Вирус klpclst.dat

[Wasyanya]

Здравствуйте, уважаемые специалисты. Столкнулся с проблемой. Поймал вирус. Dr.web Cureit определил как carberp.30. Стала сильно тормозить система, загрузка ЦП 100%. На диске С появилась папка 0bS3Q1SYR8sWaik, а в ней файл klpclst.dat. Своими силами удалить не получается. Надеюсь на вашу помощь.

[Info_bot]

Уважаемый(ая) Wasyanya, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT

[Wasyanya]

надеюсь, это то

[thyrex]

Удалите в МВАМ только указанные ниже записи

Код:

Обнаруженные ключи в реестре:  11
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Химия 10кл_Габриелян_ГДЗ_ 2002.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\Typelib\{9233C3C0-1472-4091-A505-5580A23BB4AC} (Trojan.FakeAlert) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500BCA15-57A7-4EAF-8143-8C619470B13D} (Trojan.FakeAlert) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4EAF-8143-8C619470B13D} (Trojan.FakeAlert) -> Действие не было предпринято.
HKCR\XML.XML (Trojan.FakeAlert) -> Действие не было предпринято.
HKCR\XML.XML.1 (Trojan.FakeAlert) -> Действие не было предпринято.
HKCU\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.
HKCU\SOFTWARE\TMAgency (Adware.TMAagent) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  4
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings|bf (Trojan.Agent) -> Параметры: ќ]к˜GщўPiTJ$2Ъу”DSЇ“Ц+—iІГB— -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings|bk (Trojan.Agent) -> Параметры: Ґ#учL‡ўZ*%^+k‹©д@"чОџlУw”оҐD№hЯ	єJf -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings|iu (Trojan.Agent) -> Параметры: 2141 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings|mu (Trojan.Agent) -> Параметры: {®Gбz„? -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Documents and Settings\Юра\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> Действие не было предпринято.
C:\Documents and Settings\Юра\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> Действие не было предпринято.

Обнаруженные файлы:  22
C:\Documents and Settings\Юра\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> Действие не было предпринято.
C:\Documents and Settings\Юра\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> Действие не было предпринято.

Пофиксите в HiJack

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\program files\hidewizard\runhide.exe s
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

Выполните скрипт в AVZ

Код:

begin
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Юра^Главное меню^Программы^Автозагрузка^AdobeUpdater.lnk');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Юра^Главное меню^Программы^Автозагрузка^Adobe Updater.lnk');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Юра^Главное меню^Программы^Автозагрузка^AdLoader.lnk');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\svchost');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Shell');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\plugin');
RebootWindows(true);
end.

Компьютер перезагрузится.

Смените все пароли

Сделайте новые логи RSIT и МВАМ

[Wasyanya]

Спасибо. Проц вроде перестал виснуть. Но папка 0bS3Q1SYR8sWaik с файлом klpclst.dat все равно создается после удаления и перезагрузки. Отправляю логи.

[Wasyanya]

Похоже, вчера поторопился. Сегодня включил комп - ситуация прежняя. Загрузка ЦП 100%, хотя ничего не запущено.

[thyrex]

Сделайте лог TDSSkiller

[Wasyanya]

лог

[миднайт]

- Очистите темп-папки, кэш браузеров, cookies и корзину.

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Повторите лог virusinfo_syscheck.zip