[решено] Подозрения на вирусы: klpclst.dat - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Подозрения на вирусы: klpclst.dat (http://forum.oszone.net/showthread.php?t=223428)

Подозрения на вирусы: klpclst.dat

Здравствуйте.
Ситуация следующая. Пару дней назад компьютер на работе стал заметно притормаживать. Полез в таск менеджер, обнаружил там svchost.exe, запущенный не системой, а от имени пользователя (Дизайнер) и загружающий процессор на 50%. Раньше не помню, чтобы svchostы вели себя столь активно, но до сих пор они были безопасны. Слабо в этом разбираясь, тупо убил процесс. Все заработало.
На следующий день история повторилась. Открыл Process Explorer, глянул на этот svchost.exe, внутри него был только dwengine.exe. С ним старая война, он иногда просыпается и начинает жутко тормозить систему. Снова убиваю процесс и работаю дальше.
На третий день отмечаю новые несуразности. Некоторые программы начали вести себя странно. Например, ACDSee Photo Manager 2009 отказался отображать содержимое корня диска «С». Открыв диск, нашел там две папки: C:\2CyClG1o1LZdFC0 и C:\S27n8Mg70K474TR, в каждой по два файла: klpclst.dat и wndsksi.inf (скрытый). Потом появился проклятущий svchost.exe и в довершение Dr Web чего-то поймал.
Запустил проверку ДрВебом, но не успел до конца рабочего дня. За пару часов сканирования он нашел два трояна. Я их удалил. Сегодня никаких подозрительных процессов, файлов и аномалий пока не обнаружил. Но подозрения есть.

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('msupdate.sys','');

QuarantineFile('cvob473.exe','');

QuarantineFile('C:\WINDOWS\system32\drivers\kwhpwftt.dat','');

DeleteFile('C:\WINDOWS\system32\drivers\kwhpwftt.dat');

DeleteFile('cvob473.exe');

DeleteFile('msupdate.sys');

DeleteFileMask('C:\2CyClG1o1LZdFC0', '*.*', true);

DeleteDirectory('C:\2CyClG1o1LZdFC0');

DeleteFileMask('C:\S27n8Mg70K474TR', '*.*', true);

DeleteDirectory('C:\S27n8Mg70K474TR');

DeleteFileMask('C:\Documents and Settings\Дизайнер\Application Data\MicroST', '*.*', true);

DeleteDirectory('C:\Documents and Settings\Дизайнер\Application Data\MicroST');

DeleteService('msupdate');

DeleteService('hsvpagia');

RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','reszrv');

RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','reszrv');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(1);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

ЕСЛИ НАСТРОЙКИ ВАМ НЕ ЗНАКОМЫПофиксить в HijackThis следующие строчки:

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sexydoll.ru/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.100:8080

Пофиксить в HijackThis следующие строчки:

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
_____________________________________________________________________________

Спасибо. Сделал все, как вы сказали. Quarantine.zip отправил. Логи прилагаю.
Вчера, видимо, случайно переименовал файл klpclst.dat в папке C:\S27n8Mg70K474TR, поэтому AVZ его не убил. Удалил папку вручную.
Malwarebytes' Anti-Malware нашел много всякого. Весь мусор удалил. Лог в приложении.
Никаких видимых аномалий не замечаю. Жду вердикта по логам.

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('Erencn.sys','');

DeleteFile('c:\WINDOWS\system32\ieunitdrf.inf');

DeleteFile('c:\program files\DrWeb\infected.!!!\igfxtray.exe.620353');

DeleteFileMask('C:\S27n8Mg70K474TR', '*.*', true);

DeleteDirectory('C:\S27n8Mg70K474TR');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(1);

ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Повторите лог RSIT

Сделал: quarantine.zip отправил, лог RSIT прикладываю.

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

DeleteFile('C:\DOCUME~1\1B9E~1\LOCALS~1\Temp\15.exe');

RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\1B9E~1\LOCALS~1\Temp\15.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

В остальном все неплохо

Обновите adobe reader, Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию)
Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска
Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

Все сделал, обновил, почистил.
Спасибо огромное за помощь и советы.