Hi! Помогите пожалста! на диске С, так же как и других из этой темы, в непонятной папке появилось это - klpclst.dat
Так же в автозагрузке появился процесс с именем из набора букв, ни то ни другое не удаляется, (klpclst.dat если удалить появляется снова),
Собственно не открывается вконтакте теперь, остальное не проверял, почта вроде цела пока.
Подцепил когда искал ключи для нод32.
Какие логи или что еще нужно делать и вам отсылать ??

Выполните рекомендации (http://forum.oszone.net/thread-98169.html) полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме.

****
...не пойму, инфо.тхт никак не прикрепляется( ..написано его размер превышает допустимый форумный

OWEN101, Приветы.

Отключите:
Антивирус/Файерволл.

• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\587.tmp','');
QuarantineFile('C:\WINDOWS\system32\ixhufll.dll','');
QuarantineFile('C:\System Volume Information\_restore{72D2D334-DC9D-450E-B45A-7ECEB3FE1944}\RP344\A0083172.dll','');
QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\wyiWXTQEIbA.exe','');
DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\wyiWXTQEIbA.exe');
DeleteFile('C:\System Volume Information\_restore{72D2D334-DC9D-450E-B45A-7ECEB3FE1944}\RP344\A0083172.dll');
DeleteFile('C:\WINDOWS\system32\587.tmp');
DeleteFile('C:\WINDOWS\system32\ixhufll.dll');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
DelBHO('{5C255C8A-E604-49b4-9D64-90988571CECB}');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQ uarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
ExecuteRepair(13);
RebootWindows(true);
end.

После перезагрузки откроется папка AVZ в которой будет файл quarantine.zip. Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

• Нужно Пофиксить (http://forum.oszone.net/post-1430293-2.html) в эти строки в HiJackThis. Возможно некоторых строчек не будет, ничего страшного.

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O1 - Hosts: 31.214.145.172 odnoklassniki.ru
O1 - Hosts: 31.214.145.172 www.facebook.com
O1 - Hosts: 31.214.145.172 www.vk.com
O1 - Hosts: 31.214.145.172 www.vkontakte.ru
O1 - Hosts: 31.214.145.172 vk.com
O1 - Hosts: 31.214.145.172 facebook.com
O1 - Hosts: 31.214.145.172 www.odnoklassniki.ru
O1 - Hosts: 31.214.145.172 ru-ru.facebook.com
O1 - Hosts: 31.214.145.172 vkontakte.ru
O1 - Hosts: 31.214.145.172 vkontakte.ru
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - S-1-5-18 Startup: wyiWXTQEIbA.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: wyiWXTQEIbA.exe (User 'Default user')
O4 - Startup: wyiWXTQEIbA.exe


Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

извините , что так долго\
отправил пока что карантин.зип,
правда при том скрипте комп сам не перезагрузился, затормозил на половине,
еще было не подключится к инету после перезагр, подключился ток после восстановления и затем ток отправил, srr теперь буду у компа после 9 сделаю остальное)

****

Папку C:\uC4oIZX09PRke6B удалите вручную

Больше необычного не видно

вот ток отсканировала malwarebytes, прикрепляю,
еще не закрыл ее - нужно ли удалять то , что она нашла ??

папку с дискаС удалил, хз появится ли еще, в мсконфиг в автозагр файл wyiWXTQEIbA.exe по -прежнему висит, правда теперь снята галочка,
его как -то можно удалить оттуда??
и теперь этот фаил не находится через поиск файлов, а раньше был в C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка и не удалялся вручную,
Вконтакте запустился! смс теперь не просит,

c:\documents and settings\User\application data\Sun\Java\deployment\cache\6.0\0\280fd200-3c99ce99 (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\User\application data\igfxtray.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> No action taken.Удалить в обязательном порядке

Большое Спасибо !!)) в целом все норм работает, эта хрень из названия темы больше не появлялась на С,
только это wyiWXTQEIbA.exe продолжает висеть в автозагрузке со снятой галочкой, но в папках не найти его мне\ - что -то можете сказать по этой дряни ? )
и еще позвольте вопрос: стоит ли лучше в магазине купить нод32 или разницы с использованием "халявных вещей" не почувствую ?

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelAutorunByFileName('wyiWXTQEIbA.exe');
RegKeyDel('HKLM','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^wyiWXTQEIbA.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта эта извините ***** удалилась из стартап !))
Еще раз Огромное Спасибо !)) Красавцы !)) С наступающим НовымГодом!))

проблема - решена!