Снова появился файл klpclst.dat в папках kFv3DjpT2zq6TN8 и Wnb0rpKaZc613PC. »
Что делали, где были или что устанавливали 2012-02-13 09:18


• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).

KillAll::

File::
c:\documents and settings\Аня\Главное меню\Программы\Автозагрузка\rvkmS6U1P14.exe
C:\DOCUME~1\E19D~1\LOCALS~1\Temp\____991.exe
C:\Documents and Settings\Аня\Local Settings\Temp\____991.exe
C:\plg.txt
Driver::

Folder::
C:\Wnb0rpKaZc613PC
C:\kFv3DjpT2zq6TN8
c:\documents and settings\Аня\Application Data\Wnb0rpKaZc613PC
c:\documents and settings\Аня\Application Data\kFv3DjpT2zq6TN8
Registry::

FileLook::

DirLook::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\E19D~1\LOCALS~1\Temp\____991.exe,

Что делали, где были или устанавливали 2012-02-13 09:18 »
Да вроде ничего и не делали,я был в универе,мама говорит,что ничего не качала и не устанавливала,может в интернете лазила по интернет-магазинам

Что-то ComboFix стоит на одном месте минут 30 и ничего не происходит. Написано,что сканирует,но ничего,лишь мигает курсор. Делал всё так,как вы сказали.

перезагрузите компьютер и попробуйте снова выполнить скрипт

Всё равно ничего не происходит,бесполезно :(

Попробуйте сохранить файл со скриптом в корне диска С и перетащить на пиктограмму утилиты

я пока на всякий случай подготовлю для вас скрипт в AVZ

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\E19D~1\LOCALS~1\Temp\____991.exe','');
QuarantineFile('C:\Documents and Settings\Аня\Local Settings\Temp\____991.exe','');
QuarantineFile('c:\documents and settings\Аня\Главное меню\Программы\Автозагрузка\rvkmS6U1P14.exe','');
DeleteFile('C:\DOCUME~1\E19D~1\LOCALS~1\Temp\____991.exe');
DeleteFile('C:\Documents and Settings\Аня\Local Settings\Temp\____991.exe');
DeleteFile('C:\plg.txt');
DeleteFile('c:\documents and settings\Аня\Главное меню\Программы\Автозагрузка\rvkmS6U1P14.exe');
DeleteFileMask('C:\Wnb0rpKaZc613PC', '*.*', true);
DeleteDirectory('C:\Wnb0rpKaZc613PC');
DeleteFileMask('c:\documents and settings\Аня\Application Data\kFv3DjpT2zq6TN8', '*.*', true);
DeleteDirectory('c:\documents and settings\Аня\Application Data\kFv3DjpT2zq6TN8');
DeleteFileMask('C:\kFv3DjpT2zq6TN8', '*.*', true);
DeleteDirectory('C:\kFv3DjpT2zq6TN8');
DeleteFileMask('c:\documents and settings\Аня\Application Data\Wnb0rpKaZc613PC', '*.*', true);
DeleteDirectory('c:\documents and settings\Аня\Application Data\Wnb0rpKaZc613PC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\E19D~1\LOCALS~1\Temp\____991.exe,

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Попробуйте сохранить файл со скриптом в корне диска С и перетащить на пиктограмму утилиты »
Ну,с этим не прокатило,к сожалению :(

ну тогда выполняйте скрипт для AVZ

Так,в HJT не было строчки той,что Вы указали. Прикрепляю все логи.

В МБАМ удалите

Обнаруженные файлы: 9
C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\31\477a63df-25c87ff0 (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\Аня\Application Data\Sun\Java\Deployment\cache\6.0\30\32715cde-452ecdcc (Spyware.Sniffer) -> Действие не было предпринято.
C:\Documents and Settings\Аня\Application Data\Sun\Java\Deployment\cache\6.0\7\2d7965c7-3af3ba1e (Spyware.Sniffer) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP163\A0054179.exe (Spyware.OnlineGames) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP165\A0055325.exe (Spyware.Sniffer) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP165\A0055341.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP168\A0060558.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\Аня\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Так,удалил после повторной проверки MBAM объекты,но их было уже не 9,как в предыдущей проверке,а 7 штук.
ComboFix удалил,OTCleanit скачал и почистил.

Есть ещё небольшая проблемка: когда мама заходит к себе на рабочий стол,то у неё появляются две таблички с ошибкой,что не найден файл ___991.exe. Что делать с этими таблчиками?

Делайте повторные логи AVZ и RSIT из-под маминой учетной записи (если эта учетная запись не имеет прав администратора, делайте от имени администратора)

Делайте повторные логи AVZ и RSIT из-под маминой учетной записи (если эта учетная запись не имеет прав администратора, делайте от имени администратора) »
Сделал логи,прикрепляю.

Подозрительного в логах нет.

Воспользуйтесь поиском по реестру: Редактор Реестра - Правка - Найти

Введите имя файла ___991.exe

Ветку с ключом в котором найдено имя файла экспортируйте и приложите к следующему сообщению

Воспользуйтесь поиском по реестру: Редактор Реестра - Правка - Найти
Введите имя файла ___991.exe »
Что-то после поиска ничего не происходит. Вроде ввожу имя файла,ищет и в итоге "Поиск в реестре завершён" и всё - ничего не показывается :(

Повторите поиск из той учетки где есть проблема. Или сделайте логи из-под той учетки.

Повторите поиск из той учетки где есть проблема. Или сделайте логи из-под той учетки. »
Я не стал экспортировать,ибо я боюсь что-то напортачить в реестре - не очень хорошо дружу с компьютером. Приложу скриншот,там всё видно

Удаляйте этот ключ

Удаляйте этот ключ »
Удалил,вышел от пользователя и заново вошёл к нему - всё равно появляются таблички,хотя этого ключа в реестре уже нет.

P.S. Наткнулся ещё на одну интересную запись там,с непонятным названием,прилагаю скриншот. Тоже удалить её или не трогать?