Показано с 1 по 16 из 16.

klpclst.dat как удалить [Trojan.Win32.Badur.atbu, not-a-virus:RiskTool.Win32.HideExec.ai ] (заявка № 147206)

  1. #1
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    20

    klpclst.dat как удалить [Trojan.Win32.Badur.atbu, not-a-virus:RiskTool.Win32.HideExec.ai ]

    Здравствуйте. Поймал троян, который создает постоянно файл, как в заголовке, он не дает в обычном режиме загрузки виндовса работать ни одному приложению (они просто не запускаются), в автозагрузку добавились две новых "программы" : rbgiypzyt и xKNpEM5EPhI, пробовал чистить реестр - после перезагрузки опять появляются. Проверка утилитами без установки от : др. веба не дала ничего, каспер находит, но не может удалить. Проверку программами AVZ и hj делал в безопасном режиме.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,351
    Вес репутации
    349
    Уважаемый(ая) bgd, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    97,988
    Вес репутации
    3058
    Выполните скрипт в AVZ
    Код:
     begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Program Files\Common Files\treasure0\rbgiypzyt.exe','');
     DeleteFile('C:\Program Files\Common Files\treasure0\rbgiypzyt.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','treasure');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(9); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    20
    Вложение 440920
    Вложение 440919
    Вложение 440918
    Есть прогресс: компьютер уже работает в нормальном режиме(не безопасном), но нод еще не запускается, в автозагрузке пока те-же вредные проги.
    Запрошенный карантин сделал. Новые логи прилагаю.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,278
    Вес репутации
    899
    Цитата Сообщение от bgd Посмотреть сообщение
    в автозагрузке пока те-же вредные проги.
    Не вижу...

    Обновите базы AVZ ("Файл" -> "Обновление баз") и переделайте логи.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    20
    Поправочка: в автозагрузке осталась только xKNpEM5EPhI, но она не активна/без галочки. Компьютер еще не хочет перезагружаться сам, только с кнопка, все закрывается пустой рабочий стол и висит. Ну и с нодом что-то, тоже не хочет включаться, пишет повторная установка исправит.

    Вложение 440928
    Вложение 440929

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,278
    Вес репутации
    899
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    20
    Готово.
    Вложение 440935

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,278
    Вес репутации
    899
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\296A.TMP
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\1339.TMP
    ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\296A.TMP
    addsgn 1A0F8965AA598C225B84FE59FBF81205E6DCAB7DF5DE13F374480A356E3EFEE7DCE84A1136DCCB45A007A0934616C0BC6D8063B40B18B42CA6B62F274C563248 24 BackDoor.IRC.Cirilico.119 [DrWeb]
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\KHXYNJHVMKJ.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\KHXYNJHVMKJ.EXE
    ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\1339.TMP
    ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\2BA9.TMP
    ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\D6A.TMP
    chklst
    delvir
    
    exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216039FF}
    deltmp
    restart
    Компьютер перезагрузится.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Скачайте и установите Java 6 Update 45 - версия, совместима с банк- клиентами. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности




    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
    Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    20
    В папке uVS архива не появилось, поэтому я заархивировал папку ZOO, и приложил.
    Логи ТДС (почему-то получилось 2) :
    Вложение 440956
    Вложение 440955
    И интересная штука, у фаерфокса почемуто отвалилось графическое содержание сайтов(только текс остался).

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,278
    Вес репутации
    899
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    20
    С фаерфоксом все нормально стало. Из реестра удалил последнюю запись с xKNpEM5EPhI. Вродебы все работает кроме Нода, пишет "приложение небыло запущено поскольку некорректно настроено". Можно это както пофиксить без переустановки ?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,278
    Вес репутации
    899
    Боюсь, попортил вирус Nod32.

    Сделайте лог полного сканирования МВАМ.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    20

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,278
    Вес репутации
    899
    Удалите в MBAM всё, кроме:
    Код:
    C:\Documents and Settings\ADMIN\Рабочий стол\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.
    C:\Documents and Settings\roma\Рабочий стол\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.C:\Program Files\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.
    information

    Уведомление

    Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.



    Пробуйте переустановить Nod32.
    WBR,
    Vadim

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    957

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. \\zoo\\khxynjhvmkj.exe._03ad2b0d7ae529f0770d0ec9ab dc28163120fb4f - Trojan.Win32.Badur.atbu ( BitDefender: Trojan.VIZ.Gen.1, AVAST4: Win32:Kryptik-NBB [Trj] )
      2. \\zoo\\1339.tmp._db3977c8e4dd43fb353846aef535858ec 78f4680 - not-a-virus:RiskTool.Win32.HideExec.ai
      3. \\zoo\\296a.tmp._b55c8e8fa50d27f2852ee730b30195a72 707d675 - not-a-virus:RiskTool.Win32.HideExec.ai


  • Уважаемый(ая) bgd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. klpclst.dat. Троян. Не могу удалить.
      От shennikita в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.09.2012, 00:39
    2. klpclst.dat
      От OZU в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.07.2012, 10:53
    3. klpclst.dat
      От Fruti в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 17.06.2012, 15:37
    4. klpclst.dat. Троян. Не могу удалить.
      От kalaider в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.03.2012, 16:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01364 seconds with 16 queries