Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите победить klpclst.dat (http://forum.oszone.net/showthread.php?t=224780)

VladimirM 09-01-2012 14:48 1831635
Помогите победить klpclst.dat
 
Вложений: 2
Здравствуйте! На форуме уже много раз осбуждался этот вирус. Ко мне в комп он тоже проник. Прошу специалистов форума помочь одолеть эту заразу. Логи вкладываю в сообщение.

thyrex 09-01-2012 15:36 1831700
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор.VLASOV\Главное меню\Программы\Автозагрузка\fxX82SHPMdk.exe','');
 QuarantineFile('C:\WINDOWS\system32\02.tmp','');
 QuarantineFile('C:\WINDOWS\system32\01.tmp','');
 QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
 QuarantineFile('C:\WINDOWS\inet20026\services.exe','');
 DeleteFile('C:\WINDOWS\inet20026\services.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('C:\WINDOWS\system32\01.tmp');
 DeleteFile('C:\WINDOWS\system32\02.tmp');
DeleteFile('C:\Documents and Settings\Администратор.VLASOV\Главное меню\Программы\Автозагрузка\fxX82SHPMdk.exe');
 DeleteService('upmpxgi');
 DeleteService('tgwiqvz');
 DeleteService('raausccfw');
 DeleteService('hggmsymf');
 DeleteService('eedopfed');
 DeleteService('djjxak');
 DeleteService('azazhorgg');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "По просьбе хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку с пункта IAT/EAT
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение

VladimirM 09-01-2012 16:57 1831779
Спасибо большое! Проблема решена успешно.

thyrex 09-01-2012 18:26 1831851
Какое устранена? :)
У Вас там еще есть что лечить :)

VladimirM 11-01-2012 01:52 1832871
Что еще лечить? :)

SolarSpark 11-01-2012 07:34 1832941
kido!

VladimirM 11-01-2012 12:48 1833081
Каким образом его можно вылечить?

SolarSpark 11-01-2012 13:06 1833089
Cкачайте Gmer или с зеркала. Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку с пункта IAT/EAT
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение

VladimirM 11-01-2012 18:01 1833272
Вложений: 1
Вроде сделал так, как Вы рекомендовали. Дальше что делать?

SolarSpark 11-01-2012 18:37 1833294
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:
gmer.exe -del service mvwntqwiu
gmer.exe -del file "C:\WINDOWS\system32\iadja.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mvwntqwiu"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\mvwntqwiu"
gmer.exe -reboot
И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Обновляем систему до SP3. Service Pack 3 (может потребоваться активация)


в обязательном порядке скачайте и установите все обновления безопасности windows
особенное внимание обратите на эти заплатки
MS08-067
MS08-068
MS09-001
+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)
Отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:
Код:
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
Нажмите enter. Для подтверждения перезаписи нажмите Y.


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

смените пароли
__________________________


Время: 02:59.

Время: 02:59.
© OSzone.net 2001-