klpclst.dat

[Thiam]

здравствуйте. на диске С появляются постоянно неизвестные папки типа XeJKRZCjZHdNXCx, в которых находятся файлы klpclst.dat. и отдельно появляется файл с расширением .log, после их удаления и перезагрузки системы, они пояявляются вновь. касперский crystal сначала не устанавливался из-за того, что якобы не было прав администратора на копирования какого-то файла. после проверки cureit были найдены 2 трояна: trojan.hosts.4960 в файле hosts 7 и trojan.hosts.5268 fredo, первый был перемещен, второй вылечен. ситуация не изменилась.

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Thiam\Главное меню\Программы\Автозагрузка\L2BvZ8djdF0.exe','');
QuarantineFile('C:\WINDOWS\system32\system\*.*',' ');
QuarantineFile('C:\WINDOWS\system32\sysdir\*.* ',' ');
QuarantineFile('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\*.* ',' ');
QuarantineFile('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\*.* ',' ');
DeleteFile('C:\Documents and Settings\Thiam\Главное меню\Программы\Автозагрузка\L2BvZ8djdF0.exe');
DeleteFileMask('C:\WINDOWS\system32\sysdir\ ','*.* ',true ,' ');
DeleteFileMask('C:\WINDOWS\system32\system\ ','*.* ',true ,' ');
DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\','*.* ',true ,' ');
DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\ ','*.* ',true ,' ');
DeleteDirectory('C:\WINDOWS\system32\sysdir\ ',' ');
DeleteDirectory('C:\WINDOWS\system32\system\ ',' ');
DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\ ',' ');
DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\ ',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\system\svchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\sysdir\svchost.exe');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - Startup: L2BvZ8djdF0.exe

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Norton Security Scan.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

Сделайте новые логи по правилам.

 

не забудьте распаковать AVZ в отдельную папку и обновить базы!

 

 

+

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Изменено 20 февраля, 2012 пользователем Roman_Five

[Thiam]

в ответ на запрос пришло:

"Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

L2BvZ8djdF0.exe - Trojan-Spy.Win32.Carberp.ebp

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского"

 

 

отчет GSI http://www.getsysteminfo.com/read.php?file...541126a372f3121

mbam_log_2012_02_20__21_59_35_.txt

GetSystemInfo_COMPUTERRR_Thiam_2012_02_20_16_52_09.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Изменено 20 февраля, 2012 пользователем Thiam

[Roman_Five]

Удалите в MBAM только следующие объекты:

Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\JetSwap (Adware.JetSwap) -> Действие не было предпринято.
Обнаруженные файлы:  9
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\AVZ_Quarantine\2011-07-30\avz00001.dta (Spyware.Passwords.XGen) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\AVZ_Quarantine\2011-07-30\avz00003.dta (RiskWare.Tool.Vkbot) -> Действие не было предпринято.
C:\Documents and Settings\Thiam\Рабочий стол\avz4\Quarantine\2012-02-20\avz00001.dta (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\Thiam\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

После удаления откройте лог и прикрепите его к сообщению.

 

проверьте на virustotal.com

C:\Documents and Settings\Thiam\Рабочий стол\Vkbot\VkBot.exe
C:\Documents and Settings\Thiam\Рабочий стол\Vkbot\VkBot_Auto.exe
C:\Program Files\DAEMON Tools Pro\patch.exe
C:\Program Files\SolidDocuments\Solid Converter PDF\SCPDF\Solid_Converter_PDF_v7.0_Build_830_by_[EdelweisS].exe

4 ссылки на результаты проверки приложите

 

и обновить базы!

не выполнили.

 

приложите новые логи AVZ после обновления баз.

[Thiam]

файлы

C:\Documents and Settings\Thiam\Рабочий стол\Vkbot\VkBot.exe

C:\Documents and Settings\Thiam\Рабочий стол\Vkbot\VkBot_Auto.exe

C:\Program Files\DAEMON Tools Pro\patch.exe

C:\Program Files\SolidDocuments\Solid Converter PDF\SCPDF\Solid_Converter_PDF_v7.0_Build_830_by_[EdelweisS].exe

уже удалил сразу после проверки, так как не нужны в принципе.

 

папки с файлом klpclst.dat перестали создаваться.

 

поторопился без обновления AVZ до этого, прошу прощения.

 

вот:

mbam_log_2012_02_21__07_06_55_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 21 февраля, 2012 пользователем Thiam

[Roman_Five]

деинстапллируйте MBAM

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('uhdbg');
QuarantineFile('rcdqnaep.sys','');
QuarantineFileF('C:\Windows ','rcdqnaep.sys', true,' ',0 ,0 ,' ',' ',' ',' ');
DeleteFile('C:\WINDOWS\Tasks\Norton Security Scan for Thiam.job');
DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\','*.* ',true ,' ');
DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\ ','*.* ',true ,' ');
DeleteFileMask('C:\Documents and Settings\Thiam\Application Data\XeJKRZCjZHdNXCx\ ','*.* ',true ,' ');
DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\D3qylHqPHS8Tt0X\ ',' ');
DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\li8WjK1eDBqVqbY\ ',' ');
DeleteDirectory('C:\Documents and Settings\Thiam\Application Data\XeJKRZCjZHdNXCx\ ',' ');
BC_ImportAll;
ExecuteSysClean;
BC_QrFile('rcdqnaep.sys');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

Изменено 21 февраля, 2012 пользователем Roman_Five

[Thiam]

После выполнения скрипта в AVZ, компьютер перезагрузился и после заставки windows вылез лишь черный экран. Диспетчер задач не вызывается, другие известные комбинации на клавиатуре тоже не работают, лишь курсором двигать можно. В безопасном режиме тоже самое.

[Roman_Five]

после заставки windows вылез лишь черный экран

безопасный с поддержкой командной строки работает?

[Thiam]

безопасный с поддержкой командной строки работает?

нет. Тот же самый черный экран и курсор от мыши.

[Roman_Five]

необходимо на рабочем компьютере скачать образ диска http://support.kaspersky.ru/find?faq_id=6989, записать на CD или сделать загрузочную флэшку и проверить неисправный компьютер.

полученный лог WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt приложите.

 

----

вопрос 2.

как давно было отключено восстановление системы?

[Thiam]

Если честно не помню отключал или нет. Если отключал, то не меньше 3-4 месяцев назад.

[Roman_Five]

лог WUnlocker.1.0.0.0_%dd.mm.yy_hh.mm.ss_log%.txt будет?

 

если нет - вот вариант восстановления

http://www.q2w3.ru/2010/08/08/1944/

[Thiam]

Лог будет в ближайшее время.