-
Вложений: 3
Вирус klpclst.dat
Здравствуйте, уважаемые специалисты. Столкнулся с проблемой. Поймал вирус. Dr.web Cureit определил как carberp.30. Стала сильно тормозить система, загрузка ЦП 100%. На диске С появилась папка 0bS3Q1SYR8sWaik, а в ней файл klpclst.dat. Своими силами удалить не получается. Надеюсь на вашу помощь.
-
Уважаемый(ая) [B]Wasyanya[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
-
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url=" http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
-
Вложений: 3
-
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные ключи в реестре: 11
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Химия 10кл_Габриелян_ГДЗ_ 2002.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Typelib\{9233C3C0-1472-4091-A505-5580A23BB4AC} (Trojan.FakeAlert) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500BCA15-57A7-4EAF-8143-8C619470B13D} (Trojan.FakeAlert) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4EAF-8143-8C619470B13D} (Trojan.FakeAlert) -> Действие не было предпринято.
HKCR\XML.XML (Trojan.FakeAlert) -> Действие не было предпринято.
HKCR\XML.XML.1 (Trojan.FakeAlert) -> Действие не было предпринято.
HKCU\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.
HKCU\SOFTWARE\TMAgency (Adware.TMAagent) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings|bf (Trojan.Agent) -> Параметры: ќ]к˜GщўPiTJ��$2Ъу”DSЇ“Ц+—iІГB— -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings|bk (Trojan.Agent) -> Параметры: Ґ#учL‡ўZ�*%^+�k‹©д@"чОџlУw”о�ҐD№hЯ� єJf -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings|iu (Trojan.Agent) -> Параметры: 2141 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings|mu (Trojan.Agent) -> Параметры: {�®Gбz„? -> Действие не было предпринято.
Обнаруженные папки: 2
C:\Documents and Settings\Юра\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.
C:\Documents and Settings\Юра\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> Действие не было предпринято.
Обнаруженные файлы: 22
C:\Documents and Settings\Юра\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> Действие не было предпринято.
C:\Documents and Settings\Юра\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> Действие не было предпринято.[/code]
Пофиксите в HiJack
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\program files\hidewizard\runhide.exe s
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)[/CODE]
Выполните скрипт в AVZ
[code]begin
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Юра^Главное меню^Программы^Автозагрузка^AdobeUpdater.lnk');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Юра^Главное меню^Программы^Автозагрузка^Adobe Updater.lnk');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Юра^Главное меню^Программы^Автозагрузка^AdLoader.lnk');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\svchost');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Shell');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\plugin');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
[B]Смените все пароли[/B]
Сделайте новые логи RSIT и МВАМ
-
Вложений: 3
Спасибо. Проц вроде перестал виснуть. Но папка 0bS3Q1SYR8sWaik с файлом klpclst.dat все равно создается после удаления и перезагрузки. Отправляю логи.
-
Похоже, вчера поторопился. Сегодня включил комп - ситуация прежняя. Загрузка ЦП 100%, хотя ничего не запущено.
-
-
Вложений: 1
-
- [url="http://virusinfo.info/showthread.php?t=10025"]Очистите[/url] темп-папки, кэш браузеров, cookies и корзину.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Повторите лог virusinfo_syscheck.zip
Page generated in 0.00502 seconds with 10 queries