сделать комбофикс
    Скрипт нечего не изменил avz написало что не может удалить файл в автозагрузке
    Карантин отослал
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25
    C:\Documents and Settings\Константин\Application Data\kFv3DjpT2zp3AH0\LXDcjASl3Js
    Ещё нашел папку с таким же названием вот тут
    В папке пусто

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,526
    Вес репутации
    2915
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    c:\documents and settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe
    
    Driver::
    
    Folder::
    C:\Documents and Settings\Константин\Application Data\kFv3DjpT2zp3AH0\LXDcjASl3Js
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25
    Не фига,автозагрузку держит какая то хрень
    Связанная с svhost и explover

    Может что нибудь подскажет если переименовать тот файл в автозагрузке на txt и открыть появляются тупой набор символов
    Но в конце можно прочитать

    V D q B U b j f c C 7 o s r C N x w d Q Y C P z 9 4 j 8 J m 8 W l 2 F f A z e N U m l n 2 u A L t 2 c F c C , f 0 A Z I h 8 M W q R 6 E q o C S i X d V Z X O q f S 6 c i 2 g J B X c f r 5 I B i F z u u c d D r U f 8 R I 9 d M l P z u d k f u 1 f m p 9 L w 8 K p w 4 X 6 m m 8 D u A C K U R g 1 Q i P a j r 9 A t t A E 1 0 U i G Z V D q B U b j f c C 7 o s r C N x w d Q Y C P z 9 4 j 8 J m 8 W l 2 F f A z e N U m l n 2 u A L t 2 c F c C , f 0 A Z I h 8 M W q R 6 E q o C S i X d V Z X O q f S 6 c i 2 g J B X c f r 5 I t4 V S _ V E R S I O N _ I N F O Ѕпю  ° JЈQ'° JЈQ'    Ф  S t r i n g F i l e I n f o °  0 4 0 9 0 4 b 0 <   C o m p a n y N a m e 5 F H m d K 0 t Z e E M S B
     F i l e D e s c r i p t i o n m T c c p W z G H 9 n y ,   F i l e V e r s i o n s U B X z 4
     I n t e r n a l N a m e i 0 Y 5 B e x u V 6   O r i g i n a l F i l e n a m e i u t d A W >   P r o d u c t N a m e f x 5 m f H K f N S s E F 0 @   P r o d u c t V e r s i o n 1 8 4 . 6 2 . 7 7 . 2 4 9 D  V a r F i l e I n f o $  T r a n s l a t i o n °<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

    <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
    <assemblyIdentity
    type="win32"
    name="DelphiApplication"
    version="1.0.0.0"
    processorArchitecture="*"/>
    <dependency>
    <dependentAssembly>
    <assemblyIdentity
    type="win32"
    name="Microsoft.Windows.Common-Controls"
    version="6.0.0.0"
    publicKeyToken="6595b64144ccf1df"
    language="*"
    processorArchitecture="*"/>
    </dependentAssembly>
    </dependency>
    </assembly>
    Вложения Вложения

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,526
    Вес репутации
    2915
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    c:\documents and settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe
    c:\windows\system32\ieunitdrf.inf
    
    Driver::
    
    Folder::
    C:\kFv3DjpT2zp3AH0
    c:\documents and settings\Константин\Application Data\kFv3DjpT2zp3AH0
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25
    Неа не помогло
    Вложения Вложения

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,526
    Вес репутации
    2915
    Антивирус отключите!

    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    c:\documents and settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25
    Вроде бы мы его победили совместными усилиями

    Ссори я проявил немного самостоятельности,дело в том что файл 4je3rxfsgFE.exe все время убегал с автозагрузке решил проверить и поискать его поиском виндовс,и обнаружил его в папке
    C:\RECYCLER\S-1-5-21-1220945662-1972579041-839522115-1003\4je3rxfsgFE.exe
    В папке корзины,немного переделав ваш скрипт попробовал его удалить,вроде удалился
    Поиском больше данного файла не обнаружено,чтоб убедится что все нормализовалось выкидываю логи
    Посмотрите не оставил ли следов вирус
    Вложения Вложения

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,526
    Вес репутации
    2915
    Код:
    C:\kFv3DjpT2zp3AH0
    c:\documents and settings\Константин\Application Data\kFv3DjpT2zp3AH0
    удалите эти папки вручную
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    25
    и ещё был бы благодарен ,может быть знаете ??
    А каково происхождение данного вируса??
    Как он вторгся в компьютер??

    Добавлено через 48 секунд

    Уже удалил
    Благодарю

    Добавлено через 25 минут

    Не помогло все равно вирус определил АНТИВИРУС
    оН ОПРЕДЕЛЯЕТ
    TROJAN.GEN
    Последний раз редактировалось xedfr; 11.02.2012 в 13:54. Причина: Добавлено

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    379
    Лог comboFix повторите...

  • Уважаемый(ая) xedfr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрительные файлы в корне диска С:\ - plg.txt, klpclst.dat, wndsksi.inf
      От Саша Йоркширський в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.06.2012, 20:06
    2. wndsksi.inf и klpclst.dat на диске C
      От pavlentiy67 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.06.2012, 18:48
    3. Ответов: 3
      Последнее сообщение: 26.05.2012, 12:17
    4. Ответов: 7
      Последнее сообщение: 04.05.2012, 14:44
    5. Cамостоятельно создается пустая папка
      От neotrance в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.02.2012, 14:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00862 seconds with 23 queries