trojan klpclst.dat

[Maxspb]

Доброго времени суток.
помогите завалить заразу.
файлы во вложении

[Info_bot]

Уважаемый(ая) Maxspb, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Установите верную дату: у Вас уже апрель

Сделайте логи RSIT

[Maxspb]

с датой косяк - спасибо
лог сделал - во вложении

[Techno]

- Выполните в АВЗ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\plg.txt','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\oaCKt5T4WFQ.exe','');
 DeleteFile('C:\plg.txt');
 DeleteFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\oaCKt5T4WFQ.exe');
 DeleteFile('AC14F68E.sys');
 DeleteFile('B6844551.sys');
 DeleteFile('BC2C1074.sys');
 DeleteFile('C9014176.sys');
 DeleteFile('CC4E3995.sys');
 DeleteFile('D45351AA.sys');
 DeleteFile('ICQ Service.sys');
 DeleteFile('Guard.Mail.ru');
  RegKeyParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Lsa','notification packages','REG_MULTI_SZ','scecli');
 DeleteService('aawservice');
 DeleteService('AC14F68E');
 DeleteService('B6844551');
 DeleteService('BC2C1074');
 DeleteService('C9014176');
 DeleteService('CC4E3995');
 DeleteService('D45351AA');
 DeleteService('Guard.Mail.ru');
 DeleteService('ICQ Service');
 DeleteFileMask('C:\WINDOWS\system32','*.tmp',false);
 DeleteFileMask('C:\lTfyTmneTr8jBKK','*',true);
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\lTfyTmneTr8jBKK','*',true);
 DeleteFileMask('C:\XeJKRZCjZHda1Wt','*',true);
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\XeJKRZCjZHda1Wt','*',true);
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\4FnSMP139ux1CvU','*',true);
 DeleteFileMask('C:\Documents and Settings\Пользователь\Application Data\kFv3DjpT2zpA8Fo','*',true);
 DeleteDirectory('C:\lTfyTmneTr8jBKK');
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\lTfyTmneTr8jBKK');
 DeleteDirectory('C:\XeJKRZCjZHda1Wt');
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\XeJKRZCjZHda1Wt');
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\4FnSMP139ux1CvU');
 DeleteDirectory('C:\Documents and Settings\Пользователь\Application Data\kFv3DjpT2zpA8Fo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

- Удалите ComboFix.

- Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи АВЗ и РСИТ.

[Maxspb]

здравствуйте, карантин отправил.
логи во вложении.
Вопрос - отключил WiFi, сделал первый лог AVZ
после перезагрузки не вижу свою сеть - все есть а моей нет,
проверил роутер - все нормально. с чем это может быть связано ?

[Techno]

Восстановите ассоциацию REG-файлов (скачайте и запустите)


Что с проблемами?

проверил роутер - все нормально. с чем это может быть связано ?

Ни с чем. Если другие сети видит - значит проблема с Вашей сетью. Еще раз проверьте настройки роутера, перезапустите его и проведите новый поиск сетей на своем компьютере.

[Maxspb]

доброго времени суток,
асоциацию востановил, новые логи во вложении.
По сети - непонятка, т.к. принес сегодня ноут с работы - сеть видит,
подключается все нормально, видимо вирус прогресирует,
давайте вылечим его сначала, а дальше уже на WiFi посмотрим.

[Techno]

Еще раз: wifi вообще не ловит сети или ловит все, кроме Вашей?

[Maxspb]

получается что так, перестал видеть родную сеть, чужие видит.
даже подключается к незащищенной, второй ноут все нормально - сеть видит и подключается ..
перезагружал роутер - не помогает.
папку с вирусом удалил - спасибо огромное.

[Techno]

Попробуйте название сети поменять.

[Maxspb]

доброго времени суток
месяц назад лечили заразу, а тут вдруг увидел опять папку на диске С.
и опять оно ((
не пойму толи заного поймал, толи в прошлый раз не долечили...

посмотрите пожалуйста новые логи во вложении.

[Maxspb]

сделал сразу лог RSIT

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Common Files\Services\asfCP.i','');
QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\dln.exe','');
 DeleteFile('C:\Program Files\Common Files\Services\asfCP.i');
DeleteFile('C:\plg.txt');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Maxspb]

доброго вечера,
архив выслал, логи во вложении

[Techno]

- Сделайте лог полного сканирования MBAM.

[Maxspb]

день добрый, во вложении.
так же антивирус нашел win32\bagle.FN в C:\System Volume Information\
то что нашел MBAM - удалить или пока оставить ?

[Techno]

- Удалите в MBAM:

Код:

HKLM\SYSTEM\CurrentControlSet\Services\PmlTrkWks (Trojan.Agent.PE5) -> Действие не было предпринято.
HKCR\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860A02-4D69-48C1-82D7-EF6B2C609502} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1DE446A-8770-4621-9378-F1922C74A36C} (Trojan.BHO) -> Действие не было предпринято.

C:\WINDOWS\system32\2052k.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\Sun\Java\Deployment\cache\6.0\48\6f71ac70-1bc92d9f (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\temp\3D.tmp (Trojan.Agent.PE5) -> Действие не было предпринято.

C:\Documents and Settings\Пользователь\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

[Maxspb]

Здравствуйте, новый лог во вложении.
На диске С: все еще присутствует папка с klpclst.dat
плюс антивирус не может обновиться - его переустановить ?

[Techno]

- Сделайте лог RSIT

Сделайте лог TDSSKiller