-
Junior Member
- Вес репутации
- 39
klpclst.dat как удалить [Trojan.Win32.Badur.atbu, not-a-virus:RiskTool.Win32.HideExec.ai
]
Здравствуйте. Поймал троян, который создает постоянно файл, как в заголовке, он не дает в обычном режиме загрузки виндовса работать ни одному приложению (они просто не запускаются), в автозагрузку добавились две новых "программы" : rbgiypzyt и xKNpEM5EPhI, пробовал чистить реестр - после перезагрузки опять появляются. Проверка утилитами без установки от : др. веба не дала ничего, каспер находит, но не может удалить. Проверку программами AVZ и hj делал в безопасном режиме.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) bgd, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\Common Files\treasure0\rbgiypzyt.exe','');
DeleteFile('C:\Program Files\Common Files\treasure0\rbgiypzyt.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','treasure');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
Вложение 440920
Вложение 440919
Вложение 440918
Есть прогресс: компьютер уже работает в нормальном режиме(не безопасном), но нод еще не запускается, в автозагрузке пока те-же вредные проги.
Запрошенный карантин сделал. Новые логи прилагаю.
-
Сообщение от
bgd
в автозагрузке пока те-же вредные проги.
Не вижу...
Обновите базы AVZ ("Файл" -> "Обновление баз") и переделайте логи.
-
-
Junior Member
- Вес репутации
- 39
Поправочка: в автозагрузке осталась только xKNpEM5EPhI, но она не активна/без галочки. Компьютер еще не хочет перезагружаться сам, только с кнопка, все закрывается пустой рабочий стол и висит. Ну и с нодом что-то, тоже не хочет включаться, пишет повторная установка исправит.
Вложение 440928
Вложение 440929
-
-
-
Junior Member
- Вес репутации
- 39
-
Выполните скрипт в uVS:
Код:
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\296A.TMP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\1339.TMP
; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\296A.TMP
addsgn 1A0F8965AA598C225B84FE59FBF81205E6DCAB7DF5DE13F374480A356E3EFEE7DCE84A1136DCCB45A007A0934616C0BC6D8063B40B18B42CA6B62F274C563248 24 BackDoor.IRC.Cirilico.119 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\KHXYNJHVMKJ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\KHXYNJHVMKJ.EXE
; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\1339.TMP
; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\2BA9.TMP
; C:\DOCUMENTS AND SETTINGS\NATASHA\LOCAL SETTINGS\TEMP\D6A.TMP
chklst
delvir
exec MsiExec.exe /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216039FF}
deltmp
restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/faq/?qid=208636926.
Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
-
-
Junior Member
- Вес репутации
- 39
В папке uVS архива не появилось, поэтому я заархивировал папку ZOO, и приложил.
Логи ТДС (почему-то получилось 2) :
Вложение 440956
Вложение 440955
И интересная штука, у фаерфокса почемуто отвалилось графическое содержание сайтов(только текс остался).
-
-
-
Junior Member
- Вес репутации
- 39
С фаерфоксом все нормально стало. Из реестра удалил последнюю запись с xKNpEM5EPhI. Вродебы все работает кроме Нода, пишет "приложение небыло запущено поскольку некорректно настроено". Можно это както пофиксить без переустановки ?
-
Боюсь, попортил вирус Nod32.
Сделайте лог полного сканирования МВАМ.
-
-
Junior Member
- Вес репутации
- 39
-
Удалите в MBAM всё, кроме:
Код:
C:\Documents and Settings\ADMIN\Рабочий стол\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Documents and Settings\roma\Рабочий стол\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.C:\Program Files\Total Commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Действие не было предпринято.
Пробуйте переустановить Nod32.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- \\zoo\\khxynjhvmkj.exe._03ad2b0d7ae529f0770d0ec9ab dc28163120fb4f - Trojan.Win32.Badur.atbu ( BitDefender: Trojan.VIZ.Gen.1, AVAST4: Win32:Kryptik-NBB [Trj] )
- \\zoo\\1339.tmp._db3977c8e4dd43fb353846aef535858ec 78f4680 - not-a-virus:RiskTool.Win32.HideExec.ai
- \\zoo\\296a.tmp._b55c8e8fa50d27f2852ee730b30195a72 707d675 - not-a-virus:RiskTool.Win32.HideExec.ai
-