trojan klpclst.dat

Доброго времени суток.
помогите завалить заразу.
файлы во вложении

Уважаемый(ая) [B]Maxspb[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Установите верную дату: у Вас уже апрель

Сделайте логи [url=" http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

с датой косяк - спасибо
лог сделал - во вложении

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\plg.txt','');
QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\oaCKt5T4WFQ.exe','');
DeleteFile('C:\plg.txt');
DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\oaCKt5T4WFQ.exe');
DeleteFile('AC14F68E.sys');
DeleteFile('B6844551.sys');
DeleteFile('BC2C1074.sys');
DeleteFile('C9014176.sys');
DeleteFile('CC4E3995.sys');
DeleteFile('D45351AA.sys');
DeleteFile('ICQ Service.sys');
DeleteFile('Guard.Mail.ru');
RegKeyParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Lsa','notification packages','REG_MULTI_SZ','scecli');
DeleteService('aawservice');
DeleteService('AC14F68E');
DeleteService('B6844551');
DeleteService('BC2C1074');
DeleteService('C9014176');
DeleteService('CC4E3995');
DeleteService('D45351AA');
DeleteService('Guard.Mail.ru');
DeleteService('ICQ Service');
DeleteFileMask('C:\WINDOWS\system32','*.tmp',false);
DeleteFileMask('C:\lTfyTmneTr8jBKK','*',true);
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\lTfyTmneTr8jBKK','*',true);
DeleteFileMask('C:\XeJKRZCjZHda1Wt','*',true);
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\XeJKRZCjZHda1Wt','*',true);
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\4FnSMP139ux1CvU','*',true);
DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\kFv3DjpT2zpA8Fo','*',true);
DeleteDirectory('C:\lTfyTmneTr8jBKK');
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\lTfyTmneTr8jBKK');
DeleteDirectory('C:\XeJKRZCjZHda1Wt');
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\XeJKRZCjZHda1Wt');
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\4FnSMP139ux1CvU');
DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\kFv3DjpT2zpA8Fo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.

- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
[/CODE]


- [URL="http://virusinfo.info/showthread.php?t=58309&p=500136&viewfull=1#post500136"]Удалите ComboFix.[/URL]

- [B]Обновите базы АВЗ[/B] (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи АВЗ и РСИТ.

здравствуйте, карантин отправил.
логи во вложении.
Вопрос - отключил WiFi, сделал первый лог AVZ
после перезагрузки не вижу свою сеть - все есть а моей нет,
проверил роутер - все нормально. с чем это может быть связано ?

[URL="http://dougknox.com/xp/fileassoc/xp_regfile.zip"]Восстановите ассоциацию REG-файлов[/URL] (скачайте и запустите)


Что с проблемами?

[quote="Maxspb;873814"]проверил роутер - все нормально. с чем это может быть связано ?[/quote]
Ни с чем. Если другие сети видит - значит проблема с Вашей сетью. Еще раз проверьте настройки роутера, перезапустите его и проведите новый поиск сетей на своем компьютере.

доброго времени суток,
асоциацию востановил, новые логи во вложении.
По сети - непонятка, т.к. принес сегодня ноут с работы - сеть видит,
подключается все нормально, видимо вирус прогресирует,
давайте вылечим его сначала, а дальше уже на WiFi посмотрим.

Еще раз: wifi вообще не ловит сети или ловит все, кроме Вашей?

получается что так, перестал видеть родную сеть, чужие видит.
даже подключается к незащищенной, второй ноут все нормально - сеть видит и подключается ..
перезагружал роутер - не помогает.
папку с вирусом удалил - спасибо огромное.

Попробуйте название сети поменять.

доброго времени суток
месяц назад лечили заразу, а тут вдруг увидел опять папку на диске С.
и опять оно ((
не пойму толи заного поймал, толи в прошлый раз не долечили...

посмотрите пожалуйста новые логи во вложении.

сделал сразу лог RSIT

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\Common Files\Services\asfCP.i','');
QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\dln.exe','');
DeleteFile('C:\Program Files\Common Files\Services\asfCP.i');
DeleteFile('C:\plg.txt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

доброго вечера,
архив выслал, логи во вложении

- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

день добрый, во вложении.
так же антивирус нашел win32\bagle.FN в C:\System Volume Information\
то что нашел MBAM - удалить или пока оставить ?

- [URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM:[/URL]
[CODE]HKLM\SYSTEM\CurrentControlSet\Services\PmlTrkWks (Trojan.Agent.PE5) -> Действие не было предпринято.
HKCR\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860A02-4D69-48C1-82D7-EF6B2C609502} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1DE446A-8770-4621-9378-F1922C74A36C} (Trojan.BHO) -> Действие не было предпринято.

C:\WINDOWS\system32\2052k.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\Sun\Java\Deployment\cache\6.0\48\6f71ac70-1bc92d9f (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\temp\3D.tmp (Trojan.Agent.PE5) -> Действие не было предпринято.

C:\Documents and Settings\Пользователь\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.[/CODE]

Здравствуйте, новый лог во вложении.
На диске С: все еще присутствует папка с klpclst.dat
плюс антивирус не может обновиться - его переустановить ?

- [URL="http://virusinfo.info/showthread.php?t=49691&highlight=RSIT"]Сделайте лог RSIT[/URL]

[URL="http://support.kaspersky.ru/faq/?qid=208639606"]Сделайте лог TDSSKiller[/URL]