Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   klpclst.dat, папки с названием абракадабра, попытки пофиксить только ухудшают (http://forum.oszone.net/showthread.php?t=228343)

natnat 20-02-2012 21:43 1863016

klpclst.dat, папки с названием абракадабра, попытки пофиксить только ухудшают
 
Вложений: 2
Традиционно: появились в корне системного диска папки с названиями абракадабра, в них klpclst.dat. Потом перестало показывать содержимое системного диска. Проблема решилась через avz. Пыталась фиксить через avz и основную проблему, всё успешно удалялось, но после перезагрузки опять появлялись папки (но уже пустые, скрытых файлов также не было). Когда система начинала работать, сначала происходила загрузка - когда я успевала открывать системный диск, странных папок не было, потом вдруг на несколько секунд появлялся синий экран, и она как бы перезагружалась по новой - уже с появлением папок. Когда готовилась к созданию темы, делала логи по схеме, запустила также cureit в безопасном режиме. Часа три всё проверялось, потом появился серый экран с полосочками в виде таблицы в верху, держался около получаса. Перезагрузила компьютер. Перестала работать сеть. Появилась еще одна папка с 57 файлами в 3 мб размером, с иконкой в виде монитора синего.

iskander-k 20-02-2012 21:54 1863020

Приветствую.
смотрю логи

Пока выполните еще лог такой

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

iskander-k 20-02-2012 22:10 1863030

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Admin\Application Data\6E4E5C.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\vMNMTbSNG3o.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\CQESZuQprXE.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\BmtPno1zbHs.exe','');
DeleteFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\CQESZuQprXE.exe');
DeleteFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\BmtPno1zbHs.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\6E4E5C.exe');
DeleteFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\vMNMTbSNG3o.exe');
DeleteFileMask('D:\kFv3DjpT2zoxUWd', '*.*', true);
DeleteDirectory('D:\kFv3DjpT2zoxUWd');
DeleteFileMask('D:\7a6vHav3hoNfVzI', '*.*', true);
DeleteDirectory('D:\7a6vHav3hoNfVzI');
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\kFv3DjpT2zoxUWd', '*.*', true);
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\kFv3DjpT2zoxUWd');
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\7a6vHav3hoNfVzI', '*.*', true);
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\7a6vHav3hoNfVzI');
DeleteFileMask('D:\7a6vHav3hoNfVzI', '*.*', true);
DeleteDirectory('D:\7a6vHav3hoNfVzI');
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\ZFBBUAKNlAv5Udc', '*.*', true);
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\ZFBBUAKNlAv5Udc');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму .

natnat 20-02-2012 22:23 1863048

Вложений: 1
К прошлому сообщению почему-то не прикрепилось.

natnat 20-02-2012 22:46 1863066

после запуска скрипта папки не пропали.

если открываешь папку 32788R22FWJFW, ту, у которой иконка с виду как "Мой компьютер", то появляется образ "Моего компьютера" с отображенными жесткими дисками и сканерами и камерами.

iskander-k 20-02-2012 22:48 1863067

Логи новые сделайте АВЗ и РСИТ.

natnat 20-02-2012 23:31 1863099

Вложений: 1
вот обновленные логи

iskander-k 20-02-2012 23:57 1863118

Сделайте лог UVS
Цитата:

Цитата iskander-k
Сделайте еще лог Universal Virus Sniffer (UVS) »


и потом

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) -
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

natnat 21-02-2012 00:13 1863125

Вложений: 1
Лог UVS

а куда потом результаты и в какой форме слать после MBAM?

iskander-k 21-02-2012 00:15 1863126

Копируете и в сообщение или копируете в блокнот сохраняете и прикрепляете к сообщению.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('D:\kFv3DjpT2zoxUWd', '*.*', true);
DeleteFileMask('D:\7a6vHav3hoNfVzI', '*.*', true);
DeleteFileMask('D:\32788R22FWJFW', '*.*', true);
DeleteFileMask('D:\ZFBBUAKNlAv5Udc', '*.*', true);
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\7a6vHav3hoNfVzI', '*.*', true);
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\ZFBBUAKNlAv5Udc', '*.*', true);
DeleteDirectory('D:\kFv3DjpT2zoxUWd');
DeleteDirectory('D:\7a6vHav3hoNfVzI');
DeleteDirectory('D:\32788R22FWJFW');
DeleteDirectory('D:\ZFBBUAKNlAv5Udc');
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\7a6vHav3hoNfVzI');
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\ZFBBUAKNlAv5Udc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


natnat 21-02-2012 00:39 1863144

Malwarebytes Anti-Malware 1.60.1.1000
Код:

www.malwarebytes.org

Версия базы данных:  v2012.02.20.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: MICROSOF-8AA756 [администратор]

20.02.2012 23:23:04
mbam-log-2012-02-20 (23-40-30).txt

Тип сканирования:  Полное сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  175758
Времени прошло:  13 минут , 10 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  10
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\13\380eeecd-7f9cf3e9 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\26\c4f6c5a-65e4bf64 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\29\6053aa9d-76e0a304 (Spyware.Sniffer) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\36\712d624-75b777a3 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\46\271f4d6e-37d80ca2 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001038.exe (Trojan.FakeMS) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001043.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001044.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001045.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

(конец)


iskander-k 21-02-2012 00:41 1863145

выполните скрипт АВЗ с предыдущего моего сообщения пост 10 и потом в МБАМ удалите эти строки В МБАМ можете удалить и сейчас - если еще не закрыли МБАМ.

после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).


Код:

Обнаруженные файлы: 10
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\13\380eeecd-7f9cf3e9 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\26\c4f6c5a-65e4bf64 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\29\6053aa9d-76e0a304 (Spyware.Sniffer) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\36\712d624-75b777a3 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\46\271f4d6e-37d80ca2 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001038.exe (Trojan.FakeMS) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001043.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001044.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001045.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.


natnat 21-02-2012 01:05 1863157

не успела первый раз удалить объекты МБАМ, потому что АБЗ перезагрузило комп. второй раз сканирование показало уже 13... я их удалила

Код:

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  10
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\29\6053aa9d-76e0a304 (Spyware.Sniffer) -> Помещено в карантин и успешно удалено.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\13\380eeecd-7f9cf3e9 (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\26\c4f6c5a-65e4bf64 (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\36\712d624-75b777a3 (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\46\271f4d6e-37d80ca2 (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001038.exe (Trojan.FakeMS) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001043.exe (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001044.exe (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001045.exe (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Помещено в карантин и успешно удалено.

(конец)


iskander-k 21-02-2012 01:09 1863162

Лог RSIT новый сделайте .

natnat 21-02-2012 01:12 1863163

огромное спасибо. можно считать [решено]?

iskander-k 21-02-2012 01:16 1863165

Лог RSIT дайте для проверки .

Папки появляются ?

natnat 21-02-2012 01:17 1863166

Вложений: 1
рсит

iskander-k 21-02-2012 01:19 1863169

По логу чисто.

Выполните рекомендации после лечения

natnat 21-02-2012 01:27 1863177

спасибо!


Время: 20:57.

Время: 20:57.
© OSzone.net 2001-