Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] И опять klpclst.dat(ещё банер и беспричинная потеря соединения) (http://forum.oszone.net/showthread.php?t=223088)

Jester2012 16-12-2011 19:10 1816487
И опять klpclst.dat(ещё банер и беспричинная потеря соединения)
 
Появился файл klpclst.dat на диске С/Rq8BorWWLTv1qrv. Проблемы начались значительные. Модем ADSL D-Link,при заходе на многие сайты,в основном на все,на которым много яваскриптов и флэшприложений, а так вообще если интернет чем-либо загрузить,skype например,то на любом сайте потеря соединения(как будто кабель от модема к компьютеру отключил)Модем работает - соединения нет. Эта проблема может быть и не из-за klpclst.dat(так как на днях я поймал "банер"(ну по стандарту:отправить смс такое-то туда-то) но
он оказался не сильно страшным,эксплоер хоть и блокировал,но диспетчер задач работал,в котором я его и отключил,после антивирус(AVG 2012) сразу его как угрозу и то ли удалил,то ли в карантин,процесс который за банер отвечал назывался 222.EXE)А теперь антивирус(ещё раз напомню AVG 2012) блокирует(уже второй раз) угрозу 111.EXE,на разных сайтах(и опять же помещает её в карантин), говоря о том,что это известная троянская программа Backdoor(вроде бы,название примерно такое). Удаляется папка с файлом спокойно,но после очередной "потери соединения" та же история,только название папки другое.

alex_sev 16-12-2011 19:16 1816492
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Jester2012 16-12-2011 20:06 1816512
Вложений: 2
Логи сделал,что дальше?..

alex_sev 16-12-2011 22:07 1816583
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('J:\autorun.inf','');
 QuarantineFile('I:\autorun.inf','');
 QuarantineFile('D:\autorun.inf','');
 DeleteFile('D:\autorun.inf');
 DeleteFile('I:\autorun.inf');
 DeleteFile('J:\autorun.inf');
 DelCLSID('{872b5b88-9db5-4310-bdd0-ac189557e5f5}');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Jester2012 17-12-2011 00:04 1816634
Вложений: 3
Итак,quarantine и virusinfo_cure(повторённый лог) отправлены.
С помощью MBAM удалил выделенные угрозы. Папка всё равно появляется,но теперь без файла.
Вот результаты RSIT и Malwarebytes' Anti-Malware:

alex_sev 17-12-2011 00:20 1816640
5 - 10 минут погляжу дам ответ

alex_sev 17-12-2011 00:36 1816651
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('d:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx','');
 QuarantineFile('d:\system volume information\_restore{b356252e-03e2-445e-80e6-53db6c023bad}\RP62\A0047265.EXE','');
 QuarantineFile('i:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx','');
 QuarantineFile('c:\WINDOWS\system32\ieunitdrf.inf','');
 QuarantineFile('%USERPROFILE%\Главное меню\Программы\Автозагрузка\dIqjBCK8rz0.exe','');
 DeleteFile('d:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
 DeleteFile('d:\system volume information\_restore{b356252e-03e2-445e-80e6-53db6c023bad}\RP62\A0047265.EXE');
 DeleteFile('i:\RECYCLER\s-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
 DeleteFile('c:\WINDOWS\system32\ieunitdrf.inf');
 DeleteFile('%USERPROFILE%\Главное меню\Программы\Автозагрузка\dIqjBCK8rz0.exe');
 DelCLSID('{A3BC75A2-1F87-4686-AA43-5347D756017C}');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
O4 - Startup: dIqjBCK8rz0.exe
Повторите лог RSIT

Установите Internet Explorer 8 (даже если им не пользуетесь) + все обновления для него

Jester2012 17-12-2011 16:09 1816895
Вложений: 2
В АВЗ скрипты сделал,отправил архив по форме.
В HJT профиксить не вышло,IE8 установил с обновлениями.
Вот логи RSIT:

alex_sev 17-12-2011 16:25 1816898
Папку C:\Rq8BorWWLTv1qrv удалите вручную и понаблюдайте будет снова появляться или нет

Jester2012 17-12-2011 17:14 1816926
Ура!Папка больше не появляется!Огромное спасибо за помощь!

alex_sev 17-12-2011 17:36 1816933
Смените все важные пароли (почта, контакт итд)

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:
  • Adobe Flash Player (скачайте версии и для IE, и для других браузеров)


Время: 07:27.

Время: 07:27.
© OSzone.net 2001-