Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Создается странная папка в диске С: c файлами klpclst.dat ,wndsksi.inf (заявка № 116288)

  1. #1
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29

    Создается странная папка в диске С: c файлами klpclst.dat ,wndsksi.inf

    Создается сама при перезагрузки папка с набором символов C:\kFv3DjpT2zp3AH0
    с двумя файлами klpclst.dat ,wndsksi.inf

    В диспетчере задач есть задача svchost.exe запущенная от пользователя (Константин)
    Если удалить файлы из странной папки и убить процесс svchost.exe от пользователя,то процесс восстанавливается и вместе с ней восстанавливаются файлы
    Кроме этого в автозагрузке появляется какой-то не понятный файл exe (набор букв рандомных.exe)
    Сам появляется и исчезает сам по себе
    Внешне симптомы компьютера глюки и тормоза легкие
    Долго запускается система хотя комп мощный
    Ну наверное все
    Заранее благодарен
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) xedfr, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\systemhost\24FC2AE3169.exe','');
     DeleteFile('C:\systemhost\24FC2AE3169.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0FZEXHXFVZHGV');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  5. #4
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    А также

    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  6. #5
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29
    Карантина не было папка карантина пустая
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29
    ComboFix
    Не делается лог
    Выскакивает синий экран смерти

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Тогда такой лог http://virusinfo.info/showthread.php?t=115256 сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29

    Логи за 3 месяца

    Логи за 3 месяца
    Вложения Вложения
    • Тип файла: txt log.txt (83.1 Кб, 3 просмотров)
    • Тип файла: txt info.txt (27.6 Кб, 2 просмотров)

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe','');
      DeleteFile('C:\Documents and Settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe');
      BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29
    Смог сделать комбофикс
    Скрипт нечего не изменил avz написало что не может удалить файл в автозагрузке
    Карантин отослал
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29
    C:\Documents and Settings\Константин\Application Data\kFv3DjpT2zp3AH0\LXDcjASl3Js
    Ещё нашел папку с таким же названием вот тут
    В папке пусто

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    c:\documents and settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe
    
    Driver::
    
    Folder::
    C:\Documents and Settings\Константин\Application Data\kFv3DjpT2zp3AH0\LXDcjASl3Js
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29
    Не фига,автозагрузку держит какая то хрень
    Связанная с svhost и explover

    Может что нибудь подскажет если переименовать тот файл в автозагрузке на txt и открыть появляются тупой набор символов
    Но в конце можно прочитать

    V D q B U b j f c C 7 o s r C N x w d Q Y C P z 9 4 j 8 J m 8 W l 2 F f A z e N U m l n 2 u A L t 2 c F c C , f 0 A Z I h 8 M W q R 6 E q o C S i X d V Z X O q f S 6 c i 2 g J B X c f r 5 I B i F z u u c d D r U f 8 R I 9 d M l P z u d k f u 1 f m p 9 L w 8 K p w 4 X 6 m m 8 D u A C K U R g 1 Q i P a j r 9 A t t A E 1 0 U i G Z V D q B U b j f c C 7 o s r C N x w d Q Y C P z 9 4 j 8 J m 8 W l 2 F f A z e N U m l n 2 u A L t 2 c F c C , f 0 A Z I h 8 M W q R 6 E q o C S i X d V Z X O q f S 6 c i 2 g J B X c f r 5 I t4 V S _ V E R S I O N _ I N F O Ѕпю  ° JЈQ'° JЈQ'    Ф  S t r i n g F i l e I n f o °  0 4 0 9 0 4 b 0 <   C o m p a n y N a m e 5 F H m d K 0 t Z e E M S B
     F i l e D e s c r i p t i o n m T c c p W z G H 9 n y ,   F i l e V e r s i o n s U B X z 4
     I n t e r n a l N a m e i 0 Y 5 B e x u V 6   O r i g i n a l F i l e n a m e i u t d A W >   P r o d u c t N a m e f x 5 m f H K f N S s E F 0 @   P r o d u c t V e r s i o n 1 8 4 . 6 2 . 7 7 . 2 4 9 D  V a r F i l e I n f o $  T r a n s l a t i o n °<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

    <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
    <assemblyIdentity
    type="win32"
    name="DelphiApplication"
    version="1.0.0.0"
    processorArchitecture="*"/>
    <dependency>
    <dependentAssembly>
    <assemblyIdentity
    type="win32"
    name="Microsoft.Windows.Common-Controls"
    version="6.0.0.0"
    publicKeyToken="6595b64144ccf1df"
    language="*"
    processorArchitecture="*"/>
    </dependentAssembly>
    </dependency>
    </assembly>
    Вложения Вложения

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    c:\documents and settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe
    c:\windows\system32\ieunitdrf.inf
    
    Driver::
    
    Folder::
    C:\kFv3DjpT2zp3AH0
    c:\documents and settings\Константин\Application Data\kFv3DjpT2zp3AH0
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29
    Неа не помогло
    Вложения Вложения

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Антивирус отключите!

    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    c:\documents and settings\Константин\Главное меню\Программы\Автозагрузка\4je3rxfsgFE.exe
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29
    Вроде бы мы его победили совместными усилиями

    Ссори я проявил немного самостоятельности,дело в том что файл 4je3rxfsgFE.exe все время убегал с автозагрузке решил проверить и поискать его поиском виндовс,и обнаружил его в папке
    C:\RECYCLER\S-1-5-21-1220945662-1972579041-839522115-1003\4je3rxfsgFE.exe
    В папке корзины,немного переделав ваш скрипт попробовал его удалить,вроде удалился
    Поиском больше данного файла не обнаружено,чтоб убедится что все нормализовалось выкидываю логи
    Посмотрите не оставил ли следов вирус
    Вложения Вложения

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,548
    Вес репутации
    3021
    Код:
    C:\kFv3DjpT2zp3AH0
    c:\documents and settings\Константин\Application Data\kFv3DjpT2zp3AH0
    удалите эти папки вручную
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    05.05.2010
    Сообщений
    13
    Вес репутации
    29
    и ещё был бы благодарен ,может быть знаете ??
    А каково происхождение данного вируса??
    Как он вторгся в компьютер??

    Добавлено через 48 секунд

    Уже удалил
    Благодарю

    Добавлено через 25 минут

    Не помогло все равно вирус определил АНТИВИРУС
    оН ОПРЕДЕЛЯЕТ
    TROJAN.GEN
    Последний раз редактировалось xedfr; 11.02.2012 в 12:54. Причина: Добавлено

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,961
    Вес репутации
    383
    Лог comboFix повторите...

  • Уважаемый(ая) xedfr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрительные файлы в корне диска С:\ - plg.txt, klpclst.dat, wndsksi.inf
      От Саша Йоркширський в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.06.2012, 19:06
    2. wndsksi.inf и klpclst.dat на диске C
      От pavlentiy67 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.06.2012, 17:48
    3. Ответов: 3
      Последнее сообщение: 26.05.2012, 11:17
    4. Ответов: 7
      Последнее сообщение: 04.05.2012, 13:44
    5. Cамостоятельно создается пустая папка
      От neotrance в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.02.2012, 13:56

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01288 seconds with 17 queries