Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   поймал вирус klpclst.dat (http://forum.oszone.net/showthread.php?t=230260)

alex_leha 13-03-2012 19:32 1878506
поймал вирус klpclst.dat
 
Вложений: 2
Помогите пожалуйста разобраться, что нужно исправить.
Спасибо!

thyrex 13-03-2012 21:10 1878603
Выполните скрипт в AVZ
Код:
begin
DeleteFileMask('C:\Users\Алексей\AppData\Roaming\dY6jOWDkmqj6cQi', '*.*', true);
DeleteDirectory('C:\Users\Алексей\AppData\Roaming\dY6jOWDkmqj6cQi');
DeleteFileMask('C:\dY6jOWDkmqj6cQi', '*.*', true);
DeleteDirectory('C:\dY6jOWDkmqj6cQi');
DeleteFileMask('C:\Users\Алексей\AppData\Roaming\14CA6R9HN4RUOB2', '*.*', true);
DeleteDirectory('C:\Users\Алексей\AppData\Roaming\14CA6R9HN4RUOB2');
DeleteFileMask('C:\14CA6R9HN4RUOB2', '*.*', true);
DeleteDirectory('C:\14CA6R9HN4RUOB2');
ExecuteRepair(9);
RebootWindows(true);
end.
Компьютер перезагрузится.

Сделайте новые логи

alex_leha 13-03-2012 22:59 1878683
Вложений: 2
вот что получилось

SolarSpark 14-03-2012 06:58 1878804
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
______________________________________

alex_leha 14-03-2012 22:37 1879409
Вложений: 1
как-то так

thyrex 14-03-2012 22:55 1879423
Запустите полное сканирование МВАМ и по его завершении отметьте указанные ниже строки
Код:
Объекты реестра обнаружены:  9
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

Обнаруженные файлы:  7
C:\Users\Алексей\DoctorWeb\Quarantine\zAW5aNNjPl1.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Users\Алексей\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Нажмите кнопку Удалить выбранное

Предоставьте новые логи МВАМ и RSIT

alex_leha 14-03-2012 23:50 1879460
Вложений: 2
получилось

SolarSpark 15-03-2012 07:24 1879570
Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - (no file)
что с проблемой?

alex_leha 15-03-2012 09:42 1879623
Не запускается internet explorer, а он очень нужен
в опере пропали сохраненные пароли их лучше заменить?
И как лучше настроить антивирус чтобы не попасться в следующий раз?

alex_sev 15-03-2012 09:50 1879628
Сбросьте настройки IE по умолчанию

Подготовьте логи XueTr и OSAM

alex_leha 15-03-2012 11:16 1879685
Вложений: 2
вот что получилось
Сбросьте настройки IE сбросил, но пока не включается пишет - что брандмаузер блокирует подключение и предлагает установить IE 8

alex_sev 15-03-2012 12:12 1879732
Скриншот этого дайте:

Цитата:
Цитата alex_leha
пока не включается пишет - что брандмаузер блокирует подключение и предлагает установить IE 8 »

alex_leha 15-03-2012 12:42 1879762
скриншот сломался, не работает(
IE 8 предлагают с этого урла установить go.microsoft.com fwlink linkid 69157

alex_sev 15-03-2012 13:31 1879816
Так попробуйте скачать и установить последнюю версию:

http://windows.microsoft.com/ru-RU/i...r/downloads/ie

alex_leha 15-03-2012 16:42 1880029
Спасибо, разобрался nod не давал включиться.
В остальном у меня все нормально работает.
Эти программы которые я загрузил, можно удалить или лучше оставить?
И как здесь поблагодарить?

alex_sev 15-03-2012 17:08 1880054
Цитата:
Цитата alex_leha
Эти программы которые я загрузил, можно удалить или лучше оставить? »
Можете удалить.

Цитата:
Цитата alex_leha
В остальном у меня все нормально работает. »
У Вас были следы трояна ворующего пароли - смените все пароли.

Ознакомтесь с этими рекомендациями

Цитата:
Цитата alex_leha
И как здесь поблагодарить? »
Под моим сообщением можете кликнуть "Полезное сообщение"))


Время: 09:27.

Время: 09:27.
© OSzone.net 2001-