|
Файл klpclst.dat
Здравствуйте! Сегодня что-то залазил на диск C и увидел несколько папок с непонятным названием на латинском,в каждом из них был файл klpclst.dat. Поудалял эти вещи,потом заново появились папки,уже пустые,но с той же абракадаброй в названии. Что делать?
И ещё в Автозагрузке появились 3 непонятных файла: DN0WI29Ohrk.exe, SkZO5sgVq4Y.exe, TW2aPcBUviM.exe. Причем,пытаясь их удалить,мне выдает сообщение,что они являются системными и их удаление может повлиять на работу компьютера. Что делать? В компьютере особо не разбираюсь...если возможно,объясните поподробней,буду весьма благодарен. Да,и ещё: что это вообще за файл такой и чем опасен? P.S. Извиняюсь,не в том форуме по ошибке создал тему. |
|
Так,вроде всё сделал так,как сказано в правилах. Выкладываю логи.
|
1.
• Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код:
beginКод:
begin2. • HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis Код:
O4 - Startup: DN0WI29Ohrk.exeОбновите базы АВЗ и повторите логи. |
Цитата:
Заглянул в папку "Автозагрузки": исчезли эти файлы странные. Насчёт папок: помогло,система стала быстрее даже работать. |
Цитата:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
Цитата:
|
Цитата:
Не подскажете,как вся эта дрянь могла влиять на систему? А то уж очень интересно,что это и с чем его едят. |
Погодите еще не все:
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
begin- выполните такой скрипт Код:
beginПофиксите в HJT: Код:
O4 - HKCU\..\Run: [{B56CF883-E5F0-A7DF-40CB-536B305BB3EC}] "C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe" |
Насчёт фикса в HJT - нет этой строчки
Код:
O4 - HKCU\..\Run: [{B56CF883-E5F0-A7DF-40CB-536B305BB3EC}] "C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe" |
У вас был backdoor.win32.bredolab и Trojan.ZbotR.
Повторите сканирование МБАМ и удалите Код:
C:\SUPPORT\Malwarebytes' Anti-Malware 1.50 Public Beta\Keygan.exe (Malware.Tool) -> Действие не было предпринято.вы второй карантин после скрипта alex_sev так и не отправили. Отправьте. Что с проблемой ? |
Цитата:
Цитата:
Цитата:
|
Цитата:
|
Что с проблемой?
|
Цитата:
|
Тогда ознакомьтесь с этими рекомендациями
|
Спасибо Вам всем огромнейшее!!!
|
Здравствуйте ещё раз! Извините,что снова к Вам обращаюсь за помощью. Снова появился файл klpclst.dat в папках kFv3DjpT2zq6TN8 и Wnb0rpKaZc613PC. Логи прикрепляю. Помогите пожалуйста...спасибо.
|
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." |
Так,сделал скан с помощью ComboFix,прикрепляю лог
|
Цитата:
• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение. Код:
KillAll::Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. • HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\E19D~1\LOCALS~1\Temp\____991.exe, |
Цитата:
|
Что-то ComboFix стоит на одном месте минут 30 и ничего не происходит. Написано,что сканирует,но ничего,лишь мигает курсор. Делал всё так,как вы сказали.
|
перезагрузите компьютер и попробуйте снова выполнить скрипт
|
Всё равно ничего не происходит,бесполезно :(
|
Попробуйте сохранить файл со скриптом в корне диска С и перетащить на пиктограмму утилиты
я пока на всякий случай подготовлю для вас скрипт в AVZ Отключите: Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код:
beginПосле выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". Код:
beginПофиксить в HijackThis следующие строчки: Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\E19D~1\LOCALS~1\Temp\____991.exe,Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
Цитата:
|
ну тогда выполняйте скрипт для AVZ
|
Так,в HJT не было строчки той,что Вы указали. Прикрепляю все логи.
|
В МБАМ удалите
Код:
Обнаруженные файлы: 9 |
|
Так,удалил после повторной проверки MBAM объекты,но их было уже не 9,как в предыдущей проверке,а 7 штук.
ComboFix удалил,OTCleanit скачал и почистил. Есть ещё небольшая проблемка: когда мама заходит к себе на рабочий стол,то у неё появляются две таблички с ошибкой,что не найден файл ___991.exe. Что делать с этими таблчиками? |
Делайте повторные логи AVZ и RSIT из-под маминой учетной записи (если эта учетная запись не имеет прав администратора, делайте от имени администратора)
|
Цитата:
|
Подозрительного в логах нет.
Воспользуйтесь поиском по реестру: Редактор Реестра - Правка - Найти Введите имя файла ___991.exe Ветку с ключом в котором найдено имя файла экспортируйте и приложите к следующему сообщению |
Цитата:
|
Повторите поиск из той учетки где есть проблема. Или сделайте логи из-под той учетки.
|
Цитата:
|
Удаляйте этот ключ
|
Цитата:
P.S. Наткнулся ещё на одну интересную запись там,с непонятным названием,прилагаю скриншот. Тоже удалить её или не трогать? |
Можно, раздел MUICache содержит информацию о недавно создававшихся или изменяющихся файлах.
Подготовьте такой лог: http://safezone.cc/forum/showthread.php?t=12019 |
Цитата:
|
заархивируйте))
|
Цитата:
|
Мда, и тут чисто:
Давайте еще такой лог попробуем: http://safezone.cc/forum/showpost.ph...51&postcount=1 |
Цитата:
|
Отлично попался, выполните скрипт в UVS ( http://safezone.cc/forum/showpost.ph...52&postcount=1 )
Код:
;uVS v3.74 script [http://dsrt.dyndns.org] |
Цитата:
|
|
| Время: 06:25. |
Время: 06:25.
© OSzone.net 2001-
