[решено] klpclst.dat

icotonev · Отправлено: **15:12, 02-12-2011** | #2

Здравствуйте..!

• Отключите временно:
Антивирус/Файерволл

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('H:\EncryptionTool\MaxtorEncryption.exe','');
 QuarantineFile('C:\Windows\system32\drivers\sp_rsdrv2.sys','');
 QuarantineFile('H:\autorun.inf','');
 DeleteFile('H:\autorun.inf');
 DelBHO('{FFFFE708-B832-42F1-BAFF-247753B5E452}');
 DelBHO('{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5}');
 DeleteFileMask('C:\4VlJRUKP0ZcPvi4', '*.*', true);
 DeleteFileMask('C:\2gPzm53eSx2GXDD', '*.*', true);
 DeleteFileMask('C:\0vWOxkWpFP5zNda', '*.*', true);
 DeleteFileMask('C:\qUecbDfhmviXuqG', '*.*', true);
 DeleteFileMask('C:\zgADI79DaIRkvG1', '*.*', true);
 DeleteDirectory('C:\4VlJRUKP0ZcPvi4');
 DeleteDirectory('C:\2gPzm53eSx2GXDD');
 DeleteDirectory('C:\0vWOxkWpFP5zNda');
 DeleteDirectory('C:\qUecbDfhmviXuqG');
 DeleteDirectory('C:\zgADI79DaIRkvG1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!!!

letor83 · mbam-log-2011-12-03 (17-21-00).zip

Здравствуйте!
Выкладываю новые логи.

icotonev · Отправлено: **12:58, 04-12-2011** | #4

Повторите сканирование с МБА и удалите только следующем файле:
FAQ по работе с Malwarebytes Anti-Malware

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\{D96FA298-1BB6-47FC-AD21-72781B744DC3} (Adware.Reklosoft) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{2552632F-867D-4052-B836-7F83A5302534} (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{E743CF05-181C-4D72-B4EE-95435ED4B86B} (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.Helper_bho.1 (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.Helper_bho (Trojan.Kerlofost) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\rs_adw.Helper_Bar.1 (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\reklosoft_adw.Helper_Bar (Trojan.Kerlofost) -> No action taken.
HKEY_CLASSES_ROOT\AppID\rs_adw.DLL (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\SearchHelper (Adware.Reklosoft) -> No action taken.

Зараженные файлы:
c:\Users\Валера\AppData\Roaming\igfxtray.dat (Malware.Trace) -> No action taken.

Есть ли изменения?

letor83 · Отправлено: **15:40, 06-12-2011** | #5

Здравствуйте! Изменения есть, вроде комп пошустрее стал

Спасибо!

iskander-k · Конфигурация компьютера

Если проблем нет - отмечайте тему решенной .