[решено] Помогите удалить klpclst.dat

Techno88 · Отправлено: **16:48, 18-01-2012** | #2

Посмотрю...

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\a4zp9gn1pv.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ZKHfHXq2PbA.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\3zbw0zc6.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\3dck1xl2ahf.exe','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\3dck1xl2ahf.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\3zbw0zc6.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ZKHfHXq2PbA.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\a4zp9gn1pv.exe');
 DeleteFileMask('C:\vztApC3LHVPM8a6','*',true);
 DeleteFileMask(':\Documents and Settings\Admin\Application Data\H4r5wpxJmzt2mvo','*',true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST','*',true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\23QgRedhjEowQx4','*',true);
 DeleteDirectory('C:\vztApC3LHVPM8a6');
 DeleteDirectory(':\Documents and Settings\Admin\Application Data\H4r5wpxJmzt2mvo');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\23QgRedhjEowQx4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

- Повторите логи АВЗ и РСИТ.

Что с проблемой?

SASHAfromRUSSIA · Отправлено: **17:07, 18-01-2012** | #3

Спасибо.

Пока создавал тему у меня появилась ещё одна папка "IzDevWz86OEVAK4" с таким же файлом "klpclst.dat" + там ещё находится скрытый файл "wndsksi.inf". Эта папка, то появляется, то исчезает.

SASHAfromRUSSIA · Отправлено: **17:46, 18-01-2012** | #4

Папки "vztApC3LHVPM8a6" с файлом "klpclst.dat" больше нет. А папка "IzDevWz86OEVAK4" с файлами "klpclst.dat" и "wndsksi.inf" попрежнему то появляется, то исчезает.

thyrex · Конфигурация компьютера

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

SASHAfromRUSSIA · Отправлено: **19:24, 18-01-2012** | #6

Всё сделал, только не уверен, что правильно. После запуска этой программы, появилось окно. Я сначала нажал "Yes", после этого пошло соединение с каким-то сайтом. Я всё отменил. И во второй раз уже нажал "No". Не знаю, правильно ли я всё сделал.

Techno88 · Отправлено: **19:40, 18-01-2012** | #7

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\documents and settings\Admin\Главное меню\Программы\Автозагрузка\jdZeD2doanc.exe
c:\docume~1\Admin\LOCALS~1\Temp\166C.tmp

Driver::


NetSvc::


Folder::
C:\IzDevWz86OEVAK4


Registry::

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

SASHAfromRUSSIA · Отправлено: **20:12, 18-01-2012** | #8

Запаковать в архив? Если правильно понял, то вот

:

Techno88 · Отправлено: **20:35, 18-01-2012** | #9

Что с проблемой?

SASHAfromRUSSIA · Отправлено: **20:39, 18-01-2012** | #10

Спасибо вам огромное за помощь! Проблема, вроде как устранена, папка с вирусом исчезла.

Правда, у меня есть ещё несколько вопросов на эту тему. Если вас не затруднит, то ответьте, пожалуйста.
1. Что делать со всеми папками (rsit; MSOCache; Qoobox), которые появились в процессе избавления от вируса на диске C? Можно ли их удалить вручную?
2. В случае появления такого вируса вновь, помогут ли все данные рекомендации в этой теме, или же здесь нужен индивидуальный подход к каждому конкретному случаю?
3. Что это за вирус такой, и как он вредит компьютеру? Стоит ли менять пароли, после уничтожения вируса, в социальных сетях и на других сайтах?
Заранее спасибо!