Thiam Опубликовано 20 февраля, 2012 Опубликовано 20 февраля, 2012 здравствуйте. на диске С появляются постоянно неизвестные папки типа XeJKRZCjZHdNXCx, в которых находятся файлы klpclst.dat. и отдельно появляется файл с расширением .log, после их удаления и перезагрузки системы, они пояявляются вновь. касперский crystal сначала не устанавливался из-за того, что якобы не было прав администратора на копирования какого-то файла. после проверки cureit были найдены 2 трояна: trojan.hosts.4960 в файле hosts 7 и trojan.hosts.5268 fredo, первый был перемещен, второй вылечен. ситуация не изменилась. log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip
Roman_Five Опубликовано 20 февраля, 2012 Опубликовано 20 февраля, 2012 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\Thiam\Главное меню\Программы\Автозагрузка\L2BvZ8djdF0.exe',''); QuarantineFile('C:\WINDOWS\system32\system\*.*',' '); QuarantineFile('C:\WINDOWS\system32\sysdir\*.* ',' '); QuarantineFile('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\*.* ',' '); QuarantineFile('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\*.* ',' '); DeleteFile('C:\Documents and Settings\Thiam\Главное меню\Программы\Автозагрузка\L2BvZ8djdF0.exe'); DeleteFileMask('C:\WINDOWS\system32\sysdir\ ','*.* ',true ,' '); DeleteFileMask('C:\WINDOWS\system32\system\ ','*.* ',true ,' '); DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\','*.* ',true ,' '); DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\ ','*.* ',true ,' '); DeleteDirectory('C:\WINDOWS\system32\sysdir\ ',' '); DeleteDirectory('C:\WINDOWS\system32\system\ ',' '); DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\ ',' '); DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\ ',' '); RegKeyParamDel('HKEY_LOCAL_MACHINE','\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\system\svchost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\sysdir\svchost.exe'); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O4 - Startup: L2BvZ8djdF0.exe Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой: - Norton Security Scan. Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО. Сделайте новые логи по правилам. не забудьте распаковать AVZ в отдельную папку и обновить базы! + сделайте отчёт GSI http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906 Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Обновите базы. После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить"). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Изменено 20 февраля, 2012 пользователем Roman_Five
Thiam Опубликовано 20 февраля, 2012 Автор Опубликовано 20 февраля, 2012 (изменено) в ответ на запрос пришло: "Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. L2BvZ8djdF0.exe - Trojan-Spy.Win32.Carberp.ebp В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами. С уважением, Лаборатория Касперского" отчет GSI http://www.getsysteminfo.com/read.php?file...541126a372f3121 mbam_log_2012_02_20__21_59_35_.txt GetSystemInfo_COMPUTERRR_Thiam_2012_02_20_16_52_09.zip virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Изменено 20 февраля, 2012 пользователем Thiam
Roman_Five Опубликовано 20 февраля, 2012 Опубликовано 20 февраля, 2012 Удалите в MBAM только следующие объекты: Обнаруженные ключи в реестре: 1 HKLM\SOFTWARE\JetSwap (Adware.JetSwap) -> Действие не было предпринято. Обнаруженные файлы: 9 C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\AVZ_Quarantine\2011-07-30\avz00001.dta (Spyware.Passwords.XGen) -> Действие не было предпринято. C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\AVZ_Quarantine\2011-07-30\avz00003.dta (RiskWare.Tool.Vkbot) -> Действие не было предпринято. C:\Documents and Settings\Thiam\Рабочий стол\avz4\Quarantine\2012-02-20\avz00001.dta (Trojan.Agent.PE5) -> Действие не было предпринято. C:\Documents and Settings\Thiam\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято. После удаления откройте лог и прикрепите его к сообщению. проверьте на virustotal.com C:\Documents and Settings\Thiam\Рабочий стол\Vkbot\VkBot.exe C:\Documents and Settings\Thiam\Рабочий стол\Vkbot\VkBot_Auto.exe C:\Program Files\DAEMON Tools Pro\patch.exe C:\Program Files\SolidDocuments\Solid Converter PDF\SCPDF\Solid_Converter_PDF_v7.0_Build_830_by_[EdelweisS].exe 4 ссылки на результаты проверки приложите и обновить базы! не выполнили. приложите новые логи AVZ после обновления баз.
Thiam Опубликовано 21 февраля, 2012 Автор Опубликовано 21 февраля, 2012 (изменено) файлы C:\Documents and Settings\Thiam\Рабочий стол\Vkbot\VkBot.exeC:\Documents and Settings\Thiam\Рабочий стол\Vkbot\VkBot_Auto.exe C:\Program Files\DAEMON Tools Pro\patch.exe C:\Program Files\SolidDocuments\Solid Converter PDF\SCPDF\Solid_Converter_PDF_v7.0_Build_830_by_[EdelweisS].exe уже удалил сразу после проверки, так как не нужны в принципе. папки с файлом klpclst.dat перестали создаваться. поторопился без обновления AVZ до этого, прошу прощения. вот: mbam_log_2012_02_21__07_06_55_.txt virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 21 февраля, 2012 пользователем Thiam
Roman_Five Опубликовано 21 февраля, 2012 Опубликовано 21 февраля, 2012 (изменено) деинстапллируйте MBAM Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('uhdbg'); QuarantineFile('rcdqnaep.sys',''); QuarantineFileF('C:\Windows ','rcdqnaep.sys', true,' ',0 ,0 ,' ',' ',' ',' '); DeleteFile('C:\WINDOWS\Tasks\Norton Security Scan for Thiam.job'); DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\','*.* ',true ,' '); DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\ ','*.* ',true ,' '); DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\XeJKRZCjZHdNXCx\ ','*.* ',true ,' '); DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\ ',' '); DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\ ',' '); DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\XeJKRZCjZHdNXCx\ ',' '); BC_ImportAll; ExecuteSysClean; BC_QrFile('rcdqnaep.sys'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Сделайте новые логи по правилам. + Проверьте компьютер утилитой TDSSkiller из данной статьи. http://support.kaspersky.ru/faq/?qid=208639606 Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях. Полученный лог из корня диска С приложите к новому сообщению. Изменено 21 февраля, 2012 пользователем Roman_Five
Thiam Опубликовано 21 февраля, 2012 Автор Опубликовано 21 февраля, 2012 После выполнения скрипта в AVZ, компьютер перезагрузился и после заставки windows вылез лишь черный экран. Диспетчер задач не вызывается, другие известные комбинации на клавиатуре тоже не работают, лишь курсором двигать можно. В безопасном режиме тоже самое.
Roman_Five Опубликовано 21 февраля, 2012 Опубликовано 21 февраля, 2012 после заставки windows вылез лишь черный экран безопасный с поддержкой командной строки работает?
Thiam Опубликовано 21 февраля, 2012 Автор Опубликовано 21 февраля, 2012 безопасный с поддержкой командной строки работает? нет. Тот же самый черный экран и курсор от мыши.
Roman_Five Опубликовано 21 февраля, 2012 Опубликовано 21 февраля, 2012 необходимо на рабочем компьютере скачать образ диска http://support.kaspersky.ru/find?faq_id=6989, записать на CD или сделать загрузочную флэшку и проверить неисправный компьютер. полученный лог WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt приложите. ---- вопрос 2. как давно было отключено восстановление системы?
Thiam Опубликовано 21 февраля, 2012 Автор Опубликовано 21 февраля, 2012 Если честно не помню отключал или нет. Если отключал, то не меньше 3-4 месяцев назад.
Roman_Five Опубликовано 21 февраля, 2012 Опубликовано 21 февраля, 2012 лог WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt будет? если нет - вот вариант восстановления http://www.q2w3.ru/2010/08/08/1944/
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти