Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   klpclst.dat в папке с абракадаброй вместо названия, корневой каталог системного диска (http://forum.oszone.net/showthread.php?t=227956)

denbrough 15-02-2012 22:26 1859754
klpclst.dat в папке с абракадаброй вместо названия, корневой каталог системного диска
 
Вложений: 2
Здравствуйте! Помогите, пожалуйста - есть подозрение, что поймал троянца. Логи прилагаю.
Заранее спасибо.

S.R 15-02-2012 23:03 1859777
Сейчас посмотрим

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yrRXYmjESGE.exe','');
 QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\Zu557QI2.sys','');
 DeleteFile('C:\Users\836D~1\AppData\Local\Temp\Zu557QI2.sys');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yrRXYmjESGE.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\kFv3DjpT2zoZLEm', '*', true);
 DeleteFileMask('C:\Users\Администратор\AppData\Roaming\li8WjK1eDBouBd2', '*', true);
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\kFv3DjpT2zoZLEm');
 DeleteDirectory('C:\Users\Администратор\AppData\Roaming\li8WjK1eDBouBd2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Сделайте новые логи AVZ & RSIT

denbrough 16-02-2012 15:10 1860173
Вложений: 2
Сделано!

thyrex 16-02-2012 15:55 1860226
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

denbrough 16-02-2012 17:45 1860307
Вложений: 1
Сделано!

S.R 16-02-2012 18:02 1860311
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол
Код:
KillAll::


Folder::
C:\vYLArp0oAm8oKla
c:\users\Администратор\AppData\Roaming\vYLArp0oAm8oKla

ClearJavaCache::

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

denbrough 16-02-2012 18:23 1860320
Вложений: 1
Сделано!

S.R 17-02-2012 14:04 1860831
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол
Код:
KillAll::

Folder::
C:\vYLArp0oAm8oKla
c:\users\Администратор\AppData\Roaming\vYLArp0oAm8oKla

Reboot::
Переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

denbrough 17-02-2012 15:31 1860881
Вложений: 1
Сделано!

thyrex 17-02-2012 15:33 1860883
Попробуйте сохранить файл со скриптом в корне диска С и перетащить на пиктограмму утилиты

denbrough 17-02-2012 16:21 1860912
Вложений: 1
Вот, сделал как вы сказали.

SolarSpark 17-02-2012 16:52 1860933
чисто
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Выполните рекомендации после лечения

denbrough 17-02-2012 17:34 1860954
Все, спасибо большое за помощь! Вы лучшие)


Время: 13:14.

Время: 13:14.
© OSzone.net 2001-