Показано с 1 по 16 из 16.

klpclst.dat как удалить [Trojan.Win32.Badur.atbu, not-a-virus:RiskTool.Win32.HideExec.ai ] (заявка № 147206)

  1. #1
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    16

    klpclst.dat как удалить [Trojan.Win32.Badur.atbu, not-a-virus:RiskTool.Win32.HideExec.ai ]

    Здравствуйте. Поймал троян, который создает постоянно файл, как в заголовке, он не дает в обычном режиме загрузки виндовса работать ни одному приложению (они просто не запускаются), в автозагрузку добавились две новых "программы" : rbgiypzyt и xKNpEM5EPhI, пробовал чистить реестр - после перезагрузки опять появляются. Проверка утилитами без установки от : др. веба не дала ничего, каспер находит, но не может удалить. Проверку программами AVZ и hj делал в безопасном режиме.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) bgd, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,354
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
     begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Program Files\Common Files\treasure0\rbgiypzyt.exe','');
     DeleteFile('C:\Program Files\Common Files\treasure0\rbgiypzyt.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','treasure');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(9); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    16
    Вложение 440920
    Вложение 440919
    Вложение 440918
    Есть прогресс: компьютер уже работает в нормальном режиме(не безопасном), но нод еще не запускается, в автозагрузке пока те-же вредные проги.
    Запрошенный карантин сделал. Новые логи прилагаю.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Цитата Сообщение от bgd Посмотреть сообщение
    в автозагрузке пока те-же вредные проги.
    Не вижу...

    Обновите базы AVZ ("Файл" -> "Обновление баз") и переделайте логи.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    16
    Поправочка: в автозагрузке осталась только xKNpEM5EPhI, но она не активна/без галочки. Компьютер еще не хочет перезагружаться сам, только с кнопка, все закрывается пустой рабочий стол и висит. Ну и с нодом что-то, тоже не хочет включаться, пишет повторная установка исправит.

    Вложение 440928
    Вложение 440929

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    16
    Готово.
    Вложение 440935

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\296A.TMP
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\1339.TMP
    ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\296A.TMP
    addsgn 1A0F8965AA598C225B84FE59FBF81205E6DCAB7DF5DE13F374480A356E3EFEE7DCE84A1136DCCB45A007A0934616C0BC6D8063B40B18B42CA6B62F274C563248 24 BackDoor.IRC.Cirilico.119 [DrWeb]
    
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\KHXYNJHVMKJ.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\KHXYNJHVMKJ.EXE
    ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\1339.TMP
    ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\2BA9.TMP
    ; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\D6A.TMP
    chklst
    delvir
    
    exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216039FF}
    deltmp
    restart
    Компьютер перезагрузится.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Скачайте и установите Java 6 Update 45 - версия, совместима с банк- клиентами. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности




    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
    Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска.)
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    16
    В папке uVS архива не появилось, поэтому я заархивировал папку ZOO, и приложил.
    Логи ТДС (почему-то получилось 2) :
    Вложение 440956
    Вложение 440955
    И интересная штука, у фаерфокса почемуто отвалилось графическое содержание сайтов(только текс остался).

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    16
    С фаерфоксом все нормально стало. Из реестра удалил последнюю запись с xKNpEM5EPhI. Вродебы все работает кроме Нода, пишет "приложение небыло запущено поскольку некорректно настроено". Можно это както пофиксить без переустановки ?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Боюсь, попортил вирус Nod32.

    Сделайте лог полного сканирования МВАМ.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    11.10.2013
    Сообщений
    39
    Вес репутации
    16

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,563
    Вес репутации
    836
    Удалите в MBAM всё, кроме:
    Код:
    C:\Documents and Settings\ADMIN\Рабочий стол\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.
    C:\Documents and Settings\roma\Рабочий стол\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.C:\Program Files\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.
    information

    Уведомление

    Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.



    Пробуйте переустановить Nod32.
    WBR,
    Vadim

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. \\zoo\\khxynjhvmkj.exe._03ad2b0d7ae529f0770d0ec9ab dc28163120fb4f - Trojan.Win32.Badur.atbu ( BitDefender: Trojan.VIZ.Gen.1, AVAST4: Win32:Kryptik-NBB [Trj] )
      2. \\zoo\\1339.tmp._db3977c8e4dd43fb353846aef535858ec 78f4680 - not-a-virus:RiskTool.Win32.HideExec.ai
      3. \\zoo\\296a.tmp._b55c8e8fa50d27f2852ee730b30195a72 707d675 - not-a-virus:RiskTool.Win32.HideExec.ai


  • Уважаемый(ая) bgd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. klpclst.dat. Троян. Не могу удалить.
      От shennikita в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.09.2012, 00:39
    2. klpclst.dat
      От OZU в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.07.2012, 10:53
    3. klpclst.dat
      От Fruti в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 17.06.2012, 15:37
    4. klpclst.dat. Троян. Не могу удалить.
      От kalaider в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.03.2012, 16:48

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00293 seconds with 16 queries